Trong bài thuyết trình tại hội nghị Black Hat ở Las Vegas, Leviev đã trình bày cách ông có thể chiếm quyền kiểm soát quy trình Windows Update để tạo ra các bản hạ cấp tùy chỉnh trên các thành phần quan trọng của hệ điều hành, nâng cao đặc quyền và bỏ qua các tính năng bảo mật. Ông cho rằng những lỗ hổng lớn trong kiến trúc Windows Update của Microsoft có thể bị tin tặc khai thác để thực hiện các cuộc tấn công hạ cấp phần mềm khiến các lỗ hổng dù đã được vá cũng trở nên vô nghĩa trên bất kỳ máy tính Windows nào trên thế giới.
Nhà nghiên cứu người Israel cho biết: “Tôi có thể làm cho một máy tính chạy Windows được vá đầy đủ trở nên dễ bị tấn công bởi hàng nghìn lỗ hổng trong quá khứ, biến các lỗ hổng đã được vá thành lỗ hổng zero-day”. Ông cho biết ông đã tìm ra cách thao túng tệp danh sách XML để sử dụng công cụ Windows Downdate bỏ qua mọi bước xác minh, bao gồm xác minh tính toàn vẹn và thực thi Trình cài đặt tin cậy.
Trong một cuộc phỏng vấn trước buổi thuyết trình, Leviev cho biết công cụ này có khả năng hạ cấp các thành phần hệ điều hành thiết yếu khiến hệ điều hành báo cáo sai rằng đã được cập nhật đầy đủ. Các cuộc tấn công hạ cấp, còn được gọi là các cuộc tấn công khôi phục phiên bản, sẽ đưa phần mềm an toàn, được cập nhật đầy đủ trở về phiên bản cũ hơn với các lỗ hổng có thể khai thác được.
Leviev cho biết ông đã kiểm tra Windows Update sau khi phát hiện bộ công cụ BlackLotus UEFI Bootkit chứa một thành phần hạ cấp phần mềm và tìm được một số lỗ hổng trong kiến trúc Windows Update để hạ cấp các thành phần chính, bỏ qua khóa UEFI của Windows Virtualization-Based Security (VBS) và phát hiện ra các lỗ hổng leo thang đặc quyền trong ngăn xếp ảo hóa.
Leviev cũng trình bày một cuộc tấn công hạ cấp vào ngăn xếp ảo hóa trong Windows, lợi dụng một lỗi thiết kế cho phép các vòng/mức độ tin cậy ảo ít đặc quyền hơn cập nhật các thành phần nằm trong các vòng/mức độ tin cậy ảo nhiều đặc quyền hơn. Ông mô tả việc hạ cấp phần mềm là "không thể phát hiện" và "vô hình" và cảnh báo rằng hậu quả của vụ tấn công này có thể vượt ra ngoài hệ điều hành Windows.
SafeBreach Labs đã báo cáo sự cố này với Microsoft vào tháng 2 năm nay và đã nỗ lực làm việc trong sáu tháng qua để giúp giảm thiểu sự cố.
Mới đây, Alon Leviev đã công bố công cụ Windows Downdate, dùng để tấn công hạ cấp, đưa các lỗ hổng đã được vá trở lại với Windows 10, Windows 11 và Windows Server. Windows Downdate có ở dạng chương trình nguồn mở Python và tệp thi hành Windows đã được biên dịch. Dù Microsoft đã công bố bản cập nhật KB5041773 để vá lỗ hổng CVE-2024-21302 (Windows Secure Kernel Mode privilege escalation flaw) vào ngày 7/8, cùng ngày Alon Leviev trình bày tại hội nghị Black Hat nhưng họ chưa cung cấp bản vá cho CVE-2024-38202 (lỗ hổng leo thang đặc quyền Windows Update Stack).
Trong khi chờ đợi bản cập nhật bảo mật, khách hàng được khuyên thực hiện các biện pháp nêu trong khuyến cáo bảo mật (http://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202) để giúp bảo vệ chống lại các cuộc tấn công hạ cấp Windows Downdate. Các biện pháp giảm thiểu bao gồm cấu hình Audit Object Access để theo dõi các nỗ lực truy cập tệp, hạn chế các hoạt động cập nhật và khôi phục, sử dụng Access Control Lists để hạn chế quyền truy cập tệp và kiểm tra đặc quyền để xác định các nỗ lực khai thác lỗ hổng này.
Nguyễn Anh Tuấn (tổng hợp)
07:00 | 27/09/2024
14:00 | 09/09/2024
09:00 | 08/10/2024
09:00 | 11/10/2024
13:00 | 21/08/2024
10:00 | 19/08/2024
16:00 | 04/08/2024
09:00 | 02/08/2024
09:00 | 11/10/2024
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
07:00 | 10/09/2024
Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, Việt Nam đang trở thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng tinh vi. Các doanh nghiệp Việt từ các tổ chức nhỏ đến các tập đoàn lớn đều phải đối mặt với nguy cơ bị tấn công qua những lỗ hổng bảo mật trong hệ thống của đối tác hay nhà cung cấp.
14:00 | 10/07/2024
Juniper Networks đã phát hành bản cập nhật bảo mật mới để giải quyết một lỗ hổng bảo mật nghiêm trọng có thể dẫn đến việc bỏ qua xác thực trong một số bộ định tuyến của hãng.
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
18:00 | 11/10/2024