Chi tiết về lỗ hổng chưa được vá đã bị tiết lộ công khai sau khi Microsoft không thể vá lỗ hổng trong 90 ngày, kể từ ngày được báo cáo về lỗ hổng 24/9/2020. Lỗ hổng định danh CVE-2020-0986, liên quan đến việc nâng cấp quyền khai thác đặc quyền trong Windows Print Spooler API ("splwow64.exe"), đã được báo cáo cho Microsoft bởi một người dùng ẩn danh làm việc với Zero Day Initiative (ZDI) của công ty Trend Micro vào cuối năm 2019.
ZDI đã đăng thông báo về lỗ hổng zero-day này vào ngày 19/5/2020. Sau 6 tháng không có bản vá, lỗ hổng đã bị khai thác trong một chiến dịch có tên "PowerFall" nhắm mục tiêu vào một công ty tại Hàn Quốc.
“Splwow64.exe” là một tập tin tồn tại trong lõi của hệ điều hành Windows cho phép các ứng dụng 32-bit kết nối với một dịch vụ hàng đợi in ấn 64-bit trên hệ điều hành Windows 64-bit. Nó bao gồm một máy chủ Thủ tục gọi hàm nội bộ (Local Procedure Call – LPC) có thể được sử dụng bởi các tiến trình khác để truy cập các chức năng in.
Việc khai thác thành công lỗ hổng này giúp các hacker chiếm quyền bộ nhớ của tiến trình "splwow64.exe", thực thi mã tùy ý ở mức lõi của hệ điều hành. Cuối cùng, hacker có thể cài đặt các chương trình độc hại, xem, thay đổi hoặc xóa dữ liệu trên máy nạn nhân hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.
Tuy nhiên, để đạt được điều này, trước tiên các hacker phải đăng nhập được vào hệ thống mục tiêu được đề cập. Điều này làm giảm khả năng khai thác của lỗ hổng.
Một bài viết trên Twitter về công bố của Google Project Zero
Mặc dù, Microsoft đã giải quyết lỗ hổng trong một bản cập nhật vào tháng 6, nhưng phát hiện mới từ nhóm bảo mật của Google cho thấy lỗ hổng này vẫn chưa được khắc phục hoàn toàn.
"Lỗ hổng bảo mật vẫn tồn tại, chỉ là phương pháp khai thác đã thay đổi. Vấn đề ban đầu là một tham chiếu con trỏ tùy ý cho phép kẻ tấn công kiểm soát các con trỏ nguồn và đích sử dụng trong hàm memcpy. Bản sửa lỗi chỉ đơn giản là thay đổi các con trỏ thành các hiệu số, điều này vẫn cho phép kiểm soát các tham số của memcpy", nhà nghiên cứu Maddie Stone của Google Project Zero cho biết trong một bài viết.
Maddie Stone cũng đã chia sẻ mã khai thác (Proof-of-concept - PoC) của lỗ hổng CVE-2020-17008, dựa trên POC do Kaspersky phát hành cho CVE-2020-0986.
“Đã có quá nhiều lỗ hổng zero-day bị lợi dụng để khai thác trên mạng vào năm nay mà các bản vá không thể khắc phục triệt để hoặc không vá chính xác. Khi các zero-day này không được khắc phục hoàn toàn, những kẻ tấn công có thể sử dụng lại kiến thức của họ về các lỗ hổng và các phương pháp khai thác để dễ dàng phát triển các zero-day mới."
Dự kiến, Microsoft sẽ phát hành bản vá khắc phục lỗ hổng này vào ngày 12/1/2021.
Đăng Thứ (Theo The hacker News)
08:00 | 30/03/2020
15:00 | 28/07/2020
07:00 | 18/01/2021
13:00 | 15/03/2021
05:00 | 18/03/2019
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024