[Cập nhật]: Đã có PoC cho lỗ hổng zero-day CVE-2023-36874 trong Microsoft Windows

[WhiteHat Team]

Cập nhật:​

Ngày 24 tháng 8 năm 2023 đã xuất hiện PoC của lỗ hổng CVE-2023-36874 cho phép leo thang đặc quyền trong Microsoft Windows.

Initialize COM by calling CoInitialize(NULL).
Create COM interfaces to interact with WER:
Create an instance of CLSID_ERCLuaSupport to obtain an IErcLuaSupport interface.
Use IErcLuaSupport to create an IWerStoreFactory instance.
Create an IWerStore instance using IWerStoreFactory.
Start the report enumeration process by calling pIWerStore->EnumerateStart().
Load a report using pIWerStore->LoadReport function. Replace "ReportName" with the actual report name you want to exploit.
Submit the loaded report to trigger the vulnerability by calling pIWerReport->SubmitReport().
Release the COM interfaces and clean up the resources:
pIWerReport->Release()
pIWerStore->Release()
pIWerStoreFactory->Release()
pIErcLuaSupport->Release()
Uninitialize COM by calling CoUninitialize().

Người dùng cần cập nhật ngay bản vá để tránh những rủi ro về an ninh mạng. Ngoài ra, một PoC khác của lỗ hổng CVE-2023-36874 cũng được công bố tại đây.

---

Bản vá định kỳ Patch Tuesday tháng 7 của Microsoft đã xử lý hơn 130 lỗ hổng nghiêm trọng nhắm vào các sản phẩm phổ biến – con số lớn nhất trong vài tháng trở lại đây. Hãng cũng công bố thông tin về 6 lỗ hổng đang bị khai thác, trong đó 1 lỗ hổng chưa có bản vá.

Các lỗ hổng ảnh hưởng đến nhiều sản phẩm, bao gồm: Windows, Office, .Net, Azure Active Directory và một số sản phẩm khác. Số lượng các lỗ hổng được thống kê như sau:

• 33 lỗi leo thang đặc quyền
• 13 lỗi qua mặt được tính năng bảo mật
• 37 lỗi thực thi mã từ xa
• 19 lỗi tiết lộ thông tin
• 22 lỗi từ chối dịch vụ
• 7 lỗi giả mạo

6 lỗ hổng đang bị tin tặc khai thác​

Đáng chú ý nhất trong số này là CVE-2023-36884 (CVSS 8,3) trong Office và Windows HTML cho phép tin tặc thực thi mã từ xa trên thiết bị mục tiêu. Phương thức này được chúng sử dụng cũng rất phổ biến – phishing để “dụ” nạn nhân mở một tệp tài liệu độc hại.

Theo chuyên gia WhiteHat, thời gian gần đây tin tặc thường xuyên lợi dụng các lỗ hổng trong MSDT (công cụ chuẩn đoán lỗi trên hệ điều hành Windows). Rất có thể chúng đã tìm ra một công thức chung để khai thác các lỗ hổng liên quan đến sản phẩm Office phổ biến. Thường thì các ứng dụng trên Windows (điển hình là Microsoft Word) cho phép tải các mã HTML hoặc Javascript thông qua một liên kết bên ngoài kết hợp với giao thức MSDT URL, từ đó đưa được các payload độc hại và thực thi với đặc quyền của người dùng mở tệp tin. Các mã này đều được chạy dưới dạng các tiến trình của chính hệ điều hành Windows khiến các giải pháp an ninh khó phát hiện hơn. Khả năng cao, phương thức khai thác này sẽ vẫn tiếp diễn trong thời gian tới.

Hiện CVE-2023-36884 đang bị các tổ chức gián điệp và tội phạm mạng lạm dụng khai thác trong một chiến dịch nhắm vào các cơ quan chính phủ và các tổ chức quốc phòng.

Trong thời gian chờ bản vá của lỗ hổng CVE-2023-36884, người dùng nên triển khai một số giải pháp tạm thời để giảm thiểu rủi ro:

• Sử dụng Microsoft Defender cho Office để phát hiện các tệp đính kèm độc hại.
• Sử dụng giải pháp giảm thiểu bề mặt tấn công (attack surface) để chặn tất cả các ứng dụng Office tạo tiến trình con độc hại.
• Nếu không thể sử dụng các giải pháp trên, người dùng có thể cài đặt khóa registry FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION. Lưu ý các cài đặt registry có thể ảnh hưởng đến chức năng thông thường đối với một số ứng dụng: Excel.exe, Graph.exe, MSAccess.exe, MSPub.exe, PowerPoint.exe, Visio.exe, WinProj.exe, WinWord.exe, Wordpad.exe. Người dùng thêm các tên ứng dụng trên vào khóa registry với giá trị type REG_DWORD, data là 1.

5 lỗ hổng còn lại hiện đã có bản vá, bao gồm:

2 lỗi vượt qua tính năng bảo mật, điểm CVSS 8,8:​

• CVE-2023-35311 ảnh hưởng đến Microsoft Outlook
• CVE-2023-32049 ảnh hưởng đến Windows SmartScreen

Cả 2 lỗ hổng đều yêu cầu sự tương tác của người dùng. Nghĩa là kẻ tấn công chỉ có thể khai thác nếu người dùng nhấp vào một URL độc hại. Riêng CVE-2023-35311 có thể được kết hợp với các lỗ hổng đã bị khai thác khác để tấn công toàn diện.

2 lỗi leo thang đặc quyền, điểm CVSS 7,8:​

• CVE-2023-36874 trong Windows Error Reporting (WER), cho phép kẻ tấn công giành quyền quản trị trên các hệ thống tồn tại lỗ hổng. Để khai thác, kẻ tấn công cần truy cập cục bộ vào hệ thống bị ảnh hưởng qua các lỗ hổng khác hoặc lợi dụng việc sử dụng thông tin xác thực không an toàn.
• CVE-2023-32046 trong nền tảng Windows MSHTML. Để khai thác lỗ hổng, kẻ tấn công cần phải lừa người dùng mở một tệp tin chứa mã độc qua email hoặc một trang web độc hại.

Cuối cùng là ADV230001 (chưa có CVE):​

Lỗ hổng sử dụng trái phép các trình điều khiển được ký số bởi Microsoft, cho phép tin tặc giành quyền quản trị trên các hệ thống bị xâm nhập.

WhiteHat khuyến cáo người dùng nên cập nhật bản vá tại đây càng sớm càng tốt nếu đang sử dụng các dịch vụ của Microsoft. Đồng thời, các cơ quan, tổ chức cần tiến hành rà soát, xác định máy sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng bởi các lỗ hổng trên để áp dụng các biện pháp an ninh phù hợp.

WhiteHat
​