Microsoft tung ra bản vá cho lỗ hổng bảo mật nghiêm trọng, bị khai thác từ giữa năm 2020

Microsoft vừa chính thức đưa ra thông báo cho biết lỗ hổng Windows zero-day có mức độ nghiêm trọng cao với mã định danh CVE-2021-1732 vừa chính thức được vá trong bản cập nhật February 2021 Patch Tuesday.

Đây là động thái mà đáng ra gã khổng lồ Redmond nên thực hiện từ lâu. Bởi CVE-2021-1732 đã được ghi nhận khai thác tích cực trong tự nhiên ít nhất là từ mùa hè năm 2020, theo báo cáo từ nhiều tổ chức bảo mật độc lập cũng như chính dữ liệu phân tích từ xa của Microsoft. Ngoài ra, zero-day là một dạng lỗ hổng leo thang đặc quyền hệ thống cực kỳ nguy hiểm (Windows Win32k Elevation of Privilege Vulnerability), có thể cho phép tin tặc chiếm quyền điều khiển máy tính của nạn nhân.

Cụ thể hơn, lỗ hổng này cho phép những kẻ tấn công cục bộ nâng đặc quyền của chúng lên cấp quản trị bằng cách kích hoạt một điều kiện đạng use-after-free trong thành phần hạt nhân lõi win32k.sys.

Đáng nói hơn, CVE-2021-1732 có thể bị khai thác bởi hacker nắm trong tay các đặc quyền người dùng cơ bản trong những cuộc tấn công có độ phức tạp không thực sự cao, không yêu cầu sự tương tác của người dùng.

Mặc dù các tác nhân đe dọa vẫn cần phải có đặc quyền thực thi mã thì mới có thể khai thác thành công lỗ hồng. Tuy nhiên, điều này hoàn toàn có thể dễ dàng đạt được bằng cách lừa nạn nhân mở các tệp đính kèm độc hại được gửi qua email lừa đảo.

Lỗ hổng bảo mật này được các nhà nghiên cứu tại DBAPPSecurity phát hiện và chính thức báo cáo cho Trung tâm Phản hồi Bảo mật (Microsoft Security Response Center) của Microsoft vào ngày 29/12/2020.

Báo cáo của DBAPPSecurity
Báo cáo của DBAPPSecurity

Theo báo cáo của DBAPPSecurity, lỗ hổng này đã và đang được khai thác tích cực trong các cuộc tấn công có chủ đích bởi 2 nhóm tin tặc có tên Bitter và T-APT-17. Trong đó, nhóm Bitter được biết đến với các chiến dịch đánh cắp thông tin và gián điệp nhắm vào Trung Quốc, Pakistan và Ả Rập Xê Út. Theo quan sát của các chuyên gia bảo mật, thông qua CVE-2021-1732, tin tặc muốn nhắm mục tiêu cụ thể vào các hệ thống Windows 10 1909. Mặc dù trên thực tế, zero-day này cũng ảnh hưởng đến nhiều phiên bản Windows 10 và Windows Server khác nữa.

Hoạt động khai thác lỗ hổng được triển khai trong các cuộc tấn công có chủ đích của Bitter đã được chia sẻ vào ngày 11 tháng 12 trên nền tảng nghiên cứu phần mềm độc hại công khai VirusTotal. Tuy nhiên trên thực tế, các tác nhân đe dọa đã bắt đầu khai thác lỗ hổng này từ giữa năm 2020 theo phân tích của chính Microsoft.

Bình luận

Có Thể Bạn Quan Tâm ?