Google tiết lộ Microsoft đã vá lỗ hổng khai thác Windows không đúng cách

14:00 | 05/02/2021 | LỖ HỔNG ATTT

Mới đây, nhóm bảo mật Project Zero của Google đã tiết lộ lỗ hổng zero-day tồn tại trong Windows do bản sửa lỗi không đúng cách cho lỗ hổng CVE-2020-0986 trước đó (lỗ hổng bảo mật sử dụng trong chiến dịch tấn công có tên là Operation PowerFall).

Google tiết lộ Microsoft đã vá lỗ hổng khai thác Windows không đúng cách

Với định danh CVE-2020-17008, lỗ hổng bảo mật mới này đã được báo cáo cho Microsoft vào ngày 24/9/2020. Theo chính sách của Project Zero, các chi tiết về lỗ hổng sẽ được công khai 90 ngày sau đó, tức là vào cuối năm 2020, mặc dù Microsoft đã bỏ lỡ thời hạn vá lỗi.

Lỗ hổng trước đó có định danh CVE-2020-0986, được tiết lộ vào tháng 5/2020. Lỗ hổng này ban đầu được báo cáo cho Microsoft vào tháng 12/2019 và bản vá được phát hành vào tháng 6/2020. Các cuộc tấn công nhắm vào lỗ hổng bảo mật này đã xuất hiện vài ngày sau khi nó được tiết lộ.

Vào tháng 8/2020, công ty bảo mật Kaspersky đã công bố thông tin về các cuộc tấn công sử dụng lỗ hổng CVE-2020-0986 với một lỗ hổng zero-day trong trình duyệt Internet Explorer, như một phần của chiến dịch tấn công được gọi là Operation PowerFall.

Kaspersky giải thích trong một bài viết hồi tháng 9/2020, bằng cách sử dụng lỗ hổng này, tin tặc có thể thao túng bộ nhớ của tiến trình splwow64.exe để thực thi mã tùy ý trong tiến trình và thoát khỏi hộp cát (sandbox) của trình duyệt Internet Explorer 11 vì splwow64.exe đang thực thi với mức toàn vẹn trung bình.

Cũng là một lỗ hổng leo thang đặc quyền trong splwow64.exe, lỗ hổng CVE-2020-17008 có thể bị lạm dụng đơn giản bằng cách thay đổi phương pháp khai thác CVE-2020-0986, một lỗ hổng tham chiếu con trỏ tùy ý ảnh hưởng đến API của GDI Print/Print Spooler.

Nhà nghiên cứu Maddie Stone thuộc nhóm bảo mật Project Zero của Google giải thích rằng, lỗ hổng CVE-2020-17008 thực sự gần giống với CVE-2020-0986, điểm khác biệt duy nhất là đối với CVE-2020-0986, tin tặc đã gửi một con trỏ và với CVE-2020-17008 là một offset.

Trên Twitter, bà Stone lưu ý rằng bản sửa lỗi của Microsoft là không đúng vì nó chỉ đơn giản là thay đổi các con trỏ thành các offset, không ngăn được kẻ tấn công kiểm soát “các hàm args và memcpy”.

Nhà nghiên cứu cũng công bố mã nguồn bằng chứng khái niệm (PoC) nhắm tới lỗ hổng CVE-2020-17008, lưu ý rằng cách khai thác này được tham khảo từ PoC mà Kaspersky phát hành cho CVE-2020-0986.

Bà Stone cho hay, lỗ hổng trong hàm memcpy bị kích hoạt hai lần: đầu tiên là để rò rỉ địa chỉ heap nơi lưu trữ thông điệp và phần offset được thêm vào để tạo ra các con trỏ và sau đó là thực thi mã ở nơi chỉ định.

Microsoft đã ghi nhận lỗ hổng này một ngày sau khi nhận được báo cáo về nó và từng lên kế hoạch phát hành bản vá vào tháng 11/2020, nhưng đã hoãn do các vấn đề được phát hiện trong quá trình thử nghiệm. Microsoft cũng đã đặt mục tiêu giải quyết lỗ hổng này vào tháng 01/2021.

