WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Xuất hiện mã khai thác PoC cho lỗ hổng zero-day chưa được vá trong Windows 10
Tin tặc ẩn danh SandboxEscaper vừa công bố mã khai thác PoC cho lỗ hổng zero-day mới, ảnh hưởng đến hệ điều hành Windows 10. Đây là lần thứ 5 tin tặc này công khai mã khai thác lỗ hổng zero-day trong Windows trong vòng chưa đầy một năm.
Được công bố trên GitHub, lỗ hổng zero-day mới của Windows 10 là vấn đề leo thang đặc quyền có thể cho phép kẻ tấn công nội bộ hoặc mã độc lấy được và chạy mã với các đặc quyền quản trị hệ thống trên các thiết bị mục tiêu, cuối cùng cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn thiết bị.
Lỗ hổng nằm trong Trình lập lịch tác vụ Task Scheduler, một tiện ích cho phép người dùng Windows lên lịch khởi chạy các chương trình hoặc tập lệnh theo thời gian được xác định từ trước hoặc sau khoảng thời gian chỉ định.
Mã khai thác của SandboxEscaper sử dụng SchRpcRegisterTask, một phương thức trong Trình lập lịch tác vụ để đăng ký các tác vụ với máy chủ, không kiểm tra các quyền một cách hợp lý và do đó có thể được sử dụng để cài đặt quyền DACL (danh sách điều khiển truy cập) tùy ý.
Một chương trình độc hại hoặc kẻ tấn công đặc quyền thấp có thể chạy tệp .job không đúng định dạng để lấy các đặc quyền HỆ THỐNG, cuối cùng cho phép kẻ tấn công có được quyền truy cập đầy đủ vào hệ thống mục tiêu.
SandboxEscaper cũng chia sẻ một video PoC cho thấy hành vi khai thác zero-day mới trong Windows.
Lỗ hổng này đã được kiểm tra và xác nhận là hoạt động hiệu quả trên phiên bản Windows 10, 32 bit và 64 bit đã được vá đầy đủ, cũng như Windows Server 2016 và 2019.
Nhiều mã khai thác lỗ hổng Zero-Day trong Windows sắp được công bố
Không dừng lại ở đây, tin tặc này còn úp mở chuyện hắn vẫn còn 4 lỗi zero-day chưa tiết lộ trong Windows, 3 trong số đó dẫn đến leo thang đặc quyền nội bộ và lỗi cuối cùng cho phép kẻ tấn công qua mặt chế độ an ninh của hộp cát.
Chi tiết kỹ thuật và mã khai thác cho lỗ hổng zero-day mới trong Windows xuất hiện chỉ một tuần sau khi cập nhật bản vá hàng tháng của Microsoft. Điều đó có nghĩa, lỗ hổng này vẫn chưa có bản vá, có thể bị khai thác và lợi dụng bởi bất cứ ai.
Các chuyên gia an ninh mạng của Bkav khuyến cáo: “Khai thác thành công lỗ hổng bằng mã khai thác PoC do SandboxEscaper cung cấp cho phép kẻ tấn công leo thang đặc quyền quản trị hệ thống, từ đó chiếm quyền kiểm soát hoàn toàn thiết bị. Do vậy, các hệ thống server dịch vụ Windows là đối tượng bị ảnh hưởng nặng nề nhất. Để đảm bảo an toàn cho hệ thống, các quản trị viên cần theo dõi và cập nhật các bản vá mới nhất từ Microsoft càng sớm càng tốt”.
Lỗ hổng nằm trong Trình lập lịch tác vụ Task Scheduler, một tiện ích cho phép người dùng Windows lên lịch khởi chạy các chương trình hoặc tập lệnh theo thời gian được xác định từ trước hoặc sau khoảng thời gian chỉ định.
Mã khai thác của SandboxEscaper sử dụng SchRpcRegisterTask, một phương thức trong Trình lập lịch tác vụ để đăng ký các tác vụ với máy chủ, không kiểm tra các quyền một cách hợp lý và do đó có thể được sử dụng để cài đặt quyền DACL (danh sách điều khiển truy cập) tùy ý.
Một chương trình độc hại hoặc kẻ tấn công đặc quyền thấp có thể chạy tệp .job không đúng định dạng để lấy các đặc quyền HỆ THỐNG, cuối cùng cho phép kẻ tấn công có được quyền truy cập đầy đủ vào hệ thống mục tiêu.
SandboxEscaper cũng chia sẻ một video PoC cho thấy hành vi khai thác zero-day mới trong Windows.
Lỗ hổng này đã được kiểm tra và xác nhận là hoạt động hiệu quả trên phiên bản Windows 10, 32 bit và 64 bit đã được vá đầy đủ, cũng như Windows Server 2016 và 2019.
Nhiều mã khai thác lỗ hổng Zero-Day trong Windows sắp được công bố
Không dừng lại ở đây, tin tặc này còn úp mở chuyện hắn vẫn còn 4 lỗi zero-day chưa tiết lộ trong Windows, 3 trong số đó dẫn đến leo thang đặc quyền nội bộ và lỗi cuối cùng cho phép kẻ tấn công qua mặt chế độ an ninh của hộp cát.
Chi tiết kỹ thuật và mã khai thác cho lỗ hổng zero-day mới trong Windows xuất hiện chỉ một tuần sau khi cập nhật bản vá hàng tháng của Microsoft. Điều đó có nghĩa, lỗ hổng này vẫn chưa có bản vá, có thể bị khai thác và lợi dụng bởi bất cứ ai.
Các chuyên gia an ninh mạng của Bkav khuyến cáo: “Khai thác thành công lỗ hổng bằng mã khai thác PoC do SandboxEscaper cung cấp cho phép kẻ tấn công leo thang đặc quyền quản trị hệ thống, từ đó chiếm quyền kiểm soát hoàn toàn thiết bị. Do vậy, các hệ thống server dịch vụ Windows là đối tượng bị ảnh hưởng nặng nề nhất. Để đảm bảo an toàn cho hệ thống, các quản trị viên cần theo dõi và cập nhật các bản vá mới nhất từ Microsoft càng sớm càng tốt”.
Nguồn: The Hacker News, Bkav