Nhà nghiên cứu bảo mật Naor Hodorov vừa công bố phân tích về lỗ hổng CVE-2024-12754 trong phần mềm quản trị từ xa AnyDesk. Lỗ hổng này có thể cho phép người dùng có đặc quyền thấp leo thang đặc quyền, thậm chí chiếm toàn quyền kiểm soát hệ thống.
Nguyên nhân xuất phát từ việc AnyDesk thực hiện thao tác đọc/sao chép tệp tùy ý với đặc quyền cao dưới quyền NT AUTHORITY\SYSTEM. Điều này khiến dịch vụ có thể sao chép tệp đến một vị trí mà người dùng đặc quyền thấp có thể truy cập, từ đó ghi đè tệp hệ thống mà vẫn giữ nguyên quyền sở hữu và phân quyền.
Hodorov chỉ ra rằng người dùng có đặc quyền thấp có thể đặt hình nền của họ, sau đó dịch vụ AnyDesk sẽ sao chép tệp hình nền này vào thư mục C:\Windows\Temp. Kẻ tấn công có thể tạo trước một tệp có cùng tên với tệp đích trong thư mục này. Khi AnyDesk sao chép tệp hình nền, nó sẽ ghi đè lên tệp đã được tạo trước đó, giúp kẻ tấn công giành quyền sở hữu tệp với đặc quyền NT AUTHORITY\SYSTEM.
Lỗ hổng này có thể được khai thác để leo thang đặc quyền cục bộ, nhắm vào các tệp hệ thống quan trọng như SAM, SYSTEM và SECURITY. Bằng cách chiếm quyền kiểm soát các tệp này, kẻ tấn công có thể trích xuất thông tin đăng nhập và chiếm toàn quyền kiểm soát hệ thống.
Lỗ hổng CVE-2024-12754 đã được vá trong AnyDesk v9.0.1. Người dùng cần cập nhật ngay lên phiên bản mới nhất để tránh nguy cơ bị tấn công. Mã khai thác Proof-of-Concept (PoC) đã có sẵn trên GitHub, do đó quản trị viên hệ thống cần nhanh chóng kiểm tra và áp dụng biện pháp bảo mật phù hợp.
