Một nhà nghiên cứu bảo mật đến từ công ty cung cấp dịch vụ an ninh mạng quốc tế IOActive mới đây đã tình cờ phát hiện ra một lỗ hổng leo thang đặc quyền trong Windows, có thể bị khai thác bằng cách lạm dụng chính các trò chơi tải xuống từ Microsoft Store.
Lỗ hổng này có mã định danh CVE-2020-16877, và được xếp hạng với mức độ nghiêm trọng “cao”, có thể ảnh hưởng trực tiếp đến cấu trúc hệ thống của Windows 10 cũng như Windows Server. CVE-2020-16877 hiện đã được Microsoft vá bằng các bản cập nhật Patch Tuesday phát hành trong tháng 10 vừa qua, tuy nhiên thông tin chi tiết về lỗ hổng này đến bây giờ mới được tiết lộ công khai theo đúng quy định bảo mật chung.
Donato Ferrante, cố vấn bảo mật cấp cao tại IOActive, người đã tìm ra và báo cáo lỗ hổng trên cho Microsoft, vừa chính thức xuất bản một bài đăng trên blog cá nhân, mô tả chi tiết về CVE-2020-16877 cùng một số kịch bản tấn công theo lý thuyết. Vị chuyên gia này cũng đã chỉ ra cụ thể cách thức kẻ tấn công có thể khai thác lỗ hổng để thực hiện hành vi leo thang đặc quyền SYSTEM trên Windows 10 chỉ với một tài khoản người dùng tiêu chuẩn.
Cụ thể hơn, Ferrante đã tình cờ phát hiện ra lỗ hổng này sau khi Microsoft thông báo rằng họ bắt đầu cho phép người dùng mod một số trò chơi trong Microsoft Store. Các bản mod “tự chế” kiểu này vốn không có gì xa lạ trong thế giới game. Chúng cho phép người chơi thực hiện hàng loạt sửa đổi không chính thức đối với trò chơi nhằm mục đích thay đổi phần nào đó cách thức hoạt động hoặc giao diện.
Nhà nghiên cứu đã thử tải xuống một trò chơi hỗ trợ các bản mod và sau đó tiến hành phân tích quá trình cài đặt của nó. Ferrante nhận thấy rằng trò chơi đang chạy với các quyền cao hơn bình thường khi được bật cùng với bản mod. Như vậy, có thể khẳng định rằng kẻ tấn công hoàn toàn có khả năng lạm dụng quy trình này để leo thang đặc quyền bằng cách ghi đè hoặc xóa các tệp tùy ý trên hệ thống.
Tuy nhiên để đạt được điều này, kẻ tấn công cũng sẽ phải sử dụng đến các liên kết tượng trưng (symlinks) - là các tệp shortcut có thể bị lạm dụng để viết, sửa đổi hoặc xóa các tệp. Và những tệp này lại có thể được tận dụng để leo thang đặc quyền.
Ferrante đã tạo các liên kết tượng trưng giữa thư mục ModifiableWindowsApps mà Microsoft tạo ra để lưu trữ các trò chơi có thể sửa đổi và một thư mục được đặt trên ổ đĩa khác mà ông có thể truy cập. Điều này cho phép Ferrante chiếm quyền điều khiển quá trình cài đặt và giành được các đặc quyền nâng cao trên hệ thống, cả bằng cách ghi đè và xóa tệp.
Ngoài ra để thực hiện được cuộc tấn công dạng này, hacker cũng cần phải thay đổi các tùy chọn cài đặt lưu trữ Windows để trò chời được lưu vào ổ đĩa mà chúng có quyền truy cập, và đồng thời cũng cần cài đặt trò chơi từ Microsoft Store.
Về cơ bản, Ferrante đã chứng minh được tác động tiềm ẩn của lỗ hổng bằng cách tạo ra một shell running với các đặc quyền SYSTEM, bắt đầu chỉ từ tài khoản người dùng tiêu chuẩn.
Phía Microsoft khẳng định chưa ghi nhận bất cứ trường hợp lỗ hổng bảo mật bị khai này bị thác trong thực tế, ít nhất là tính đến thời điểm hiện tại.