Chưa đầy 24 giờ sau khi công khai lỗ hổng 0-day chưa được vá trong Windows 10, tin tặc “SandboxEscaper” đã tiết lộ mã khai thác mới cho hai lỗ hổng 0-day chưa được vá khác của Microsoft.
Hai lỗ hổng 0-day mới ảnh hưởng đến dịch vụ Báo cáo Lỗi Windows của Microsoft và Internet Explorer 11.
Lỗ hổng AngryPolarBearBug2
Một trong những lỗ hổng 0-day mới nhất của Microsoft nằm trong dịch vụ Báo cáo Lỗi (Windows Error Reporting) của Windows có thể bị khai thác thông qua danh sách kiểm soát truy cập tùy ý (DACL). Đây là một cơ chế xác định người dùng và các nhóm được phân quyền hoặc không được phân quyền truy cập vào một đối tượng an toàn.
Khi khai thác thành công, kẻ tấn công có thể xóa hoặc chỉnh sửa bất kỳ file Windows nào, bao gồm các file thực thi hệ thống.
Lỗ hổng được đặt tên là AngryPolarBearBug2, là lỗi kế thừa từ lỗ hổng dịch vụ Báo cáo Lỗi Windows được chính hacker SandboxEscape phát hiện vào cuối năm ngoái, có tên AngryPolarBearBug. Lỗ hổng này cho phép kẻ tấn công nội bộ, không được phân quyền có thể ghi đè lên bất kỳ file nào trên hệ thống.
Tuy nhiên, theo hacker SandboxEscaper, lỗ hổng này không dễ khai thác và “có thể mất tới 15 phút để triển khai việc khai thác”
Lỗ hổng vượt qua cơ chế bảo vệ Sandbox trên Internet Explorer 11
Lỗ hổng 0-day thứ hai được SandboxEscaper tiết lộ ảnh hưởng đến trình duyệt web của Microsoft, Internet Explorer 11 (IE11).
Mặc dù thông báo mã khai thác không nêu bất kỳ chi tiết nào về lỗ hổng này, một video minh họa do hacker này đăng tải cho thấy lỗi bắt nguồn từ việc trình duyệt Internet Explorer 11 tồn tại lỗ hổng xử lý file DLL chứa mã độc.
Kẻ tấn công có thể khai thác lỗ hổng này để vượt qua cơ chế bảo vệ sand box của IE và thực thi mã tùy ý với quyền Medium.
Mặc dù đều là lỗ hổng 0-day chưa được vá, nhưng đây là các lỗi không nghiêm trọng. Người dùng có thể chờ đợi các bản cập nhật an ninh vào ngày 11/ 6 tới từ Microsoft.
Cập nhật quan trọng – Thêm hai lỗ hổng 0-day mới được công bố
Chuyên gia an ninh Gal De Leon từ công ty Palo Alto Networks cho biết AngryPolarBearBug2 không phải là lỗ hổng 0-day. Thực tế lỗ hổng này đã được Microsoft vá vào tháng 5/2019 trong bản cập nhật Patch Tuesday.
Tuy nhiên, SandboxEscaper vừa công khai mã khai thác PoC cho 2 lỗ hổng zero-day mới chưa được vá trong Microsoft Windows, nâng con số lỗ hổng 0-day được tiết lộ lên 4 lỗ hổng.
Mã khai thác đầu tiên vượt qua bản vá Microsoft phát hành cho lỗ hổng leo thang đặc quyền CVE-2019-0841 trong Windows. Lỗ hổng CVE-2019-0841 bắt nguồn từ dịch vụ AppX Deployment (AppXSVC) xử lý không đúng các hard link.
Một công bố khác được SandboxEscaper ghi tên trên GitHub là “Vượt qua Trình cài đặt”
Mặc dù hacker đã đăng tải video minh họa cho việc khai thác cả hai lỗ hổng mới, các nhà nghiên cứu an ninh vẫn chưa xác nhận các tuyên bố trên.
Các chuyên gia an ninh mạng của Bkav khuyến cáo: “Khai thác thành công lỗ hổng bằng mã khai thác PoC do SandboxEscaper cung cấp cho phép kẻ tấn công leo thang đặc quyền quản trị hệ thống, từ đó chiếm quyền kiểm soát hoàn toàn thiết bị. Do vậy, các hệ thống server dịch vụ Windows là đối tượng bị ảnh hưởng nặng nề nhất. Để đảm bảo an toàn cho hệ thống, các quản trị viên cần theo dõi và cập nhật các bản vá mới nhất từ Microsoft càng sớm càng tốt”.
Theo The Hacker News, Bkav
VinSEP (Công ty TNHH Mục Tiêu Số, MST: 0316094847)- chúng tôi là chuyên gia trong giải pháp/dịch vụ CNTT & phần mềm bản quyền. VinSEP giúp doanh nghiệp chuyển đổi thành nơi làm việc hiện đại (Modern Workplace) & phát triển trong thời đại công nghiệp 4.0.
VinSEP chỉ có một website Official chính thức là VinSEP.com.
