Lỗ hổng này có tên gọi là BatBadBut, được GitHub gắn mã định danh là CVE-2024-24576 (điểm CVSS 10.0), cho thấy mức độ nghiêm trọng tối đa. Nhà nghiên cứu bảo mật RyotaK tới từ công ty an ninh mạng Flatt Security (Nhật Bản) là người đã phát hiện và báo cáo lỗ hổng này cho Trung tâm Điều phối CERT (CERT/CC).
Lỗ hổng tồn tại do hệ điều hành Windows tạo ra tiến trình cmd[.]exe khi thực thi các tệp batch có chức năng “CreatProcess” và các ngôn ngữ lập trình không thoát khỏi (escape) các đối số một cách chính xác khi gọi các tệp batch (với phần mở rộng bat và cmd) trên Windows bằng lệnh API.
Hầu hết các ngôn ngữ lập trình đều bao bọc chức năng CreatProcess để cung cấp giao diện thân thiện hơn với người dùng. Trên Windows, CreatProcess() ngầm tạo ra tiến trình cmd[.]exe khi thực thi các tệp batch, ngay cả khi ứng dụng không chỉ định chúng trong dòng lệnh.
Vấn đề là cmd[.]exe có các quy tắc phân tích cú pháp phức tạp cho các đối số dòng lệnh và thời gian chạy (runtime) ngôn ngữ lập trình không thể thoát khỏi các đối số lệnh một cách chính xác.
Khai thác lỗ hổng này, kẻ tấn công có thể kiểm soát phần đối số lệnh của tệp batch để từ đó chèn lệnh vào các ứng dụng Windows. Tuy nhiên, theo nhà nghiên cứu bảo mật RyotaK, việc khai thác thành công lỗ hổng BatBadBut chỉ xảy ra khi đáp ứng các điều kiện sau:
- Ứng dụng cần thực thi một lệnh trên Windows.
- Ứng dụng không được chỉ định phần mở rộng của tệp lệnh hoặc phần mở rộng tệp là .bat hoặc .cmd.
- Lệnh đang được thực thi có đầu vào (input) do người dùng kiểm soát.
- Thời gian chạy của ngôn ngữ lập trình không thể thoát khỏi các đối số dòng lệnh với tiến trình cmd[.]exe một cách chính xác.
RyotaK lưu ý rằng hầu hết các ứng dụng không bị ảnh hưởng bởi lỗ hổng này và có một số biện pháp giảm thiểu. Hơn nữa, một số ngôn ngữ lập trình được thông báo về lỗ hổng đã thực hiện các bước để giải quyết nó, chẳng hạn như thêm một cơ chế escape khác cho các tệp batch.
“Để ngăn chặn việc thực thi các tệp batch không mong muốn, người dùng nên cân nhắc việc di chuyển các tệp batch sang một thư mục không có trong biến môi trường PATH. Trong trường hợp này, các tệp batch sẽ không được thực thi trừ khi đường dẫn đầy đủ được chỉ định, do đó có thể ngăn chặn việc thực thi các tệp không mong muốn”, RyotaK khuyến nghị.
Cho đến nay, thư viện Haskell, Rust, Node.js, PHP và yt-dlp được biết là bị ảnh hưởng bởi lỗ hổng BatBadBut. Nhưng thực tế là không phải mọi ngôn ngữ lập trình đều giải quyết được vấn đề, hiện mới chỉ có Haskell, Rust và yt-dlp đã công bố các bản vá cập nhật, do đó các nhà phát triển được khuyến nghị nên thận trọng khi thực hiện các thao tác lệnh trên Windows.
Hải Yến
(Tổng hợp)
07:00 | 12/04/2024
09:00 | 03/04/2024
09:00 | 06/03/2024
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
10:00 | 14/08/2024
Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
10:00 | 27/10/2024
