WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Phân tích lỗi thực thi mã từ xa trên Windows NFS
Trend Micro Research vừa công bố nghiên cứu về một lỗ hổng mới được vá gần đây trên Windows. Lỗ hổng có mã định danh CVE-2022-30136 và ảnh hưởng đến NFS (Network File System).
CVE-2022-30136 là một lỗ hổng thực thi mã từ xa nằm trong hệ thống Windows NFS, nguyên nhân do việc xử lý các yêu cầu NFSv4 không đúng cách.
Hacker từ xa có thể khai thác lỗ hổng này bằng cách gửi các cuộc gọi RPC độc hại đến máy chủ mục tiêu để thực hiện mã tùy ý trong ngữ cảnh của hệ thống. Các chuyên gia chỉ ra rằng ngay cả khi khai thác không thành công, hacker cũng có thể gây ra sự cố ảnh hưởng đến hệ thống.
Lỗ hổng có điểm CVSS là 9,8, và có vẻ tương tự như CVE-2022-26937 - một lỗi NFS đã được vá vào tháng trước. CVE-2022-30136 có thể cho phép kẻ tấn công từ xa thực thi mã đặc quyền trên các hệ thống bị ảnh hưởng đang chạy NFS. Nhìn bề ngoài, điểm khác biệt duy nhất giữa các bản vá là bản cập nhật tháng này sửa lỗi trong NFSV4.1, trong khi lỗi của tháng trước chỉ ảnh hưởng đến các phiên bản NSFV2.0 và NSFV3.0. Không rõ đây là một biến thể hay hệ quả của một bản vá lỗi hay là một sự cố hoàn toàn mới. Dù vậy, các doanh nghiệp đang chạy NFS nên ưu tiên thử nghiệm và triển khai bản vá cho lỗi này.
Giao thức hệ thống tệp mạng NFS ban đầu được phát triển bởi Sun Microsystems vào năm 1984, nó cho phép người dùng truy cập chia sẻ tệp từ xa giống như cách mà hệ thống tệp cục bộ được truy cập.
Giao thức NFS sử dụng Open Network Computing (ONC) Remote Procedure Call (RPC) để trao đổi các thông điệp điều khiển. Khi các bản tin ONC RPC được gửi qua TCP, một cấu trúc tiêu đề Fragment được thêm vào trước để xác định độ dài của tệp tin. Thông tin này sẽ được bên nhận sử dụng để phân biệt nhiều tệp tin được gửi qua một phiên TCP duy nhất.
Theo các nhà nghiên cứu của Trend Micro, “Lỗ hổng tràn bộ đệm tồn tại trong bản triển khai NFS của Windows. Lỗ hổng này là do tính toán sai kích thước của các thông báo phản hồi. Máy chủ gọi hàm Nfs4SvrXdrpGetEncodeOperationResultByteCount () để tính toán kích thước của mỗi phản hồi “opcode” nhưng lại không bao gồm kích thước của chính opcode. Điều này dẫn đến kích thước của bộ đệm phản hồi quá nhỏ. Một bộ đệm tương ứng được cấp phát với OncRpcBufMgrpAllocate. Khi dữ liệu phản hồi được ghi vào bộ đệm, dữ liệu phản hồi sẽ tràn".
Các chuyên gia chỉ ra rằng chỉ có NFS phiên bản 4 là tồn tại lỗ hổng vì nó sử dụng chức năng OncRpcBufMgrpAllocate.
“Lỗi này đã được Microsoft vá vào tháng 6 năm 2022 và được gán mã định danh CVE-2022-30136. Trong bài viết của mình, hãng cũng liệt kê việc vô hiệu hóa NFSv4.1 như một phương pháp để giảm thiểu các cuộc tấn công. Tuy nhiên, điều này có thể dẫn đến mất chức năng. Ngoài ra, Microsoft lưu ý rằng bản cập nhật để giải quyết lỗi này không nên được áp dụng trừ khi bản sửa lỗi cho CVE-2022-26937 được cài đặt. Áp dụng cả hai bản cập nhật theo thứ tự thích hợp là phương pháp tốt nhất để giải quyết đầy đủ các lỗ hổng này”.
