-
09/04/2020
-
95
-
756 bài viết
CVE-2025-21204: Lỗ hổng leo thang đặc quyền trong Windows Update Stack
Lỗ hổng CVE-2025-21204 là một lỗ hổng nghiêm trọng phát sinh do xử lý không đúng khi truy cập file trong Windows Update Stack. Lỗ hổng này cho phép kẻ tấn công leo thang đặc quyền lên SYSTEM, cấp quyền cao nhất trong hệ thống Windows.
Lỗ hổng khai thác các liên kết biểu tượng (symbolic links) và chuyển hướng thư mục (directory junctions) để vượt qua kiểm soát truy cập thông thường, từ đó thực thi mã độc tùy ý với quyền SYSTEM.
Theo nghiên cứu của chuyên gia bảo mật Elli Shlomo, các tiến trình như MoUsoCoreWorker.exe và UsoClient.exe — chịu trách nhiệm kiểm tra, tải xuống và cài đặt cập nhật — chạy với quyền SYSTEM và thường xuyên truy cập:
"C:\ProgramData\Microsoft\UpdateStack\Tasks"
Thư mục này được giả định là an toàn, nhưng thực tế có thể bị lạm dụng. Các tiến trình cập nhật có thể thực thi các tệp từ thư mục này mà không kiểm tra nguồn gốc, tính toàn vẹn hoặc quyền ACL.
Kẻ tấn công (không cần quyền admin) có thể khai thác theo chuỗi sau:
Mã khai thác mẫu (PoC)
Shlomo đã công bố một mã khai thác mẫu sử dụng PowerShell, không yêu cầu phần mềm bên ngoài:
Khai thác chỉ sử dụng các công cụ gốc của Windows (như PowerShell), không cần phần mềm bên ngoài, giúp tránh bị phát hiện bởi Defender, AMSI hoặc WDAC.
Người dùng được khuyến cáo:
Lỗ hổng khai thác các liên kết biểu tượng (symbolic links) và chuyển hướng thư mục (directory junctions) để vượt qua kiểm soát truy cập thông thường, từ đó thực thi mã độc tùy ý với quyền SYSTEM.
Theo nghiên cứu của chuyên gia bảo mật Elli Shlomo, các tiến trình như MoUsoCoreWorker.exe và UsoClient.exe — chịu trách nhiệm kiểm tra, tải xuống và cài đặt cập nhật — chạy với quyền SYSTEM và thường xuyên truy cập:
"C:\ProgramData\Microsoft\UpdateStack\Tasks"
Thư mục này được giả định là an toàn, nhưng thực tế có thể bị lạm dụng. Các tiến trình cập nhật có thể thực thi các tệp từ thư mục này mà không kiểm tra nguồn gốc, tính toàn vẹn hoặc quyền ACL.
Kẻ tấn công (không cần quyền admin) có thể khai thác theo chuỗi sau:
- Tạo payload độc hại (DLL, script hoặc binary)
- Xóa thư mục Tasks gốc
- Tạo junction trỏ đến thư mục do người dùng kiểm soát
- Chờ tiến trình cập nhật chạy hoặc tự kích hoạt
Mã khai thác mẫu (PoC)
Shlomo đã công bố một mã khai thác mẫu sử dụng PowerShell, không yêu cầu phần mềm bên ngoài:
- Payload: "updatehelper.ps1" đặt tại "C:\inetpub\wwwroot", script này tạo một tài khoản quản trị mới.
- Thư mục Tasks bị xóa và thay bằng junction.
- Script theo dõi tiến trình cập nhật, khi chạy thì SYSTEM thực thi payload.
Khai thác chỉ sử dụng các công cụ gốc của Windows (như PowerShell), không cần phần mềm bên ngoài, giúp tránh bị phát hiện bởi Defender, AMSI hoặc WDAC.Người dùng được khuyến cáo:
- Kiểm tra các thư mục như "C:\inetpub\wwwroot" để phát hiện các tập lệnh hoặc tệp lạ có thể được sử dụng trong quá trình khai thác.
- Cập nhật phiên bản Windows đã vá lổ hổng.
- Sử dụng các công cụ giám sát để phát hiện các hành vi bất thường (chẳng hạn như việc tạo tài khoản quản trị viên mới hoặc các thay đổi trong cấu hình hệ thống).
Theo Security Online
Chỉnh sửa lần cuối: