Chi tiết về lỗ hổng chưa được vá đã bị tiết lộ công khai sau khi Microsoft không thể vá lỗ hổng trong 90 ngày, kể từ ngày được báo cáo về lỗ hổng 24/9/2020. Lỗ hổng định danh CVE-2020-0986, liên quan đến việc nâng cấp quyền khai thác đặc quyền trong Windows Print Spooler API ("splwow64.exe"), đã được báo cáo cho Microsoft bởi một người dùng ẩn danh làm việc với Zero Day Initiative (ZDI) của công ty Trend Micro vào cuối năm 2019.

ZDI đã đăng thông báo về lỗ hổng zero-day này vào ngày 19/5/2020. Sau 6 tháng không có bản vá, lỗ hổng đã bị khai thác trong một chiến dịch có tên "PowerFall" nhắm mục tiêu vào một công ty tại Hàn Quốc.

“Splwow64.exe” là một tập tin tồn tại trong lõi của hệ điều hành Windows cho phép các ứng dụng 32-bit kết nối với một dịch vụ hàng đợi in ấn 64-bit trên hệ điều hành Windows 64-bit. Nó bao gồm một máy chủ Thủ tục gọi hàm nội bộ (Local Procedure Call – LPC) có thể được sử dụng bởi các tiến trình khác để truy cập các chức năng in.

Việc khai thác thành công lỗ hổng này giúp các hacker chiếm quyền bộ nhớ của tiến trình "splwow64.exe", thực thi mã tùy ý ở mức lõi của hệ điều hành. Cuối cùng, hacker có thể cài đặt các chương trình độc hại, xem, thay đổi hoặc xóa dữ liệu trên máy nạn nhân hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.

Tuy nhiên, để đạt được điều này, trước tiên các hacker phải đăng nhập được vào hệ thống mục tiêu được đề cập. Điều này làm giảm khả năng khai thác của lỗ hổng.

Một bài viết trên Twitter về công bố của Google Project Zero

Mặc dù, Microsoft đã giải quyết lỗ hổng trong một bản cập nhật vào tháng 6, nhưng phát hiện mới từ nhóm bảo mật của Google cho thấy lỗ hổng này vẫn chưa được khắc phục hoàn toàn.

"Lỗ hổng bảo mật vẫn tồn tại, chỉ là phương pháp khai thác đã thay đổi. Vấn đề ban đầu là một tham chiếu con trỏ tùy ý cho phép kẻ tấn công kiểm soát các con trỏ nguồn và đích sử dụng trong hàm memcpy. Bản sửa lỗi chỉ đơn giản là thay đổi các con trỏ thành các hiệu số, điều này vẫn cho phép kiểm soát các tham số của memcpy", nhà nghiên cứu Maddie Stone của Google Project Zero cho biết trong một bài viết.

Maddie Stone cũng đã chia sẻ mã khai thác (Proof-of-concept - PoC) của lỗ hổng CVE-2020-17008, dựa trên POC do Kaspersky phát hành cho CVE-2020-0986.

“Đã có quá nhiều lỗ hổng zero-day bị lợi dụng để khai thác trên mạng vào năm nay mà các bản vá không thể khắc phục triệt để hoặc không vá chính xác. Khi các zero-day này không được khắc phục hoàn toàn, những kẻ tấn công có thể sử dụng lại kiến thức của họ về các lỗ hổng và các phương pháp khai thác để dễ dàng phát triển các zero-day mới."

Dự kiến, Microsoft sẽ phát hành bản vá khắc phục lỗ hổng này vào ngày 12/1/2021.