-
30/08/2016
-
317
-
446 bài viết
Lỗ hổng 'DogWalk' trên Windows được 0patch phát hành bản vá miễn phí
Bản vá miễn phí cho lỗ hổng windows zero-day mới trong Công cụ chẩn đoán hỗ trợ của Microsoft (MSDT) vừa được phát hành hôm nay thông qua nền tảng 0patch. Lỗ hổng tên gọi là DogWalk, cho phép attacker khai thác để sao chép lệnh thực thi vào thư mục Windows Startup khi nạn nhân mở một tệp .diagcab độc hại (nhận qua email hoặc tải xuống từ web). Mã độc sẽ được cài đặt tự động và thực thi vào lần tiếp theo khi nạn nhân khởi động lại Windows.
Lỗ hổng này lần đầu tiên được tiết lộ công khai bởi nhà nghiên cứu Imre Rad vào tháng 1/2020, sau khi Microsoft trả lời báo cáo của nhà nghiên cứu rằng sẽ không cung cấp bản sửa lỗi vì đây không phải là vấn đề an ninh. Tuy nhiên, lỗi này gần đây đã được lật lại và thu hút sự chú ý của công chúng bởi nhà nghiên cứu j00sean.
Trong khi Microsoft cho rằng người dùng Outlook không gặp rủi ro vì các tệp .diagcab tự động bị chặn, các nhà nghiên cứu và chuyên gia cho rằng việc khai thác lỗi này vẫn là một vector tấn công hợp lệ.
Ví dụ: nếu hacker cung cấp tệp độc hại thông qua một ứng dụng email khác hoặc file tải từ các trang web do hacker kiểm soát.
Mặc dù các tệp .diagcab được tải xuống từ Internet và bao gồm cả Mark-of-the-Web (MOTW), Windows bỏ qua cho loại tệp này và cho phép mở tệp mà không cần cảnh báo.
Thuộc tính MOTW được sử dụng bởi các trình duyệt web và Windows để xác định xem một tệp có cần xếp vào diện nghi ngờ hay không và đã bị bỏ qua, từ đó có thể dẫn đến nhiều người dùng mở tệp đã tải xuống.
"Tuy nhiên, Outlook không phải là phương tiện sử dụng duy nhất: các tệp tin tải xuống được chấp nhận bởi tất cả các trình duyệt lớn bao gồm Microsoft Edge bằng cách truy cập một trang web và chỉ mất một cú nhấp chuột trong danh sách tải xuống của trình duyệt để mở nó'', đồng sáng lập 0patch Mitja Kolsek giải thích.
"Không có cảnh báo nào được hiển thị trong quá trình này, trái ngược với việc tải xuống và mở bất kỳ tệp nào khác được biết đến có khả năng thực thi mã của kẻ tấn công".
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Windows, bắt đầu với các bản phát hành mới nhất (Windows 11 và Server 2022) và đến Windows 7 và Server 2008. Các bản vá lỗi phi chính thức có sẵn cho các hệ thống Windows bị ảnh hưởng
"Vì đây là lỗ hổng '0 day' mà chưa có bản sửa lỗi chính thức nào, chúng tôi đang cung cấp các micropatches miễn phí cho đến khi Microsoft tung bản vá", Kolsek nói thêm.
"Chúng tôi không biết liệu lỗ hổng này có đang bị khai thác rộng rãi trên Internet hay không. Chúng tôi biết đó là những vấn đề mà attacker có thể sử dụng thực tế và các micropatch của chúng tôi đảm bảo rằng người dùng 0patch không cần phải quan tâm về vấn đề an ninh này nữa.
"Bạn có thể xem chi tiết kỹ thuật liên quan đến lỗ hổng này và phần giải thích chi tiết về cách các micropatches chặn vector tấn công trong bài đăng trên blog của Kolsek.
Tháng trước, Microsoft đã buộc phải phát hành cảnh báo an ninh chính thức liên quan đến một Windows MSDT khác (được gọi là Follina) sau chối bỏ ban đầu và coi nó không phải là "vấn đề liên quan đến an ninh". 0patch cũng đã ban hành micropatches để giúp quản trị viên bảo vệ hệ thống của họ trong khi Follina Zero-Day đang chờ bản vá chính thức vì đang bị khai thác tích cực trong các cuộc tấn công lừa đảo, nhắm vào cả các cơ quan chính phủ Hoa Kỳ và EU.
Trong khi Microsoft cho rằng người dùng Outlook không gặp rủi ro vì các tệp .diagcab tự động bị chặn, các nhà nghiên cứu và chuyên gia cho rằng việc khai thác lỗi này vẫn là một vector tấn công hợp lệ.
Ví dụ: nếu hacker cung cấp tệp độc hại thông qua một ứng dụng email khác hoặc file tải từ các trang web do hacker kiểm soát.
Mặc dù các tệp .diagcab được tải xuống từ Internet và bao gồm cả Mark-of-the-Web (MOTW), Windows bỏ qua cho loại tệp này và cho phép mở tệp mà không cần cảnh báo.
Thuộc tính MOTW được sử dụng bởi các trình duyệt web và Windows để xác định xem một tệp có cần xếp vào diện nghi ngờ hay không và đã bị bỏ qua, từ đó có thể dẫn đến nhiều người dùng mở tệp đã tải xuống.
"Tuy nhiên, Outlook không phải là phương tiện sử dụng duy nhất: các tệp tin tải xuống được chấp nhận bởi tất cả các trình duyệt lớn bao gồm Microsoft Edge bằng cách truy cập một trang web và chỉ mất một cú nhấp chuột trong danh sách tải xuống của trình duyệt để mở nó'', đồng sáng lập 0patch Mitja Kolsek giải thích.
"Không có cảnh báo nào được hiển thị trong quá trình này, trái ngược với việc tải xuống và mở bất kỳ tệp nào khác được biết đến có khả năng thực thi mã của kẻ tấn công".
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Windows, bắt đầu với các bản phát hành mới nhất (Windows 11 và Server 2022) và đến Windows 7 và Server 2008. Các bản vá lỗi phi chính thức có sẵn cho các hệ thống Windows bị ảnh hưởng
- Windows 11 v21H2
- Windows 10 (v1803 đến v21H2)
- Windows 7
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
"Vì đây là lỗ hổng '0 day' mà chưa có bản sửa lỗi chính thức nào, chúng tôi đang cung cấp các micropatches miễn phí cho đến khi Microsoft tung bản vá", Kolsek nói thêm.
"Chúng tôi không biết liệu lỗ hổng này có đang bị khai thác rộng rãi trên Internet hay không. Chúng tôi biết đó là những vấn đề mà attacker có thể sử dụng thực tế và các micropatch của chúng tôi đảm bảo rằng người dùng 0patch không cần phải quan tâm về vấn đề an ninh này nữa.
"Bạn có thể xem chi tiết kỹ thuật liên quan đến lỗ hổng này và phần giải thích chi tiết về cách các micropatches chặn vector tấn công trong bài đăng trên blog của Kolsek.
Tháng trước, Microsoft đã buộc phải phát hành cảnh báo an ninh chính thức liên quan đến một Windows MSDT khác (được gọi là Follina) sau chối bỏ ban đầu và coi nó không phải là "vấn đề liên quan đến an ninh". 0patch cũng đã ban hành micropatches để giúp quản trị viên bảo vệ hệ thống của họ trong khi Follina Zero-Day đang chờ bản vá chính thức vì đang bị khai thác tích cực trong các cuộc tấn công lừa đảo, nhắm vào cả các cơ quan chính phủ Hoa Kỳ và EU.
Theo BleepingComputer