Hacker tiết lộ Zero-Day thứ hai, bẻ gãy bản vá lỗ hổng EoP của Windows

Nhà nghiên cứu bảo mật với nickname SandboxEscaper mới đây đã chia sẻ công khai một zero-day exploit thứ hai, có thể được sử dụng để bẻ gãy bản vá bảo mật nâng cao cho lỗ hổng đặc quyền hệ thống vốn cũng chỉ được phát hiện gần đây trong hệ điều hành Microsoft Windows.

• Microsoft Azure đang được sử dụng để lưu trữ phần mềm độc hại và máy chủ C2

SandboxEscaper là một trong những hacker cực kỳ nổi tiếng trong việc săn tìm lỗ hổng bảo mật trên Windows. Chuyên gia nghiên cứu bảo mật này đã không ít lần công khai các zero-day exploit hướng đến những lỗ hổng Windows chưa được vá. Chỉ tính riêng trong năm 2018 vừa qua, SandboxEscaper đã tiết lộ tổng cộng hơn nửa tá lỗ hổng zero-day trong hệ điều hành Windows mà không thực sự bận tâm đến việc thông báo trước cho Microsoft biết về các vấn đề trên sản phẩm của họ.

• Chiến dịch botnet GoldBrute đang cố hack 1,5 triệu máy chủ RDP trên toàn thế giới

Chỉ trong 2 tuần trước, SandboxEscaper đã tiết lộ đến 4 trường hợp exploit Windows mới, một trong số đó là exploit có thể cho phép kẻ tấn công vượt qua bản vá bảo mật nâng cao cho lỗ hổng đặc quyền (CVE-2019-0841) trong Windows, tồn tại khi Windows AppX Deployment Service (AppXSVC) xử lý các liên kết cứng (hard link) không đúng cách.

Giờ đây, hacker này lại một lần nữa tuyên bố đã tìm ra thêm phương thức mới để vượt qua bản vá bảo mật mà Microsoft tung ra cho cùng một lỗ hổng nêu trên, cho phép một ứng dụng độc hại được thiết kế đặc biệt để tự động leo thang các đặc quyền cho chính nó, và cuối cùng chiếm quyền kiểm soát hoàn toàn máy tính Windows bị nhắm mục tiêu cho dù hệ thống này đã được cập nhật bản vá mới nhất của Microsoft.

• Microsoft gấp rút tung ra cập nhật bảo mật cho Windows XP, Server 2003

Exploit mới này được đặt tên là ByeBear, và như bạn có thể thấy ở video trình diễn phía trên, ByeBear sẽ lạm dụng trình duyệt Microsoft Edge để viết danh sách kiểm soát truy cập tùy ý (DACL) làm đặc quyền hệ thống (SYSTEM privilege).

Bản vá tiếp theo cho lỗ hổng này nhiều khả năng sẽ được Microsoft tung ra theo lộ trình của Tuesday update, dự kiến vào ngày 11 tháng 6 tới đây. Hãy chờ xem liệu đội ngũ Windows có thừa nhận rằng hệ thống của mình có vấn đề trong 4 lần exploit trước đó, và liệu họ có thể đưa ra được một bản sửa lỗi bảo mật đặc hiệu để giải quyết gọn gàng lỗ hổng này hay không.