CVE-2022-30136 là một lỗ hổng thực thi mã từ xa nằm trong hệ thống Windows NFS, nguyên nhân do việc xử lý các yêu cầu NFSv4 không đúng cách.
Hacker từ xa có thể khai thác lỗ hổng này bằng cách gửi các cuộc gọi RPC độc hại đến máy chủ mục tiêu để thực hiện mã tùy ý trong ngữ cảnh của hệ thống. Các chuyên gia chỉ ra rằng ngay cả khi khai thác không thành công, hacker cũng có thể gây ra sự cố ảnh hưởng đến hệ thống.
Lỗ hổng có điểm CVSS là 9,8, và có vẻ tương tự như CVE-2022-26937 - một lỗi NFS đã được vá vào tháng trước. CVE-2022-30136 có thể cho phép kẻ tấn công từ xa thực thi mã đặc quyền trên các hệ thống bị ảnh hưởng đang chạy NFS. Nhìn bề ngoài, điểm khác biệt duy nhất giữa các bản vá là bản cập nhật tháng này sửa lỗi trong NFSV4.1, trong khi lỗi của tháng trước chỉ ảnh hưởng đến các phiên bản NSFV2.0 và NSFV3.0. Không rõ đây là một biến thể hay hệ quả của một bản vá lỗi hay là một sự cố hoàn toàn mới. Dù vậy, các doanh nghiệp đang chạy NFS nên ưu tiên thử nghiệm và triển khai bản vá cho lỗi này.
Giao thức hệ thống tệp mạng NFS ban đầu được phát triển bởi Sun Microsystems vào năm 1984, nó cho phép người dùng truy cập chia sẻ tệp từ xa giống như cách mà hệ thống tệp cục bộ được truy cập.
Giao thức NFS sử dụng Open Network Computing (ONC) Remote Procedure Call (RPC) để trao đổi các thông điệp điều khiển. Khi các bản tin ONC RPC được gửi qua TCP, một cấu trúc tiêu đề Fragment được thêm vào trước để xác định độ dài của tệp tin. Thông tin này sẽ được bên nhận sử dụng để phân biệt nhiều tệp tin được gửi qua một phiên TCP duy nhất.
Theo các nhà nghiên cứu của Trend Micro, “Lỗ hổng tràn bộ đệm tồn tại trong bản triển khai NFS của Windows. Lỗ hổng này là do tính toán sai kích thước của các thông báo phản hồi. Máy chủ gọi hàm Nfs4SvrXdrpGetEncodeOperationResultByteCount () để tính toán kích thước của mỗi phản hồi “opcode” nhưng lại không bao gồm kích thước của chính opcode. Điều này dẫn đến kích thước của bộ đệm phản hồi quá nhỏ. Một bộ đệm tương ứng được cấp phát với OncRpcBufMgrpAllocate. Khi dữ liệu phản hồi được ghi vào bộ đệm, dữ liệu phản hồi sẽ tràn".
Các chuyên gia chỉ ra rằng chỉ có NFS phiên bản 4 là tồn tại lỗ hổng vì nó sử dụng chức năng OncRpcBufMgrpAllocate.
“Lỗi này đã được Microsoft vá vào tháng 6 năm 2022 và được gán mã định danh CVE-2022-30136. Trong bài viết của mình, hãng cũng liệt kê việc vô hiệu hóa NFSv4.1 như một phương pháp để giảm thiểu các cuộc tấn công. Tuy nhiên, điều này có thể dẫn đến mất chức năng. Ngoài ra, Microsoft lưu ý rằng bản cập nhật để giải quyết lỗi này không nên được áp dụng trừ khi bản sửa lỗi cho CVE-2022-26937 được cài đặt. Áp dụng cả hai bản cập nhật theo thứ tự thích hợp là phương pháp tốt nhất để giải quyết đầy đủ các lỗ hổng này”.
Theo: Security Affair
Chỉnh sửa lần cuối bởi người điều hành: