WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Rò rỉ PoC của lỗ hổng RCE nghiêm trọng trong Windows
PoC liên quan đến lỗ hổng thực thi mã từ xa ảnh hưởng đến Windows Print Spooler, được Microsoft vá đầu tháng 6, đã bị công khai trực tuyến một thời gian ngắn trước khi được gỡ xuống.
Lỗ hổng (CVE-2021-1675) có thể cấp cho kẻ tấn công từ xa toàn quyền kiểm soát các hệ thống. Print Spooler quản lý quá trình in trong Windows, bao gồm tải các trình điều khiển máy in thích hợp và lên lịch lệnh in, cùng nhiều chức năng khác.
Các lỗi Print Spooler đáng lo ngại không chỉ vì phạm vi tấn công rộng mà còn do thực tế là Print Spooler chạy ở cấp đặc quyền cao nhất và có khả năng tải các tệp nhị phân của bên thứ ba.
Microsoft đã giải quyết lỗ hổng này trong bản vá định kỳ Patch Tuesday ngày 8/6/2021. Nhưng gần hai tuần sau, hãng đã sửa ảnh hưởng của lỗ hổng từ nâng cao đặc quyền lên thực thi mã từ xa (RCE) cũng như nâng cấp mức độ nghiêm trọng từ Quan trọng lên Nghiêm trọng.
“Kẻ tấn công khai thác lỗ hổng bằng cách truy cập cục bộ hệ thống mục tiêu (ví dụ: bàn phím, bảng điều khiển) hoặc từ xa (ví dụ: SSH); hoặc kẻ tấn công dựa vào tương tác của người dùng để thực hiện các hành động cần thiết nhằm khai thác lỗ hổng (ví dụ: lừa một người dùng hợp pháp mở một tài liệu độc hại)”, Microsoft cho biết.
Mọi thứ thay đổi khi công ty QiAnXin (Trung Quốc) tiết lộ có thể tìm ra “phương pháp tiếp cận phù hợp” để tận dụng lỗ hổng, qua đó chứng minh việc khai thác thành công để đạt được RCE.
Mặc dù các nhà nghiên cứu đã hạn chế chia sẻ chi tiết kỹ thuật bổ sung, nhưng công ty Sangfor (trụ sở tại Hồng Kông) đã công bố tài liệu chuyên sâu về lỗ hổng cùng với mã PoC trên GitHub, nơi các tài liệu có thể truy cập công khai trước khi được gỡ xuống vài giờ sau đó.
Sangfor đặt tên mã cho lỗ hổng là “PrintNightmare”.
“Chúng tôi đã xóa PoC của PrintNightmare. Để giảm thiểu ảnh hưởng, người dùng vui lòng cập nhật Windows lên phiên bản mới nhất hoặc vô hiệu hóa dịch vụ Spooler” Sangfor cho biết. Các phát hiện dự kiến được trình bày tại hội nghị Black Hat USA vào tháng tới.
Windows Print Spooler từ lâu đã là nguồn khai thác các lỗ hổng. Trong năm qua, Microsoft đã khắc phục ít nhất ba sự cố - CVE-2020-1048, CVE-2020-1300 và CVE-2020-1337. Đáng chú ý, một lỗ hổng trong dịch vụ này cũng đã bị lạm dụng để truy cập từ xa và phát tán sâu Stuxnet nhằm vào các cơ sở hạt nhân của Iran.
Lỗ hổng (CVE-2021-1675) có thể cấp cho kẻ tấn công từ xa toàn quyền kiểm soát các hệ thống. Print Spooler quản lý quá trình in trong Windows, bao gồm tải các trình điều khiển máy in thích hợp và lên lịch lệnh in, cùng nhiều chức năng khác.
Các lỗi Print Spooler đáng lo ngại không chỉ vì phạm vi tấn công rộng mà còn do thực tế là Print Spooler chạy ở cấp đặc quyền cao nhất và có khả năng tải các tệp nhị phân của bên thứ ba.
Microsoft đã giải quyết lỗ hổng này trong bản vá định kỳ Patch Tuesday ngày 8/6/2021. Nhưng gần hai tuần sau, hãng đã sửa ảnh hưởng của lỗ hổng từ nâng cao đặc quyền lên thực thi mã từ xa (RCE) cũng như nâng cấp mức độ nghiêm trọng từ Quan trọng lên Nghiêm trọng.
“Kẻ tấn công khai thác lỗ hổng bằng cách truy cập cục bộ hệ thống mục tiêu (ví dụ: bàn phím, bảng điều khiển) hoặc từ xa (ví dụ: SSH); hoặc kẻ tấn công dựa vào tương tác của người dùng để thực hiện các hành động cần thiết nhằm khai thác lỗ hổng (ví dụ: lừa một người dùng hợp pháp mở một tài liệu độc hại)”, Microsoft cho biết.
Mọi thứ thay đổi khi công ty QiAnXin (Trung Quốc) tiết lộ có thể tìm ra “phương pháp tiếp cận phù hợp” để tận dụng lỗ hổng, qua đó chứng minh việc khai thác thành công để đạt được RCE.
Mặc dù các nhà nghiên cứu đã hạn chế chia sẻ chi tiết kỹ thuật bổ sung, nhưng công ty Sangfor (trụ sở tại Hồng Kông) đã công bố tài liệu chuyên sâu về lỗ hổng cùng với mã PoC trên GitHub, nơi các tài liệu có thể truy cập công khai trước khi được gỡ xuống vài giờ sau đó.
Sangfor đặt tên mã cho lỗ hổng là “PrintNightmare”.
“Chúng tôi đã xóa PoC của PrintNightmare. Để giảm thiểu ảnh hưởng, người dùng vui lòng cập nhật Windows lên phiên bản mới nhất hoặc vô hiệu hóa dịch vụ Spooler” Sangfor cho biết. Các phát hiện dự kiến được trình bày tại hội nghị Black Hat USA vào tháng tới.
Windows Print Spooler từ lâu đã là nguồn khai thác các lỗ hổng. Trong năm qua, Microsoft đã khắc phục ít nhất ba sự cố - CVE-2020-1048, CVE-2020-1300 và CVE-2020-1337. Đáng chú ý, một lỗ hổng trong dịch vụ này cũng đã bị lạm dụng để truy cập từ xa và phát tán sâu Stuxnet nhằm vào các cơ sở hạt nhân của Iran.
Theo The Hacker News