InforSec News: Cảnh Báo Lỗ Hổng Leo Thang Quyền Hạn Trên Windows CVE-2024-43452

Top Block Position

Cảnh Báo Lỗ Hổng Leo Thang Quyền Hạn Trên Windows CVE-2024-43452

CVE-2024-43452 là một lỗ hổng bảo mật nghiêm trọng được phát hiện trong cơ chế quản lý bộ nhớ Windows Registry Hive. Lỗ hổng này có thể bị khai thác để leo thang đặc quyền lên SYSTEM, cho phép kẻ tấn công chiếm toàn quyền kiểm soát hệ thống.

Nguyên nhân:

Lỗi xảy ra trong quá trình quản lý bộ nhớ liên quan đến registry hive. Dưới áp lực bộ nhớ cao, các trang bộ nhớ có thể bị nạp lại và ghi đè từ các nguồn bên ngoài, cho phép máy chủ SMB độc hại cung cấp dữ liệu giả mạo trong hai lần đọc, từ đó phá vỡ các giả định an toàn của kernel.

Tác động:

Khai thác lỗi này để thực hiện leo thang quyền hạn lên SYSTEM. Thực hiện các thao tác nguy hiểm như cài đặt phần mềm độc hại, trích xuất dữ liệu nhạy cảm hoặc làm gián đoạn hoạt động của hệ thống.

Chi tiết quá trình khai thác

PoC (Proof of Concept) được phát hành bởi Mateusz Jurczyk thuộc nhóm Google Project Zero đã minh họa rõ cách thức khai thác lỗ hổng:
Máy chủ độc hại: Kẻ tấn công triển khai máy chủ SMB chứa tệp registry hive đã bị chỉnh sửa.
Khai thác: Máy nạn nhân tải tệp hive, kích hoạt quy trình nạp/ghi bộ nhớ với dữ liệu độc hại từ máy chủ SMB.
Leo thang: Thông qua việc kiểm soát các tham số như FileOffset và Size, kẻ tấn công chiếm quyền điều khiển hệ thống bằng cách khai thác lỗi bộ nhớ.

Khuyến nghị

Cập nhật bản vá ngay lập tức: Microsoft đã phát hành bản vá cho lỗ hổng này vào Patch Tuesday, tháng 11/2024. Người dùng cần cập nhật hệ điều hành để giảm thiểu rủi ro.
Thực hiện các biện pháp bảo mật bổ sung:

Hạn chế truy cập SMB: Chỉ cho phép kết nối SMB từ các nguồn đáng tin cậy.
Giám sát hoạt động SMB: Theo dõi lưu lượng mạng để phát hiện các hoạt động bất thường liên quan đến SMB.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học