Đỗ Đoàn Kết

(Theo Security Week)

‹ › ×

Tin liên quan

Microsoft là thương hiệu bị mạo danh nhiều nhất về email lừa đảo

13:00 | 03/11/2020

Đại dịch COVID-19 diễn ra kéo theo hình thức làm việc tại nhà phát triển, đồng thời đã thúc đẩy tội phạm mạng tích cực hoạt động. Trong Quý III/2020 Microsoft đã đứng đầu trong danh sách các thương hiệu bị tội phạm mạng mạo danh nhiều nhất để thực hiện các hành vi lừa đảo.

Microsoft ra mắt phần mềm có khả năng phát hiện ảnh và video giả mạo

16:00 | 18/09/2020

Tháng 9/2020, Microsoft đã ra mắt phần mềm xác thực Video Authenticator sử dụng kỹ thuật "deepfake" có tính năng phân tích một hình ảnh hoặc từng bố cục của một video, phát hiện bằng chứng giả mạo.

Dịch vụ miễn phí của Microsoft kiểm tra ảnh chụp bộ nhớ hệ điều hành để tìm phần mềm độc hại

17:00 | 26/08/2020

Vừa qua, Microsoft công bố dự án Freta - một dịch vụ miễn phí cho phép người dùng tìm rootkit và các phần mềm độc hại phức tạp khác trong ảnh chụp nhanh bộ nhớ hệ điều hành.

Google tiết lộ thông tin về lỗ hổng thực thi mã từ xa trong Windows

12:00 | 03/03/2021

Nhóm Project Zero của Google vừa tiết lộ thông tin chi tiết về một lỗ hổng tồn tại trên Windows được vá gần đây. Lỗ hổng này có thể cho phép tin tặc thực thi mã từ xa.

HAFNIUM tấn công vào máy chủ Email Exchange bằng nhiều lỗ hổng 0-day

09:00 | 11/03/2021

Đầu tháng 3/2021, Microsoft cho biết đã phát hiện các tấn công có chủ đích nhằm khai thác lỗ hổng 0-day nhắm vào máy chủ Micorosoft Exchange hoạt động trong các tổ chức.

Các kỹ thuật tấn công phổ biến nhất trên Windows trong năm 2020

16:00 | 22/05/2021

Một nghiên cứu gần đây đã thống kê các kỹ thuật ưa thích mà kẻ tấn công sử dụng để truy cập vào máy tính/máy chủ Windows. Các doanh nghiệp có thể sử dụng thông tin này để theo dõi các nhật ký để sớm phát hiện các tấn công sử dụng các kỹ thuật được nhắc đến.

Khẩn trương bảo vệ hệ thống trước các lỗ hổng bảo mật mới trong máy chủ Microsoft Exchange

16:00 | 04/03/2021

Các cơ quan, tổ chức, doanh nghiệp tại Việt Nam được đề nghị kiểm tra, rà soát, xác minh hệ thống thông tin có khả năng bị ảnh hưởng bởi 4 lỗ hổng bảo mật mới trong máy chủ Microsoft Exchange để có phương án xử lý, khắc phục.

Tin cùng chuyên mục

Thêm vụ tấn công mã hóa dữ liệu giống VnDirect, tin tặc đòi 140 triệu USD

10:00 | 10/04/2024

Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).

Lỗ hổng mới trong cảm biến vân tay cho phép kẻ tấn công vượt qua xác thực đăng nhập của Windows Hello

09:00 | 24/11/2023

Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.

Giải mã chiến dịch tấn công mạng gần đây của nhóm tin tặc Triều Tiên Lazarus

17:00 | 08/11/2023

Đầu năm nay, một nhà cung cấp phần mềm đã bị xâm nhập bởi phần mềm độc hại Lazarus được phát tán thông qua phần mềm hợp pháp chưa được vá. Điều đáng chú ý là những lỗ hổng phần mềm này không mới và bất chấp cảnh báo cũng như bản vá từ nhà cung cấp, nhiều hệ thống của nhà cung cấp vẫn tiếp tục sử dụng phần mềm có lỗi, cho phép kẻ đe dọa khai thác chúng. Trong bài viết này sẽ phân tích chiến dịch mới của Lazarus dựa trên báo cáo mới đây của hãng bảo mật Kaspersky.