Lỗi Cloud Files trong Windows cho phép leo thang đặc quyền, mã khai thác đã bị lộ

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
118
1.240 bài viết
Lỗi Cloud Files trong Windows cho phép leo thang đặc quyền, mã khai thác đã bị lộ
WhiteHat Team

Một lỗ hổng đáng lo ngại vừa được phát hiện trong Windows Cloud Files Mini Filter Driver (CVE-2025-55680) có thể cho phép kẻ tấn công từ một tài khoản người dùng bình thường leo thang lên quyền SYSTEM, chèn DLL độc hại và chiếm quyền điều khiển các dịch vụ hệ thống.​


1762411508933.png

Theo các chuyên gia đánh giá, lỗi xuất phát từ cơ chế kiểm tra và sử dụng file (TOCTOU) trong thành phần Cloud Files Mini Filter Driver của Windows. Vấn đề này cho phép kẻ tấn công lợi dụng khoảng trống giữa lúc hệ thống kiểm tra đường dẫn tệp và lúc thực thi thao tác ghi để tráo đổi đường dẫn hợp lệ thành symbolic link (liên kết tượng trưng) trỏ tới thư mục hệ thống. Kết quả là các tệp hoặc DLL có thể bị tạo vào folder hệ thống và được nạp bởi tiến trình có quyền cao dẫn tới chiếm quyền toàn bộ máy.

Cụ thể, chương trình kiểm tra đường dẫn ở user space trước khi đưa yêu cầu xuống kernel. Nếu giữa hai bước này dữ liệu bị sửa đổi (tức xảy ra TOCTOU), hệ thống sẽ vô tình xử lý một đường dẫn khác với đường dẫn đã kiểm tra. Trong chuỗi gọi API liên quan đến Cloud Files (ví dụ: HsmFltProcessHSMControl → HsmFltProcessCreatePlaceholders → HsmpOpCreatePlaceholders), nếu attacker tráo đổi đường dẫn thành symlink tới vị trí hệ thống, hệ thống sẽ tạo placeholder hoặc file trong thư mục bảo vệ, cho phép chèn DLL độc hại.

Kỹ thuật này không dựa vào lỗi mạng hoặc lừa người dùng bấm link, kẻ tấn công chỉ cần quyền truy cập cục bộ (một tài khoản người dùng) để chạy chuỗi thao tác đua và ghi file vào nơi bị bảo vệ.

Quy trình khai thác:
  1. Đăng ký sync root Cloud Files và tạo các junction (liên kết thư mục) trỏ tới vị trí hệ thống nhạy cảm.
  2. Thiết lập cổng giao tiếp với driver Cloud Files để gửi yêu cầu tạo placeholder.
  3. Chạy nhiều luồng (threads) đua nhau: Gửi yêu cầu tạo file rồi liên tục sửa bộ nhớ/đổi đường dẫn, nhằm tráo đổi đường dẫn hợp lệ thành symlink mục tiêu.
  4. Khi DLL độc hại được ghi vào thư mục hệ thống, kẻ tấn công dùng RPC hoặc ép dịch vụ hệ thống (ví dụ dịch vụ RAS) nạp DLL đó hoàn tất leo thang đặc quyền.
Mức độ nguy hiểm:
  • Điểm CVSS: 7,8/10
  • Phạm vi tấn công: Cục bộ
  • Tác động: Chiếm toàn bộ quyền hệ thống, cài phần mềm gián điệp, xóa dữ liệu, kiểm soát dịch vụ mạng...
  • Khai thác công khai: Mã khai thác đã được công bố sau cuộc thi TyphoonPWN.
Microsoft đã phát hành bản vá trong gói cập nhật tháng này. Người dùng và doanh nghiệp nên cập nhật Windows ngay lập tức, đặc biệt với hệ thống máy chủ hoặc máy có nhiều tài khoản cùng truy cập. Đừng coi thường vì đây là tấn công “cục bộ”, chỉ cần một tài khoản bị xâm nhập (qua email lừa đảo hoặc USB nhiễm mã độc), hacker hoàn toàn có thể leo thang và chiếm trọn quyền máy bạn.

Một cú “đánh tráo” nhỏ giữa kiểm tra và thực thi trong Windows đủ để hacker từ “khách” biến thành “chủ nhà”. Hãy cập nhật ngay khi còn kịp.
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Ransomware Clop tái xuất, lợi dụng lỗ hổng zero-day Oracle EBS tấn công toàn cầu
  • Ubuntu vá lỗi nghiêm trọng trong nhân Linux cho phép leo thang đặc quyền lên root
  • Tin tặc phát động các cuộc tấn công khai thác các plugin WordPress lỗi thời
  • Salt Typhoon: Chiến dịch APT quy mô toàn cầu và lời cảnh báo từ Bkav
  • 24 giờ đi tìm lời giải: Tam trụ đám mây lung lay, AWS đóng băng trên toàn cầu
  • Hacker khai thác lỗi zero-day trong IE Mode để kiểm soát thiết bị người dùng
    • Thẻ
    cve-2025-55680 system windows windows cloud files mini filter driver
    Bên trên