Phát hiện lỗ hổng zero-day trong Windows ở tính năng Hẹn giờ tác vụ

Lỗ hổng zero-day trong Windows nằm trong chức năng hẹn giờ tác vụ cho phép các bên tấn công chiếm quyền nâng cao. 

Hàm API trong chức năng quản lí tác vụ của Windows không kiểm soát được quyền cho phép (permissions) nên các bên tấn công có thể thay đổi hàm đó để chiếm quyền nâng cao. Lỗ hổng này được công bố vào hôm thứ 2 tuần trên Twitter, và vẫn chưa có bản vá.

Lỗ hổng zero-day trong Windows lần này tồn tại trong giao diện Advanced Local Procedure Call (APLC) của tính năng hẹn giờ tác vụ (Task Scheduler) của Microsoft Windows hệ điều hành 64-bit. Hàm API của ALPC không kiểm tra quyền cho phép nên bất kì tin tặc nào muốn tấn công đều có thể thay đổi hàm này.

Văn bản công bố hôm thứ 2 của nhóm CERT có viết: “Chúng tôi xác nhận mã khai thác công khai của lỗ hổng zero-day trong Windows 10 64-bit và hệ thống máy chủ Windows 2016. Các phiên bản khác vẫn có khả năng bị ảnh hưởng nếu tin tặc thay đổi mã nguồn công khai này.”

Lỗ hổng zero-day lần đầu được công bố bởi người dùng Twitter SandBoxEscaper, người đã liên kết một trang GitHub của lỗ hổng.

Phân tích lỗ hổng zero-day trong Windows

Nhà nghiên cứu Kevin Beaumont xác nhận lỗ hổng zero-day trong Windows lần này có tồn tại và đưa ra phân tích: “Lỗ hổng lần này lợi dụng SchRpcSetSecurity để thay đổi quyền cho phép, tạo hard link và lệnh in sử dụng máy in XPS (được cài đặt với Gói Dịch vụ Windows XP 2+) để cướp quyền DLL như SYSTEM.”

Hẹn giờ tác vụ là tính năng của Windows Microsoft cho phép hẹn giờ khởi động các chương trình tại thời điểm cài sẵn. Giao diện ALPC của tính năng này là trung gian truyền tin của các phần trong Windows OS.

Một phần của giao diện này – SchRpcSetSecurity cho phép bất kì ai có danh sách kiểm soát truy cập tùy ý đều có thêt truy cập và cài đặt quyền cho phép cho các file.

Lỗ hổng zero-day trong Windows lần này vẫn có giới hạn: Để chiếm được quyền nâng cao, kẻ xấu phải có thực hiện trong mạng cùng kết nối và cần thực thi mã ưu tiên. Bên cạnh đó, còn cần thay đổi OS thành hệ khác hệ 64-bit (ví dụ OS 32-bit). “Đặc biệt, trên một vài phiên bản không thể hard-code được driver prnms003 thì lỗ hổng không thể bị khai thác”.

Lỗ hổng zero-day trong Windows ở tính năng hẹn giờ tác vụ được đánh giá 6.4 đến 6.8 điểm trên hệ CVSS, có nghĩa là có độ nghiêm trọng “trung bình”.

CERT/CC nói rằng nhóm này chưa có giải pháp cho vấn đề này. Về phía Microsoft cho biết chính sách chuẩn của công ty này là cập nhật thông qua các bản vá định kì.

Threatpost