-
09/04/2020
-
85
-
553 bài viết
Phát hiện lỗ hổng nghiêm trọng trong ngăn xếp giao thức HTTP/3 của Windows
Lỗ hổng CVE-2023-23392 được phát hiện trong ngăn xếp giao thức HTTP/3 của hệ thống Microsoft Windows Server 2022 và Windows 11 với điểm CVSS là 9,8, cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Ngay lập tức Microsoft đã phát hành bản vá và cảnh báo lỗ hổng này có thể sẽ sớm bị khai thác bằng cách gửi một yêu cầu tự tạo đến hệ thống mục tiêu, tạo điều kiện cho kẻ tấn công thực thi mã ở cấp SYSTEM mà không cần sự tương tác của người dùng. Sự kết hợp này làm cho lỗ hổng có tính chất “wormable” (có thể cho phép một phần mềm độc hại – worm – tự động lây nhiễm và tấn công các hệ thống khác mà không cần tương tác của người dùng), thông qua các hệ thống tồn tại lỗ hổng.
Lỗ hổng CVE-2023-23392 ảnh hưởng đến Windows 11 và Windows Server 2022, cho thấy đó là một lỗi mới chứ không phải vấn đề về mã lỗi kế thừa. Điều kiện để bị tấn công là hệ thống mục tiêu phải có HTTP/3 được kích hoạt và được thiết lập để sử dụng đệm I/O - một cấu hình tương đối phổ biến.
Để khai thác lỗ hổng, trước tiên kẻ tấn công sẽ xác định hệ thống mục tiêu đáp ứng các điều kiện tiên quyết sau:
Ngoài ra giao thức HTTP/3 được tích hợp sẵn trên các Microsoft Windows Server 2022 và Microsoft Windows 11, nếu người dùng chưa thể cập nhật bản vá mới nhất thì có thể thực hiện các biện pháp tạm thời như tắt HTTP/3 thông qua khóa registry.
Ngay lập tức Microsoft đã phát hành bản vá và cảnh báo lỗ hổng này có thể sẽ sớm bị khai thác bằng cách gửi một yêu cầu tự tạo đến hệ thống mục tiêu, tạo điều kiện cho kẻ tấn công thực thi mã ở cấp SYSTEM mà không cần sự tương tác của người dùng. Sự kết hợp này làm cho lỗ hổng có tính chất “wormable” (có thể cho phép một phần mềm độc hại – worm – tự động lây nhiễm và tấn công các hệ thống khác mà không cần tương tác của người dùng), thông qua các hệ thống tồn tại lỗ hổng.
Lỗ hổng CVE-2023-23392 ảnh hưởng đến Windows 11 và Windows Server 2022, cho thấy đó là một lỗi mới chứ không phải vấn đề về mã lỗi kế thừa. Điều kiện để bị tấn công là hệ thống mục tiêu phải có HTTP/3 được kích hoạt và được thiết lập để sử dụng đệm I/O - một cấu hình tương đối phổ biến.
Để khai thác lỗ hổng, trước tiên kẻ tấn công sẽ xác định hệ thống mục tiêu đáp ứng các điều kiện tiên quyết sau:
- HTTP/3 đang hoạt động
- Máy chủ sử dụng đệm I/O
Khuyến cáo
Người dùng nên cập nhật các bản vá mới nhất cho Microsoft Windows Server 2022 và Microsoft Windows 11.Ngoài ra giao thức HTTP/3 được tích hợp sẵn trên các Microsoft Windows Server 2022 và Microsoft Windows 11, nếu người dùng chưa thể cập nhật bản vá mới nhất thì có thể thực hiện các biện pháp tạm thời như tắt HTTP/3 thông qua khóa registry.
Theo Security Online
Chỉnh sửa lần cuối: