Chán với sự kiệt sỉ và chúa hề của Microsoft, nhà nghiên cứu công khai luôn lỗ hổng zero-day của Windows

Câu chuyện bắt đầu từ việc một nhà nghiên cứ bảo mật phát hiện ra một lỗ hổng zero-day mới trên Windows. Lỗ hổng này có thể giúp leo thang độc quyền nội bộ, giúp hacker chiếm quyền admin trên Windows 10, Windows 11 và Windows Server.

Abdelhamid Naceri là nhà nghiên cứu phát hiện ra lỗ hổng nói trên. Hiện nó được gán mã theo dõi CVE-2021-41379 và đã được Microsoft vá trong bản cập nhật Patch Tuesday tháng 11.

Tuy nhiên, không bao lâu sau, Naceri lại tìm ra cách để vượt qua bản vá của Microsoft khai sinh ra một lỗ hổng zero-day leo thang đặc quyền khác nguy hiểm hơn. Điều đáng nói là lần này Naceri không báo cáo cho Microsoft nữa mà công khai luôn phương thức khai thác lỗ hổng trên GitHub. Phương thức khai thác này có thể hoạt động trên tất cả các phiên bản Windows.

Trang tin BleepingComputer đã thử nghiệm phương thức khai thác được đặt tên "InstallerFileTakeOver" của Naceri. Chỉ trong vài giây họ đã thành công trong việc trao quyền kiểm soát mức hệ thống cho một tài khoản tiêu chuẩn cấp thấp. Thử nghiệm được tiến hành trên máy tính cài Windows 10 21H1 build 19043.1348 đã được cập nhật đầy đủ.

Tại sao Naceri không báo cáo lỗi cho Microsoft?

Theo chia sẻ của Naceri, anh không báo cáo lỗi cho Microsoft vì thất vọng với cách làm việc của họ. Đầu tiên, Microsoft đã giảm mức thưởng của chương trình săn lỗi nhận thưởng xuống quá thấp.

"Chương trình săn lỗi nhận thưởng của Microsoft biến thành bãi rác từ tháng 4/2020. Tôi sẽ không công khai phương thức khai thác nếu Microsoft không giảm mức tiền thưởng", Naceri chia sẻ.

Thực tế, Naceri không đơn độc. Nhiều nhà nghiên cứu bảo mật đã tỏ ra thất vọng với cách làm việc của gã khổng lồ phần mềm.

"Theo chương trình săn lỗi nhận thưởng mới của Microsoft, một trong những lỗ hổng zero-day mà tôi phát hiện ra bị giảm giá trị từ 10.000 USD xuống chỉ còn 1.000", nhà nghiên cứu đứng sau tài khoản MalwareTech chia sẻ.

Một nhà nghiên cứu khác cũng lên tiếng phản đối khi lỗ hổng thực thi mã từ xa Hyper-V có thể được khai thác bởi tài khoản khách mà chỉ nhận được 5.000 USD tiền thưởng.

Về lỗ hổng mới, Naceri khuyên mọi người nên chờ bản vá từ Microsoft. Naceri cảnh báo người dùng không nên tự sửa lỗ hổng bằng cách vá các lỗi nhị phân vì nó có thể phá vỡ trình cài đặt.

Microsoft nói gì về vấn đề này?

Chia sẻ với Bleeping Computer, Microsoft cho biết rằng họ đã nhận biết được việc lỗ hổng này bị công bố công khai.

"Chúng tôi nắm được vấn đề và sẽ làm bất cứ điều gì cần thiết để khách hàng của chúng tôi được an toàn và được bảo vệ. Một kẻ tấn công sử dụng các phương thức được miêu tả phải có sẵn quyền truy cập và khả năng chạy code trên máy của nạn nhân", Microsoft tuyên bố.

Đương nhiên Microsoft sẽ phải bảo vệ khách hàng của họ. Còn về phương thức tấn công, như Micorosoft đã nói thì để tận dụng được lỗ hổng hacker phải có quyền truy cập vào máy của nạn nhân. Điều này giúp mối nguy hiểm giảm đi phần nào.

Như thường lệ với các lỗ hổng zero-day khác, Microsoft thường tung ra bản vá trong bản cập nhật Patch Tuesday tiếp theo.

Lỗ hổng đang bị hacker tích cực khai thác

Ngay sau khi nhà nghiên cứu Naceri công bố phương pháp khai thác lỗ hổng mới trên GitHub, các hacker đã ngay lập tức vào cuộc. Các nhà nghiên cứu bảo mật của Cisco Talos đã phát hiện ra những malware có code khai thác lỗ hổng.

"Trong điều tra của chúng tôi, chúng tôi phát hiện ra các mẫu malware tìm cách khai thác lỗ hổng", Nick Biasini, Giám đốc Cisco Talos chia sẻ. "Hiện tại, số lượng vẫn chưa nhiều và hoàn toàn có thể chỉ là những người tò mò muốn thử phương thức khai thác hoặc thử các chiến dịch trong tương lai".