Lỗ hổng zero-day “BlueHammer” bị phát tán mã khai thác sau tranh cãi quy trình xử lý của Microsoft

[WhiteHat Team]

Một lỗ hổng zero-day nghiêm trọng trên hệ điều hành Windows được đặt tên BlueHammer, vừa bị công khai mã khai thác trên GitHub sau khi một nhà nghiên cứu bảo mật tiết lộ do không hài lòng với quy trình xử lý của Microsoft.
​

​

Theo các phân tích kỹ thuật, BlueHammer là chuỗi khai thác kết hợp nhiều điểm yếu, bao gồm:​

• Lỗi TOCTOU (Time-of-Check to Time-of-Use)​
• Nhầm lẫn đường dẫn (path confusion)​
• Leo thang đặc quyền cục bộ (Local Privilege Escalation)​

Khi khai thác thành công, kẻ tấn công có thể truy cập vào cơ sở dữ liệu SAM (Security Account Manager) - nơi lưu trữ hash mật khẩu người dùng Windows. Từ đó, chúng có thể leo thang đặc quyền lên mức SYSTEM, cấp quyền cao nhất trên hệ thống.

Dù yêu cầu quyền truy cập cục bộ ban đầu, lỗ hổng vẫn bị đánh giá nguy hiểm cao do có thể kết hợp với phishing hoặc đánh cắp tài khoản, khai thác sau khi xâm nhập ban đầu và đóng vai trò “bước đệm” để kiểm soát toàn bộ hệ thống

Hiện chưa có mã định danh CVE chính thức cũng như điểm CVSS được công bố. Tuy nhiên với khả năng leo thang đặc quyền lên SYSTEM, lỗ hổng này nhiều khả năng sẽ được xếp ở mức nghiêm trọng khi được định danh.
​

Bản demo khai thác lỗ hổng
Nguồn: Will Dormann​

Hiện mã khai thác BlueHammer đã bị công bố nhưng vẫn chưa hoàn thiện, có thể hoạt động không ổn định, thậm chí không hiệu quả trên một số phiên bản Windows Server hoặc chỉ dừng ở mức nâng quyền lên Administrator thay vì SYSTEM. Dù vậy, rủi ro vẫn đáng lo ngại trong bối cảnh Microsoft chưa phát hành bản vá và đang tiếp tục điều tra.

Trong thời gian này, các tổ chức nên hạn chế quyền truy cập cục bộ không cần thiết, áp dụng nguyên tắc phân quyền tối thiểu, tăng cường giám sát các truy cập nhạy cảm như cơ sở dữ liệu SAM, đồng thời triển khai các biện pháp bảo vệ endpoint nhằm phát hiện và ngăn chặn hoạt động hậu khai thác.
​

Theo Bleeping Computer​