4 lỗ hổng Windows có thể bị khai thác thành chuỗi tấn công
Theo chuyên gia Bkav, trong những điều kiện lý tưởng, tin tặc có thể kết hợp 4 lỗ hổng trên để tạo thành một chuỗi tấn công.
Bkav vừa có khuyến cáo người dùng cần lập tức cập nhật hệ điều hành Windows lên phiên bản mới nhất; đồng thời người dùng không nên mở email lạ không rõ nguồn gốc khi mới đây 4 lỗ hổng Windows có thể bị khai thác thành chuỗi tấn công.
Theo đó, các lỗ hổng, gồm 2 lỗi thực thi mã từ xa, 1 lỗi leo thang đặc quyền và 1 lỗi vượt qua tính năng bảo mật Secure Boot. Trong điều kiện lý tưởng, chuyên gia cho rằng hacker có thể kết hợp 4 lỗ hổng tạo thành chuỗi tấn công hoàn hảo. Microsoft đã khắc phục các lỗi này trong bản vá tháng 5 (Patch Tuesday).
Thông tin từ Bkav cho thấy lỗ hổng đầu tiên (mã định danh CVE-2023-29325) là một lỗi thực thi mã từ xa trong công nghệ OLE (Object Linking & Embedding) trên Windows, ảnh hưởng đến Outlook.
Để khai thác, hacker gửi một email lừa đảo độc hại đến người dùng. Chỉ cần nạn nhân mở email bằng phần mềm Outlook, hoặc ứng dụng Outlook hiển thị bản xem thử của email, kẻ tấn công có thể thực thi mã từ xa và chiếm quyền điều khiển hoàn toàn thiết bị.
Lỗ hổng thứ 2, CVE-2023-29336 là lỗi leo thang đặc quyền trong trình điều khiển nhân Win32k của hệ điều hành. Khai thác thành công, tin tặc có thể leo thang từ người dùng lên đặc quyền SYSTEM (quyền cao nhất trong hệ điều hành), từ đó cài cắm mã độc trên thiết bị mục tiêu và duy trì quyền truy cập. Lỗ hổng đang bị khai thác trong các cuộc tấn công thực tế.
Lỗ hổng thứ 3, CVE-2023-24932, tạo điều kiện để hacker vượt qua tính năng khởi động an toàn Secure Boot. Để khai thác, tin tặc tìm cách “nằm vùng” hoặc chiếm quyền quản trị trên thiết bị mục tiêu, từ đó cài mã độc bootkit lên firmware (phần sụn) hệ thống.
Lỗ hổng thứ 4, thực thi mã từ xa CVE-2023-24941 (điểm nghiêm trọng CVSS 9,8/10). Lỗ hổng này được đánh giá là nguy hiểm nhất khi có thể làm bàn đạp để hacker tấn công sâu vào các hệ thống khác. Lỗ hổng tồn tại trong giao thức chia sẻ tệp tin trong mạng NFS (Network File System) của Windows.
Kẻ tấn công chưa được xác thực có thể gửi một lệnh tự tạo đặc biệt đến dịch vụ NFS, từ đó giành quyền kiểm soát các máy chủ Windows. CVE-2023-24941 ảnh hưởng đến Windows Server 2012, 2016, 2019 và 2022 và đặc biệt không yêu cầu tương tác người dùng.
Ông Nguyễn Văn Cường - Giám đốc An ninh mạng của Bkav nhận định rằng thực hiện thành công các bước tấn công, hacker có thể kiểm soát toàn bộ hệ thống, đánh cắp thông tin nhạy cảm... Đặc biệt, lỗ hổng CVE-2023-29325 khiến người dùng đứng trước nguy cơ trở thành nạn nhân của các chiến dịch lừa đảo bằng email (phishing).
Theo chuyên gia Bkav, trong những điều kiện lý tưởng, tin tặc có thể kết hợp 4 lỗ hổng trên để tạo thành một chuỗi tấn công. Cụ thể, lừa nạn nhân click vào email giả mạo để khai thác CVE-2023-29325, từ đó chiếm quyền thực thi mã từ xa trên thiết bị mục tiêu. Tiếp theo, leo thang đặc quyền từ mức người dùng lên đặc quyền hệ thống qua CVE-2023-29336, sau đó lây nhiễm phần mềm độc hại và duy trì quyền truy cập trên thiết bị.
Chuyên gia cũng cho biết khi đã nằm vùng trên thiết bị, hacker có thể khai thác tính năng bảo mật Secure Boot bằng CVE-2023-24932, cài cắm các phần mềm độc hại và duy trì sự hiện diện trên hệ thống nạn nhân. Cuối cùng, lợi dụng CVE-2023-24941 để khai thác sâu vào các máy chủ Windows.