WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng leo thang đặc quyền cục bộ trong Windows 7 và Server 2008
Một lỗ hổng leo thang đặc quyền cục bộ (LPE) ảnh hưởng đến tất cả các thiết bị Windows 7 và Server 2008 R2 vừa được phát hiện. Lỗ hổng này chưa có bản vá chính thức từ Microsoft nhưng có bản sửa lỗi tạm thời và miễn phí từ nền tảng 0patch.
Lỗi zero-day này ảnh hưởng đến tất cả các thiết bị bị ảnh hưởng, dù có đăng ký chương trình Cập nhật Bảo mật Mở rộng (ESU) của Microsoft hay không.
Bản vá miễn phí của 0patch dành cho các máy tính Windows 7 và Server 2008 R2 không ESU (được cập nhật đến tháng 1/2020) và những máy tính ESU (được cập nhật đến tháng 11/2020).
Từ cấu hình sai register thành zero-day
Lỗ hổng LPE bắt nguồn từ việc cấu hình sai hai khóa đăng ký dịch vụ và cho phép kẻ tấn công cục bộ nâng cao đặc quyền trên bất kỳ hệ thống Windows 7 và Server 2008 R2 nào.
Lỗ hổng được phát hiện bởi nhà nghiên cứu Clément Labro. Đầu tháng này, ông đã xuất bản một nghiên cứu chi tiết cách các quyền không an toàn trên khóa đăng ký HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache và HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper cho phép kẻ tấn công lừa dịch vụ RPC Endpoint Mapper tải các tệp DLL độc hại.
Điều này cho phép chúng thực thi mã tùy ý trong ngữ cảnh của dịch vụ Windows Management Instrumentation (WMI) chạy với quyền LOCAL SYSTEM.
"Nói tóm lại, người dùng cục bộ không phải quản trị viên trên máy tính chỉ cần tạo khóa con Performance trong các khóa trên, điền một số giá trị và kích hoạt giám sát hiệu suất, sau đó dẫn đến tiến trình Local System WmiPrvSE.exe tải DLL của kẻ tấn công và thực thi mã từ đó”, đồng sáng lập 0patch Mitja Kolsek giải thích.
Theo Labro, tại thời điểm này, nếu bạn vẫn đang sử dụng Windows 7/Server 2008 R2 mà không cách ly các máy này đúng cách trong mạng thì việc ngăn chặn kẻ tấn công lấy các đặc quyền SYSTEM có lẽ là điều bạn phải lo lắng nhất.
Bản vá miễn phí cho tất cả các hệ thống Windows bị ảnh hưởng
Các bản vá lỗi của 0patch là mã được gửi qua nền tảng 0patch tới các máy khách Windows để vá các vấn đề bảo mật trong thời gian thực và được áp dụng cho các tiến trình đang chạy mà không yêu cầu khởi động lại hệ thống.
Bản vá này được cung cấp miễn phí cho tất cả mọi người cho đến khi Microsoft phát hành bản sửa lỗi chính thức cho zero-day để giải quyết các vấn đề về quyền hạn đăng ký.
Bản vá này "phá hoại các hoạt động giám sát hiệu suất của hai dịch vụ bị ảnh hưởng là Dnsclient và RpcEptMapper", 0patch cho biết.
Theo Kolsek, trong trường hợp cần theo dõi hiệu suất các dịch vụ này, bản vá này luôn có thể tạm thời bị vô hiệu hóa (cũng không cần khởi động lại dịch vụ).
Dưới đây là một đoạn video về cách ngăn chặn việc khai thác Windows LPE zero-day:
Lỗi zero-day này ảnh hưởng đến tất cả các thiết bị bị ảnh hưởng, dù có đăng ký chương trình Cập nhật Bảo mật Mở rộng (ESU) của Microsoft hay không.
Bản vá miễn phí của 0patch dành cho các máy tính Windows 7 và Server 2008 R2 không ESU (được cập nhật đến tháng 1/2020) và những máy tính ESU (được cập nhật đến tháng 11/2020).
Từ cấu hình sai register thành zero-day
Lỗ hổng LPE bắt nguồn từ việc cấu hình sai hai khóa đăng ký dịch vụ và cho phép kẻ tấn công cục bộ nâng cao đặc quyền trên bất kỳ hệ thống Windows 7 và Server 2008 R2 nào.
Lỗ hổng được phát hiện bởi nhà nghiên cứu Clément Labro. Đầu tháng này, ông đã xuất bản một nghiên cứu chi tiết cách các quyền không an toàn trên khóa đăng ký HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache và HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper cho phép kẻ tấn công lừa dịch vụ RPC Endpoint Mapper tải các tệp DLL độc hại.
Điều này cho phép chúng thực thi mã tùy ý trong ngữ cảnh của dịch vụ Windows Management Instrumentation (WMI) chạy với quyền LOCAL SYSTEM.
"Nói tóm lại, người dùng cục bộ không phải quản trị viên trên máy tính chỉ cần tạo khóa con Performance trong các khóa trên, điền một số giá trị và kích hoạt giám sát hiệu suất, sau đó dẫn đến tiến trình Local System WmiPrvSE.exe tải DLL của kẻ tấn công và thực thi mã từ đó”, đồng sáng lập 0patch Mitja Kolsek giải thích.
Theo Labro, tại thời điểm này, nếu bạn vẫn đang sử dụng Windows 7/Server 2008 R2 mà không cách ly các máy này đúng cách trong mạng thì việc ngăn chặn kẻ tấn công lấy các đặc quyền SYSTEM có lẽ là điều bạn phải lo lắng nhất.
Bản vá miễn phí cho tất cả các hệ thống Windows bị ảnh hưởng
Các bản vá lỗi của 0patch là mã được gửi qua nền tảng 0patch tới các máy khách Windows để vá các vấn đề bảo mật trong thời gian thực và được áp dụng cho các tiến trình đang chạy mà không yêu cầu khởi động lại hệ thống.
Bản vá này được cung cấp miễn phí cho tất cả mọi người cho đến khi Microsoft phát hành bản sửa lỗi chính thức cho zero-day để giải quyết các vấn đề về quyền hạn đăng ký.
Bản vá này "phá hoại các hoạt động giám sát hiệu suất của hai dịch vụ bị ảnh hưởng là Dnsclient và RpcEptMapper", 0patch cho biết.
Theo Kolsek, trong trường hợp cần theo dõi hiệu suất các dịch vụ này, bản vá này luôn có thể tạm thời bị vô hiệu hóa (cũng không cần khởi động lại dịch vụ).
Dưới đây là một đoạn video về cách ngăn chặn việc khai thác Windows LPE zero-day:
Theo Bleeping Computer