Lỗ hổng nghiêm trọng use-after-free mang mã định danh CVE-2024-38193 (CVSS: 7.8) đã được phát hiện, gây ra nguy cơ lớn cho các hệ thống Windows, cho phép kẻ tấn công nâng cao đặc quyền và thực thi mã tùy ý.
Microsoft cho biết lỗ hổng này giúp kẻ tấn công vượt qua các cơ chế bảo mật thông thường để truy cập vào những khu vực nhạy cảm của hệ thống mà người dùng và quản trị viên thông thường không thể tiếp cận. Đây là một cuộc tấn công phức tạp và tinh vi, có giá trị hàng trăm ngàn đô trên thị trường chợ đen.
Các nhà nghiên cứu cũng công bố kết quả truy vết, tiết lộ rằng nhóm hacker Lazarus đã sử dụng lỗ hổng này để cài đặt loại mã độc FudModule. Đây là loại mã độc rất tinh vi, được phát hiện lần đầu tiên bởi các nhà nghiên cứu từ AhnLab và ESET vào năm 2022.
Lỗ hổng CVE-2024-38193 nằm trong phần mở rộng Registered I/O (RIO) dành cho socket của Windows, một tính năng được thiết kế để tối ưu hóa lập trình socket bằng cách giảm thiểu các lệnh hệ thống.
Quá trình khai thác lỗ hổng qua ba giai đoạn chính:
- Heap Spraying: Kẻ tấn công tạo ra các cấu trúc RIOBuffer giả và các “lỗ trống” để kích hoạt lỗ hổng.
- Kích hoạt lỗ hổng: Bằng cách tạo hai luồng song song, kẻ tấn công deregister các bộ nhớ đệm khi chúng vẫn đang được sử dụng, dẫn đến tình trạng use-after-free.
- Nâng cao đặc quyền: Kẻ tấn công sử dụng khả năng ghi tùy ý vào cấu trúc RIOBuffer đã giải phóng, giành quyền kiểm soát nội dung của bộ nhớ đệm và nâng cao đặc quyền.
Thông qua quá trình này, kẻ tấn công có thể ghi đè cấu trúc _SEP_TOKEN_PRIVILEGES, từ đó nhận được quyền NT AUTHORITY\SYSTEM.
Nhà nghiên cứu bảo mật Nephster đã công bố mã khai thác PoC cho lỗ hổng này trên GitHub, làm gia tăng mức độ đe dọa của nó. Mã PoC này minh họa cách kẻ tấn công có thể dễ dàng nâng cao đặc quyền trên các hệ thống chưa được vá.
Lỗ hổng CVE-2024-38193 đã được vá trong bản cập nhật Patch Tuesday tháng 8/2024. Tuy nhiên, người dùng được khuyến cáo cài đặt bản vá để giảm thiểu rủi ro. Nếu bị khai thác, lỗ hổng này có thể dẫn đến việc kẻ tấn công chiếm quyền kiểm soát hệ thống và truy cập trái phép vào dữ liệu nhạy cảm.
Nguồn: Security Online