Một nhà nghiên cứu bảo mật đã tiết lộ công khai chi tiết về lỗ hổng không xác định trước đó trong hệ điều hành Windows của Microsoft có thể giúp các tài khoản người dùng thông thường hoặc chương trình độc hại có được đặc quyền hệ thống (System User Right) trên máy được nhắm mục tiêu.
Lỗ hổng zero-day đã được xác nhận trên một hệ thống Windows 10 64 bit được vá đầy đủ.
Lỗ hổng này là một vấn đề leo thang đặc quyền nằm trong chương trình lập lịch biểu tác vụ của Windows và xảy ra do lỗi trong việc xử lý các hệ thống gọi thủ tục nâng cao cục bộ (ALPC).
Cuộc gọi thủ tục cục bộ nâng cao (ALPC) là một cơ chế nội bộ, chỉ có sẵn cho các thành phần hệ điều hành Windows, tạo điều kiện truyền dữ liệu tốc độ cao và an toàn giữa một hoặc nhiều quy trình trong chế độ người dùng.
Sự tiết lộ của Windows zero-day được đưa ra ngày 27/08 từ một người dùng Twitter với bí danh trực tuyến SandboxEscaper, người này cũng đã đăng một liên kết tới trang Github lưu trữ một mã chứng minh khai thác (PoC), khai thác lỗ hổng leo thang đặc quyền trong Windows.
Link PoC từ Github: https://github.com/SandboxEscaper/randomrepo/blob/master/PoC-LPE.rar
_SchRpcSetSecurity là một phần của endpoint ALPC của trình lên lịch nhiệm vụ cho phép người dùng thiết lập một DACL tùy ý. ALPC sẽ thiết lập bảo mật của một tập tin trong C:\Windows\tasks mà không mạo danh, và một người không phải quản trị viên (Kể cả user Guest) cũng có thể ghi dữ liệu vào đường dẫn này. Trước khi task scheduler ghi DACL thì mã tấn công có thể tạo một liên kết cứng tới bất kỳ file nào mà chúng ta có quyền đọc. Điều này sẽ dẫn đến lỗ hổng ghi DACL tùy ý. PoC này sẽ ghi đè lên một DLL (dynamic link library) liên quan đến máy in và sử dụng nó như một vector tấn công.
Nếu thành công thì kẻ tấn công sẽ gọi được một DLL dưới quyền NT AUTHORITY\SYSTEM (thông qua tiến trình spoolersv).
Athena đã xác nhận đoạn mã khai thác được công bố trên Github là hoàn toàn chính xác, và xác nhận đây là một lỗ hổng zero-day thực sự của hệ điều hành Windows.
Có thể xem Video demo dưới đây được thực hiện bởi Athena team.
Quản trị viên có thể áp dụng các cách thức sau để hạn chế tấn công trước khi Microsoft tung ra bản vá lỗi.
1. Chặn hoàn toàn truy cập đến Command Prompt (CMD) áp dụng cho các tài khoản thông thường.
2. Sử dụng Group Policy để chặn Command Prompt (CMD) trên toàn bộ các Tài khoản thuộc Domain (Active Directory).
3. Sử dụng PowerShell Script để ghi lại log tiến trình có PID 4664 nhằm cảnh báo sớm cho System Admin.
4. Hạn chế truy cập các link bất thường.
Tham khảo thêm các chương trình của chúng tôi:
