Chi tiết về lỗ hổng chưa được vá đã bị tiết lộ công khai sau khi Microsoft không thể vá lỗ hổng trong 90 ngày, kể từ ngày được báo cáo về lỗ hổng 24/9/2020. Lỗ hổng định danh CVE-2020-0986, liên quan đến việc nâng cấp quyền khai thác đặc quyền trong Windows Print Spooler API ("splwow64.exe"), đã được báo cáo cho Microsoft bởi một người dùng ẩn danh làm việc với Zero Day Initiative (ZDI) của công ty Trend Micro vào cuối năm 2019.
ZDI đã đăng thông báo về lỗ hổng zero-day này vào ngày 19/5/2020. Sau 6 tháng không có bản vá, lỗ hổng đã bị khai thác trong một chiến dịch có tên "PowerFall" nhắm mục tiêu vào một công ty tại Hàn Quốc.
“Splwow64.exe” là một tập tin tồn tại trong lõi của hệ điều hành Windows cho phép các ứng dụng 32-bit kết nối với một dịch vụ hàng đợi in ấn 64-bit trên hệ điều hành Windows 64-bit. Nó bao gồm một máy chủ Thủ tục gọi hàm nội bộ (Local Procedure Call – LPC) có thể được sử dụng bởi các tiến trình khác để truy cập các chức năng in.
Việc khai thác thành công lỗ hổng này giúp các hacker chiếm quyền bộ nhớ của tiến trình "splwow64.exe", thực thi mã tùy ý ở mức lõi của hệ điều hành. Cuối cùng, hacker có thể cài đặt các chương trình độc hại, xem, thay đổi hoặc xóa dữ liệu trên máy nạn nhân hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.
Tuy nhiên, để đạt được điều này, trước tiên các hacker phải đăng nhập được vào hệ thống mục tiêu được đề cập. Điều này làm giảm khả năng khai thác của lỗ hổng.
Một bài viết trên Twitter về công bố của Google Project Zero
Mặc dù, Microsoft đã giải quyết lỗ hổng trong một bản cập nhật vào tháng 6, nhưng phát hiện mới từ nhóm bảo mật của Google cho thấy lỗ hổng này vẫn chưa được khắc phục hoàn toàn.
"Lỗ hổng bảo mật vẫn tồn tại, chỉ là phương pháp khai thác đã thay đổi. Vấn đề ban đầu là một tham chiếu con trỏ tùy ý cho phép kẻ tấn công kiểm soát các con trỏ nguồn và đích sử dụng trong hàm memcpy. Bản sửa lỗi chỉ đơn giản là thay đổi các con trỏ thành các hiệu số, điều này vẫn cho phép kiểm soát các tham số của memcpy", nhà nghiên cứu Maddie Stone của Google Project Zero cho biết trong một bài viết.
Maddie Stone cũng đã chia sẻ mã khai thác (Proof-of-concept - PoC) của lỗ hổng CVE-2020-17008, dựa trên POC do Kaspersky phát hành cho CVE-2020-0986.
“Đã có quá nhiều lỗ hổng zero-day bị lợi dụng để khai thác trên mạng vào năm nay mà các bản vá không thể khắc phục triệt để hoặc không vá chính xác. Khi các zero-day này không được khắc phục hoàn toàn, những kẻ tấn công có thể sử dụng lại kiến thức của họ về các lỗ hổng và các phương pháp khai thác để dễ dàng phát triển các zero-day mới."
Dự kiến, Microsoft sẽ phát hành bản vá khắc phục lỗ hổng này vào ngày 12/1/2021.
Đăng Thứ (Theo The hacker News)
08:00 | 30/03/2020
15:00 | 28/07/2020
07:00 | 18/01/2021
13:00 | 15/03/2021
05:00 | 18/03/2019
10:00 | 04/12/2024
Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
07:00 | 21/10/2024
Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025