Với định danh CVE-2020-17008, lỗ hổng bảo mật mới này đã được báo cáo cho Microsoft vào ngày 24/9/2020. Theo chính sách của Project Zero, các chi tiết về lỗ hổng sẽ được công khai 90 ngày sau đó, tức là vào cuối năm 2020, mặc dù Microsoft đã bỏ lỡ thời hạn vá lỗi.
Lỗ hổng trước đó có định danh CVE-2020-0986, được tiết lộ vào tháng 5/2020. Lỗ hổng này ban đầu được báo cáo cho Microsoft vào tháng 12/2019 và bản vá được phát hành vào tháng 6/2020. Các cuộc tấn công nhắm vào lỗ hổng bảo mật này đã xuất hiện vài ngày sau khi nó được tiết lộ.
Vào tháng 8/2020, công ty bảo mật Kaspersky đã công bố thông tin về các cuộc tấn công sử dụng lỗ hổng CVE-2020-0986 với một lỗ hổng zero-day trong trình duyệt Internet Explorer, như một phần của chiến dịch tấn công được gọi là Operation PowerFall.
Kaspersky giải thích trong một bài viết hồi tháng 9/2020, bằng cách sử dụng lỗ hổng này, tin tặc có thể thao túng bộ nhớ của tiến trình splwow64.exe để thực thi mã tùy ý trong tiến trình và thoát khỏi hộp cát (sandbox) của trình duyệt Internet Explorer 11 vì splwow64.exe đang thực thi với mức toàn vẹn trung bình.
Cũng là một lỗ hổng leo thang đặc quyền trong splwow64.exe, lỗ hổng CVE-2020-17008 có thể bị lạm dụng đơn giản bằng cách thay đổi phương pháp khai thác CVE-2020-0986, một lỗ hổng tham chiếu con trỏ tùy ý ảnh hưởng đến API của GDI Print/Print Spooler.
Nhà nghiên cứu Maddie Stone thuộc nhóm bảo mật Project Zero của Google giải thích rằng, lỗ hổng CVE-2020-17008 thực sự gần giống với CVE-2020-0986, điểm khác biệt duy nhất là đối với CVE-2020-0986, tin tặc đã gửi một con trỏ và với CVE-2020-17008 là một offset.
Trên Twitter, bà Stone lưu ý rằng bản sửa lỗi của Microsoft là không đúng vì nó chỉ đơn giản là thay đổi các con trỏ thành các offset, không ngăn được kẻ tấn công kiểm soát “các hàm args và memcpy”.
Nhà nghiên cứu cũng công bố mã nguồn bằng chứng khái niệm (PoC) nhắm tới lỗ hổng CVE-2020-17008, lưu ý rằng cách khai thác này được tham khảo từ PoC mà Kaspersky phát hành cho CVE-2020-0986.
Bà Stone cho hay, lỗ hổng trong hàm memcpy bị kích hoạt hai lần: đầu tiên là để rò rỉ địa chỉ heap nơi lưu trữ thông điệp và phần offset được thêm vào để tạo ra các con trỏ và sau đó là thực thi mã ở nơi chỉ định.
Microsoft đã ghi nhận lỗ hổng này một ngày sau khi nhận được báo cáo về nó và từng lên kế hoạch phát hành bản vá vào tháng 11/2020, nhưng đã hoãn do các vấn đề được phát hiện trong quá trình thử nghiệm. Microsoft cũng đã đặt mục tiêu giải quyết lỗ hổng này vào tháng 01/2021.
Đỗ Đoàn Kết
(Theo Security Week)
13:00 | 03/11/2020
16:00 | 18/09/2020
17:00 | 26/08/2020
12:00 | 03/03/2021
09:00 | 11/03/2021
16:00 | 22/05/2021
16:00 | 04/03/2021
10:00 | 14/08/2024
Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
14:00 | 07/08/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện phần mềm độc hại nhắm mục tiêu vào Hệ thống kiểm soát công nghiệp (ICS) được sử dụng trong một cuộc tấn công mạng nhắm vào một công ty năng lượng Lvivteploenerg ở thành phố Lviv của Ukraine vào đầu tháng 1/2024.
17:00 | 12/07/2024
Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.
14:00 | 08/07/2024
Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024