Các nhà nghiên cứu thuộc dự án Project Zero của Google công bố thông tin chi tiết về một lỗi mới của Windows zero-day và cho biết, tin tặc đang khai thác lỗi này để chạy các chương trình độc hại trên máy tính hệ điều hành Windows nhằm đánh cắp thông tin nhạy cảm.
Theo Google, lỗi được lập chỉ mục là CVE-2020-17087, ảnh hưởng
đến Windows 7 và Windows 10. Những kẻ tấn công có thể sử dụng lỗ hổng này để
nâng cao các đặc quyền thâm nhập hệ thống. Lỗ hổng bảo mật phát sinh do lỗi
tràn bộ đệm trong thành phần Windows, được sử dụng cho các hàm mật mã.
Nhóm Project Zero cho biết "Trình điều khiển mật mã
nhân Windows (cng.sys) hiển thị thiết bị \ Device \ CNG với các chương trình chế
độ người dùng và hỗ trợ nhiều IOCTL (cuộc gọi hệ thống cho các hoạt động đầu
vào / đầu ra dành riêng cho thiết bị) có cấu trúc đầu vào không tầm thường
(non-trivial)".
"Trình (cng.sys) có thể tạo thành một bề mặt truy cập tấn
công cục bộ, được tin tặc khai thác để leo thang đặc quyền (thoát khỏi sự sàng
lọc của phần mềm bảo mật Hộp cát (Sandbox))".
Các nhà nghiên cứu của Google cũng cung cấp một mã code chứng
minh khái niệm (PoC), cho thấy có thể được sử dụng để phá hỏng máy tính cài hệ
điều hành Windows 10.
Nhóm nhà nghiên cứu Google giải thích: tội phạm mạng khai
thác lỗi CVE-2020-17087, kết hợp với một lỗi Chrome mới được sửa gần đây để tiến
hành những cuộc tấn công vào máy tính.
Theo Google, các tin tặc sử dụng CVE-2020-17087 kích hoạt lỗ
hổng bảo mật Chrome (được lập chỉ mục là CVE-2020-15999) vượt qua Hộp cát bảo mật,
chạy mã trên các hệ thống dễ bị tổn thương. Lỗi Chrome được Google sửa vào tuần
trước.
Shane Huntley, giám đốc tình báo các mối đe dọa của Google, nhấn
mạnh rằng các cuộc tấn công được thực hiện bằng CVE-2020-17087 là "có mục
tiêu cụ thể" và không liên quan đến cuộc bầu cử tổng thống Mỹ. Theo Ben
Hawkes, trưởng nhóm kỹ thuật Project Zero, Microsoft dự kiến sẽ phát hành bản
vá lỗi Windows zero-day ngày 10/11.
Do lỗi hiện đang bị tin tặc khai thác, Google Project Zero yêu
cầu Microsoft trong 7 ngày phát hành bản vá lỗ hổng này. Thông thường, các nhà
nghiên cứu Google công bố chi tiết lỗi sau 90 ngày hoặc khi có bản vá lỗi. Microsoft
tuyên bố cam kết "điều tra các vấn đề bảo mật được thông báo và cập nhật cho
các thiết bị bị ảnh hưởng bởi lỗ hổng này để bảo vệ khách hàng."
Công ty Microsoft nhấn mạnh, phát hành một bản sửa lỗi bảo mật
cần có sự cân đối giữa chất lượng và thời gian, mục đích cuối cùng là đảm bảo
khách hàng được bảo vệ tối đa với gián đoạn công việc ở mức tối thiểu.
Sự kiện công bố lỗi được đưa ra vào tuần trước, khi
Microsoft được cảnh báo rằng vẫn có những thông tin về việc tin tặc đánh cắp
thông tin đăng nhập tên miền, sử dụng lỗ hổng bảo mật Windows Zerologon.
Đầu tháng 3/2020, các nhà nghiên cứu bảo mật độc lập cũng
công bố chi tiết lỗi bảo mật CVE-2020-0796 (SMBGhost), ảnh hưởng đến giao thức
truyền thông mạng SMBv3 (Server Message Block 3.0) trong một số phiên bản khác
nhau của hệ điều hành Windows Server và Windows 10.
Vào thời điểm đó, Microsoft được cảnh báo rằng, lỗ hổng này
có thể cho phép tin tắc kết nối với các hệ thống từ xa đã bật SMB, kích hoạt mã
độc với đầy đủ đặc quyền của người dùng.