-
14/01/2021
-
19
-
85 bài viết
Lỗ hổng zero-day nghiêm trọng cho phép leo thang đặc quyền trong Windows Atera
Các lỗ hổng zero-day trong trình cài đặt Windows Installer (MSI) dành cho phần mềm quản lý và giám sát từ xa Atera có thể bị lợi dụng làm bàn đạp để phát động các cuộc tấn công leo thang đặc quyền.
Các lỗ hổng được công ty Mandiant phát hiện vào ngày 28 tháng 2 năm 2023 có mã định danh CVE-2023-26077 và CVE-2023-26078 đều nằm trong chức năng sửa chữa của trình cài đặt MSI, có thể tạo ra kịch bản để kích hoạt tài khoản NT AUTHORITY\SYSTEM (có quyền truy cập không giới hạn vào tài nguyên cục bộ) kể cả khi chúng được tạo bởi người dùng tiêu chuẩn.
Khai thác thành công các lỗ hổng có thể mở đường để thực thi mã tùy ý với đặc quyền nâng cao.
CVE-2023-26077
Với CVE-2023-26077, Atera Agent dễ bị tấn công leo thang đặc quyền cục bộ khi có thể bị khai thác bằng cách tấn công chiếm quyền điều khiển DLL (DLL hijacking) từ đó bị lạm dụng để thực hiện lệnh “Command Prompt” với vai trò NT AUTHORITY\SYSTEM.
Lỗ hổng được Atera vá trong phiên bản 1.8.3.7 ngày 17/04/2023.
Theo nhà bảo mật Andrew Oliveau việc cấu hình sai khi phần mềm đang chạy dưới quyền NT AUTHORITY\SYSTEM sẽ cho phép những kẻ tấn công có thể khai thác và thực hiện các cuộc tấn công leo thang đặc quyền cục bộ.
Vì vậy, các nhà phát triển phần mềm là phải xem xét cẩn thận các cài đặt để ngăn chặn những cuộc tấn công tương tự trong quá trình sửa chữa của MSI. Microsoft cũng đã tiết lộ rằng các nỗ lực khai thác trong thế giới thực đã được thực hiện bởi một kẻ tấn công không xác định nhằm vào chính phủ và các cơ sở hạ tầng quan trọng ở Jordan, Ba Lan, Romania, Thổ Nhĩ Kỳ và Ukraine một tháng trước khi tiết lộ công khai.
Các bạn có thể đọc bản phân tích của Mandiant để hiểu thêm cách truy vết cũng như phát hiện.
Các lỗ hổng được công ty Mandiant phát hiện vào ngày 28 tháng 2 năm 2023 có mã định danh CVE-2023-26077 và CVE-2023-26078 đều nằm trong chức năng sửa chữa của trình cài đặt MSI, có thể tạo ra kịch bản để kích hoạt tài khoản NT AUTHORITY\SYSTEM (có quyền truy cập không giới hạn vào tài nguyên cục bộ) kể cả khi chúng được tạo bởi người dùng tiêu chuẩn.
Khai thác thành công các lỗ hổng có thể mở đường để thực thi mã tùy ý với đặc quyền nâng cao.
CVE-2023-26077
Với CVE-2023-26077, Atera Agent dễ bị tấn công leo thang đặc quyền cục bộ khi có thể bị khai thác bằng cách tấn công chiếm quyền điều khiển DLL (DLL hijacking) từ đó bị lạm dụng để thực hiện lệnh “Command Prompt” với vai trò NT AUTHORITY\SYSTEM.
Lỗ hổng được Atera vá trong phiên bản 1.8.3.7 ngày 17/04/2023.
CVE-2023-26078
CVE-2023-26078 liên quan đến thực thi các lệnh hệ thống (system command) nhằm kích hoạt Windows Console Host (conhost.exe) dưới dạng một tiến trình con cho phép gọi “cmd” nếu được thực thi với các đặc quyền nâng cao. Lỗ hổng được vá trong phiên bản 1.8.49
Vì vậy, các nhà phát triển phần mềm là phải xem xét cẩn thận các cài đặt để ngăn chặn những cuộc tấn công tương tự trong quá trình sửa chữa của MSI. Microsoft cũng đã tiết lộ rằng các nỗ lực khai thác trong thế giới thực đã được thực hiện bởi một kẻ tấn công không xác định nhằm vào chính phủ và các cơ sở hạ tầng quan trọng ở Jordan, Ba Lan, Romania, Thổ Nhĩ Kỳ và Ukraine một tháng trước khi tiết lộ công khai.
Các bạn có thể đọc bản phân tích của Mandiant để hiểu thêm cách truy vết cũng như phát hiện.
Theo The Hacker News