Một nhà nghiên cứu đã phát hành một mã khai thác cho CVE-2021-31166, một lỗ hổng nghiêm trọng dạng use-after-free trong chồng giao thức HTTP (http.sys), có thể dẫn đến thực thi mã từ xa (Remote Code Execution - RCE) và sử dụng để tấn công trên diện rộng.
Microsoft đã phát hiện ra lỗ hổng và phát hành một bản vá trong bản cập nhật patch tuesday tháng 5/2021. Đây là lỗ hổng nghiêm trọng xảy ra trên http.sys, không yêu cầu xác thực cũng như tương tác của người dùng để khai thác. Việc khai thác sẽ cho phép RCE với các đặc quyền cao nhất hoặc một cuộc tấn công từ chối dịch vụ (DoS).
Thư viện http.sys cho phép Windows và các ứng dụng giao tiếp với các thiết bị khác. Nó có thể được chạy độc lập hoặc kết hợp với dịch vụ thông tin Internet (IIS). Theo một tweet từ Justin Campbell của Microsoft, lỗ hổng bảo mật được tìm thấy bởi @_mxms và @ fzzyhd1.
Do lỗ hổng bảo mật có thể bị lợi dụng để tấn công diện rộng, Microsoft khuyến nghị nên ưu tiên vá các máy chủ bị ảnh hưởng. Chuyên gia của công ty bảo mật McAfee, Povolny giải thích rằng vấn đề nằm ở cách Windows theo dõi các bản ghi con trỏ không đúng cách trong khi xử lý các đối tượng trong gói mạng chứa các yêu cầu HTTP. Lỗ hổng này chỉ ảnh hưởng đến các phiên bản mới nhất của Windows 10 và Windows Server, có nghĩa là phạm vi ảnh hưởng đã hạn chế hơn rất nhiều và chúng ta sẽ không phải chịu thiệt hại lớn như WannaCry lần thứ hai.
Nhà nghiên cứu Axel Souchet, người từng làm việc cho Microsoft, đã công bố mã khai thác lên GitHub và lưu ý rằng lỗi xảy ra trong http! UlpParseContentCoding, nơi có hàm LIST_ENTRY và gắn một mục vào nó.
Đây không phải là mã khai thác đầu tiên cho CVE-2021-31166 mà Souchet đã phát hành, nhưng đây là mã khai thác có thể sử dụng cho tấn công diện rộng đầu tiên. Cùng với đó, Axel Souchet đã phát hành một PoC chỉ khóa hệ thống Windows bị ảnh hưởng chỉ cần nó đang chạy máy chủ IIS. Khai thác ban đầu đó cho thấy kẻ tấn công có thể tận dụng lỗ hổng để gây ra tấn công từ chối dịch vụ trên một hệ thống được nhắm mục tiêu bằng cách gửi các gói được chế tạo đặc biệt.
Việc xuất bản các mã chứng minh thường là bước đầu tiên trong vòng đời của một mã khai thác. Theo giải thích từ chuyên gia Mayra Rosario Fuentes của Trend Micro tại Hội nghị RSA 2021 vào ngày 17/05/2021, bước tiếp theo trong vòng đời đó là tin tặc bán mã khai thác hoàn chỉnh trên chợ đen cho những người cần chúng. Từ đó, được tích hợp vào các mã độc hại để phát tán nhanh hơn. Vòng đời của mã khai thác dừng lại khi tất cả các hệ thống đã cập nhật bản vá.
Một ví dụ về mã khai thác của CVE-2020-9054: được bán trên chợ đen với giá 20,000 USD vào tháng 2/2020. Lỗ hổng sau đó được cảnh báo bởi một nhà báo chuyên viết về an ninh mạng là Brian Krebs, Microsoft đã vá lỗ hổng này vào tháng 3/2020. Một tháng sau đó thì mạng botnet có tên là Mukashi (thuộc dòng Mirai botnet) đã sử dụng lỗ hổng này để nhắm tấn công vào thiết bị lưu trữ từ xa Zyxel, mà cho phép tội phạm điều khiển được thiết bị.
Sau đó, tháng 8/2020, một bài đăng trên diễn đàn khác đã yêu cầu mua mã khai thác, đưa ra giá công khai là 2.000 USD, bằng một phần mười so với lần khai thác đầu tiên. Tuy nhiên, một số lỗ hổng bảo mật có thời hạn sử dụng lâu dài, đặc biệt nếu chúng được sử dụng để bẻ khóa các sản phẩm của Microsoft. Xét cho cùng, các khai thác cho các sản phẩm của Microsoft vẫn là những khai thác được yêu cầu nhiều nhất và được bán nhiều nhất trên thị trường ngầm. Người dùng hãy cập nhật hệ thống sớm nhất khi có thể, trước khi lỗ hổng này được tận dụng bởi các mạng mã độc như Mirai...
Đăng Thứ
16:00 | 22/05/2021
13:00 | 12/05/2021
09:00 | 05/07/2021
18:00 | 02/08/2021
09:00 | 03/08/2021
12:00 | 03/03/2021
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
07:00 | 10/09/2024
Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, Việt Nam đang trở thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng tinh vi. Các doanh nghiệp Việt từ các tổ chức nhỏ đến các tập đoàn lớn đều phải đối mặt với nguy cơ bị tấn công qua những lỗ hổng bảo mật trong hệ thống của đối tác hay nhà cung cấp.
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
18:00 | 11/10/2024