-
09/04/2020
-
94
-
673 bài viết
Cảnh báo: PoC cho lỗ hổng leo thang đặc quyền trong AnyDesk
Một nhà nghiên cứu an ninh mạng vừa công bố phân tích chi tiết, kèm theo mã khai thác (PoC) về lỗ hổng CVE-2024-12754 trong AnyDesk - một phần mềm quản trị từ xa phổ biến. Lỗ hổng này có thể cho phép người dùng có đặc quyền thấp thực hiện leo thang đặc quyền, tiềm ẩn nguy cơ chiếm quyền kiểm soát hoàn toàn hệ thống.
Lỗ hổng CVE-2024-12754 bắt nguồn từ cơ chế đọc/sao chép tệp tùy ý của dịch vụ AnyDesk, vốn chạy với đặc quyền NT AUTHORITY\SYSTEM. Điều này đồng nghĩa với việc dịch vụ có thể sao chép bất kỳ tệp nào đến một vị trí mà người dùng có đặc quyền thấp có thể truy cập, đồng thời vẫn giữ nguyên quyền sở hữu và các thiết lập quyền hạn ban đầu.
Cụ thể, người dùng có đặc quyền thấp có thể đặt hình nền của họ, sau đó hình nền này sẽ được dịch vụ AnyDesk sao chép vào thư mục C:\Windows\Temp. Tệp được sao chép vẫn giữ nguyên tên gốc và thuộc sở hữu của NT AUTHORITY\SYSTEM. Theo mặc định, người dùng có đặc quyền thấp có quyền truy cập hạn chế vào thư mục này nhưng vẫn có thể tạo và ghi tệp bên trong đó.
Nhà nghiên cứu đã chứng minh rằng lỗ hổng này có thể bị khai thác để thực hiện leo thang đặc quyền cục bộ (LPE - Local Privilege Escalation) bằng cách nhắm vào các tệp hệ thống quan trọng như: SAM (Security Account Manager), SYSTEM, SECURITY.
Thông thường, các tệp này chỉ có thể truy cập bởi hệ thống và tài khoản quản trị viên, nhưng khi lợi dụng lỗ hổng này, kẻ tấn công có thể chiếm quyền điều khiển và trích xuất thông tin đăng nhập của người dùng, từ đó chiếm quyền kiểm soát hoàn toàn hệ thống.
Lỗ hổng CVE-2024-12754 đã được vá trong AnyDesk phiên bản v9.0.1. Người dùng được khuyến cáo cập nhật ngay lên phiên bản mới nhất để tránh bị khai thác và tham khảo chi tiết kỹ thuật trên GitHub.
Lỗ hổng CVE-2024-12754 bắt nguồn từ cơ chế đọc/sao chép tệp tùy ý của dịch vụ AnyDesk, vốn chạy với đặc quyền NT AUTHORITY\SYSTEM. Điều này đồng nghĩa với việc dịch vụ có thể sao chép bất kỳ tệp nào đến một vị trí mà người dùng có đặc quyền thấp có thể truy cập, đồng thời vẫn giữ nguyên quyền sở hữu và các thiết lập quyền hạn ban đầu.
Cụ thể, người dùng có đặc quyền thấp có thể đặt hình nền của họ, sau đó hình nền này sẽ được dịch vụ AnyDesk sao chép vào thư mục C:\Windows\Temp. Tệp được sao chép vẫn giữ nguyên tên gốc và thuộc sở hữu của NT AUTHORITY\SYSTEM. Theo mặc định, người dùng có đặc quyền thấp có quyền truy cập hạn chế vào thư mục này nhưng vẫn có thể tạo và ghi tệp bên trong đó.
Phương thức khai thác
Kẻ tấn công có thể tạo trước một tệp với tên trùng khớp với tệp mục tiêu trong thư mục C:\Windows\Temp. Khi dịch vụ AnyDesk sao chép hình nền, nó sẽ ghi đè lên tệp do kẻ tấn công tạo trước đó, đồng thời duy trì quyền sở hữu và đặc quyền NT AUTHORITY\SYSTEM.Nhà nghiên cứu đã chứng minh rằng lỗ hổng này có thể bị khai thác để thực hiện leo thang đặc quyền cục bộ (LPE - Local Privilege Escalation) bằng cách nhắm vào các tệp hệ thống quan trọng như: SAM (Security Account Manager), SYSTEM, SECURITY.
Thông thường, các tệp này chỉ có thể truy cập bởi hệ thống và tài khoản quản trị viên, nhưng khi lợi dụng lỗ hổng này, kẻ tấn công có thể chiếm quyền điều khiển và trích xuất thông tin đăng nhập của người dùng, từ đó chiếm quyền kiểm soát hoàn toàn hệ thống.
Lỗ hổng CVE-2024-12754 đã được vá trong AnyDesk phiên bản v9.0.1. Người dùng được khuyến cáo cập nhật ngay lên phiên bản mới nhất để tránh bị khai thác và tham khảo chi tiết kỹ thuật trên GitHub.
Theo Security Online
Chỉnh sửa lần cuối: