Lỗ hổng này có tên gọi là BatBadBut, được GitHub gắn mã định danh là CVE-2024-24576 (điểm CVSS 10.0), cho thấy mức độ nghiêm trọng tối đa. Nhà nghiên cứu bảo mật RyotaK tới từ công ty an ninh mạng Flatt Security (Nhật Bản) là người đã phát hiện và báo cáo lỗ hổng này cho Trung tâm Điều phối CERT (CERT/CC).
Lỗ hổng tồn tại do hệ điều hành Windows tạo ra tiến trình cmd[.]exe khi thực thi các tệp batch có chức năng “CreatProcess” và các ngôn ngữ lập trình không thoát khỏi (escape) các đối số một cách chính xác khi gọi các tệp batch (với phần mở rộng bat và cmd) trên Windows bằng lệnh API.
Hầu hết các ngôn ngữ lập trình đều bao bọc chức năng CreatProcess để cung cấp giao diện thân thiện hơn với người dùng. Trên Windows, CreatProcess() ngầm tạo ra tiến trình cmd[.]exe khi thực thi các tệp batch, ngay cả khi ứng dụng không chỉ định chúng trong dòng lệnh.
Vấn đề là cmd[.]exe có các quy tắc phân tích cú pháp phức tạp cho các đối số dòng lệnh và thời gian chạy (runtime) ngôn ngữ lập trình không thể thoát khỏi các đối số lệnh một cách chính xác.
Khai thác lỗ hổng này, kẻ tấn công có thể kiểm soát phần đối số lệnh của tệp batch để từ đó chèn lệnh vào các ứng dụng Windows. Tuy nhiên, theo nhà nghiên cứu bảo mật RyotaK, việc khai thác thành công lỗ hổng BatBadBut chỉ xảy ra khi đáp ứng các điều kiện sau:
- Ứng dụng cần thực thi một lệnh trên Windows.
- Ứng dụng không được chỉ định phần mở rộng của tệp lệnh hoặc phần mở rộng tệp là .bat hoặc .cmd.
- Lệnh đang được thực thi có đầu vào (input) do người dùng kiểm soát.
- Thời gian chạy của ngôn ngữ lập trình không thể thoát khỏi các đối số dòng lệnh với tiến trình cmd[.]exe một cách chính xác.
RyotaK lưu ý rằng hầu hết các ứng dụng không bị ảnh hưởng bởi lỗ hổng này và có một số biện pháp giảm thiểu. Hơn nữa, một số ngôn ngữ lập trình được thông báo về lỗ hổng đã thực hiện các bước để giải quyết nó, chẳng hạn như thêm một cơ chế escape khác cho các tệp batch.
“Để ngăn chặn việc thực thi các tệp batch không mong muốn, người dùng nên cân nhắc việc di chuyển các tệp batch sang một thư mục không có trong biến môi trường PATH. Trong trường hợp này, các tệp batch sẽ không được thực thi trừ khi đường dẫn đầy đủ được chỉ định, do đó có thể ngăn chặn việc thực thi các tệp không mong muốn”, RyotaK khuyến nghị.
Cho đến nay, thư viện Haskell, Rust, Node.js, PHP và yt-dlp được biết là bị ảnh hưởng bởi lỗ hổng BatBadBut. Nhưng thực tế là không phải mọi ngôn ngữ lập trình đều giải quyết được vấn đề, hiện mới chỉ có Haskell, Rust và yt-dlp đã công bố các bản vá cập nhật, do đó các nhà phát triển được khuyến nghị nên thận trọng khi thực hiện các thao tác lệnh trên Windows.
Hải Yến
(Tổng hợp)
07:00 | 12/04/2024
09:00 | 03/04/2024
09:00 | 06/03/2024
22:00 | 30/01/2025
Kênh truyền thông đa phương tiện Fox News tại Mỹ đưa ra cảnh báo về phương thức lừa đảo trực tuyến mới thông qua tin nhắn email giả mạo dịch vụ an ninh và bảo mật của Windows. Mục đích của kẻ tấn công là chiếm quyền điều khiển máy tính của nạn nhân thông qua phần mềm điều khiển từ xa để đánh cắp dữ liệu.
09:00 | 24/01/2025
Nhiều người dùng macOS cho rằng kiến trúc dựa trên Unix của nền tảng này và thị phần sử dụng thấp hơn so với Windows, khiến nó trở thành mục tiêu kém hấp dẫn đối với tội phạm mạng và do đó có khả năng ít bị lây nhiễm phần mềm độc hại. Mặc dù macOS có bao gồm các tính năng bảo mật mạnh mẽ như Gatekeeper, XProtect và sandbox, nhưng sự gia tăng hoạt động gần đây của phần mềm đánh cắp thông tin Banshee đóng vai trò như một lời nhắc nhở rằng không có hệ điều hành nào miễn nhiễm với các mối đe dọa.
07:00 | 17/11/2024
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam VNCERT/CC (Cục An toàn thông tin, Bộ TT&TT) vừa tiếp tục cảnh báo về mã độc Pygmy Goat, xuất hiện trên các thiết bị SOPHOS FIREWALL nhắm vào các chuyên gia kinh tế số.
07:00 | 07/11/2024
Ngày 30/10, nền tảng LottieFiles đã phát đi cảnh báo về cuộc tấn công chuỗi cung ứng nhắm vào gói npm "lottie-player" của họ. Kẻ tấn công đã lén lút cài mã độc vào các phiên bản mới của gói này nhằm chiếm đoạt tiền điện tử từ ví của người dùng.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025