Chi tiết về lỗ hổng chưa được vá đã bị tiết lộ công khai sau khi Microsoft không thể vá lỗ hổng trong 90 ngày, kể từ ngày được báo cáo về lỗ hổng 24/9/2020. Lỗ hổng định danh CVE-2020-0986, liên quan đến việc nâng cấp quyền khai thác đặc quyền trong Windows Print Spooler API ("splwow64.exe"), đã được báo cáo cho Microsoft bởi một người dùng ẩn danh làm việc với Zero Day Initiative (ZDI) của công ty Trend Micro vào cuối năm 2019.
ZDI đã đăng thông báo về lỗ hổng zero-day này vào ngày 19/5/2020. Sau 6 tháng không có bản vá, lỗ hổng đã bị khai thác trong một chiến dịch có tên "PowerFall" nhắm mục tiêu vào một công ty tại Hàn Quốc.
“Splwow64.exe” là một tập tin tồn tại trong lõi của hệ điều hành Windows cho phép các ứng dụng 32-bit kết nối với một dịch vụ hàng đợi in ấn 64-bit trên hệ điều hành Windows 64-bit. Nó bao gồm một máy chủ Thủ tục gọi hàm nội bộ (Local Procedure Call – LPC) có thể được sử dụng bởi các tiến trình khác để truy cập các chức năng in.
Việc khai thác thành công lỗ hổng này giúp các hacker chiếm quyền bộ nhớ của tiến trình "splwow64.exe", thực thi mã tùy ý ở mức lõi của hệ điều hành. Cuối cùng, hacker có thể cài đặt các chương trình độc hại, xem, thay đổi hoặc xóa dữ liệu trên máy nạn nhân hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.
Tuy nhiên, để đạt được điều này, trước tiên các hacker phải đăng nhập được vào hệ thống mục tiêu được đề cập. Điều này làm giảm khả năng khai thác của lỗ hổng.
Một bài viết trên Twitter về công bố của Google Project Zero
Mặc dù, Microsoft đã giải quyết lỗ hổng trong một bản cập nhật vào tháng 6, nhưng phát hiện mới từ nhóm bảo mật của Google cho thấy lỗ hổng này vẫn chưa được khắc phục hoàn toàn.
"Lỗ hổng bảo mật vẫn tồn tại, chỉ là phương pháp khai thác đã thay đổi. Vấn đề ban đầu là một tham chiếu con trỏ tùy ý cho phép kẻ tấn công kiểm soát các con trỏ nguồn và đích sử dụng trong hàm memcpy. Bản sửa lỗi chỉ đơn giản là thay đổi các con trỏ thành các hiệu số, điều này vẫn cho phép kiểm soát các tham số của memcpy", nhà nghiên cứu Maddie Stone của Google Project Zero cho biết trong một bài viết.
Maddie Stone cũng đã chia sẻ mã khai thác (Proof-of-concept - PoC) của lỗ hổng CVE-2020-17008, dựa trên POC do Kaspersky phát hành cho CVE-2020-0986.
“Đã có quá nhiều lỗ hổng zero-day bị lợi dụng để khai thác trên mạng vào năm nay mà các bản vá không thể khắc phục triệt để hoặc không vá chính xác. Khi các zero-day này không được khắc phục hoàn toàn, những kẻ tấn công có thể sử dụng lại kiến thức của họ về các lỗ hổng và các phương pháp khai thác để dễ dàng phát triển các zero-day mới."
Dự kiến, Microsoft sẽ phát hành bản vá khắc phục lỗ hổng này vào ngày 12/1/2021.
Đăng Thứ (Theo The hacker News)
08:00 | 30/03/2020
15:00 | 28/07/2020
07:00 | 18/01/2021
13:00 | 15/03/2021
05:00 | 18/03/2019
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024