Liên kết web site
Thống kê truy cập
  • Đang truy cập: 1
  • Hôm nay: 1
  • Trong tuần: 1
  • Tháng hiện tại: 1
  • Tổng lượt truy cập: 1
Đăng nhập
06/12/2024
Cảnh Báo Đã Có PoC Khai Thác Lỗ Hổng Windows Task Scheduler (CVE-2024-49039)
Mã PoC - Proof-of-Concept cho lỗ hổng CVE-2024-49039 trong Windows Task Scheduler đã được công bố công khai. Lỗ hổng này đang bị nhóm tin tặc RomCom tích cực khai thác trong thực tế để leo thang đặc quyền và thực thi mã độc. Với điểm CVSS 8.8, lỗ hổng này đặc biệt nguy hiểm khi kẻ tấn công có thể giành quyền kiểm soát hệ thống mục tiêu.

Mã PoC - Proof-of-Concept cho lỗ hổng CVE-2024-49039 trong Windows Task Scheduler đã được công bố công khai. Lỗ hổng này đang bị nhóm tin tặc RomCom tích cực khai thác trong thực tế để leo thang đặc quyền và thực thi mã độc. Với điểm CVSS 8.8, lỗ hổng này đặc biệt nguy hiểm khi kẻ tấn công có thể giành quyền kiểm soát hệ thống mục tiêu.

Chi Tiết Lỗ Hổng

  • CVE-2024-49039 là lỗ hổng trong thành phần WPTaskScheduler.dll của Windows Task Scheduler, xuất hiện từ Windows 10 phiên bản 1507.
  • Lỗ hổng này cho phép:
    • Vượt qua hạn chế bảo mật như Restricted Token Sandbox.
    • Leo thang đặc quyền từ Low Integrity lên Medium Integrity.
    • Thực thi mã độc với quyền cao hơn mà không cần sự cho phép của người dùng.

Khai Thác Trong Thực Tế

Nhóm RomCom đã sử dụng CVE-2024-49039 trong các chiến dịch tấn công gần đây, nhắm vào người dùng Firefox và Tor Browser. Cụ thể, nhóm này đã:

  • Chuỗi tấn công: Kết hợp lỗ hổng này với một lỗ hổng khác (CVE-2024-9680) để vượt qua sandbox trình duyệt và thực thi mã độc trực tiếp trên hệ thống.

Nguy Cơ Từ PoC

Mã PoC hiện đã được đăng tải trên GitHub, cho phép bất kỳ ai cũng có thể sử dụng để kiểm tra hoặc khai thác lỗ hổng.

  • Các tính năng của PoC:
    • Biên dịch mã thành tệp thực thi (EXE) hoặc thư viện động (DLL) để tấn công.
    • Thử nghiệm với các mô-đun nhạy cảm như gpu-process hoặc audio.mojom.AudioService.

Phiên Bản Bị Ảnh Hưởng

  • Windows 10 từ phiên bản 1507 trở đi.
  • Windows 11, bao gồm phiên bản 23H2.
  • Windows Server 2016 và các phiên bản chưa cập nhật khác.

Khuyến nghị

  1. Áp dụng bản vá bảo mật:
    • Microsoft đã phát hành bản cập nhật vá lỗ hổng vào ngày 12/11/2024. Hãy cập nhật hệ thống ngay lập tức.
  2. Kiểm tra và giám sát:
    • Sử dụng công cụ bảo mật (như System Informer, ProcMon) để phát hiện các tiến trình bất thường.
    • Xem xét các hành vi liên quan đến WPTaskScheduler.dll.
  3. Bảo mật bổ sung:
    • Hạn chế quyền truy cập RPC đối với các tiến trình không cần thiết.
    • Tăng cường chính sách bảo mật cho các tiến trình Low Integrity.

Tham khảo

  • Mã PoC - Proof-of-Concept cho lỗ hổng CVE-2024-49039 trong Windows Task Scheduler đã được công bố công khai. Lỗ hổng này đang bị nhóm tin tặc RomCom tích cực khai thác trong thực tế để leo thang đặc quyền và thực thi mã độc. Với điểm CVSS 8.8, lỗ hổng này đặc biệt nguy hiểm khi kẻ tấn công có thể giành quyền kiểm soát hệ thống mục tiêu.

    Chi Tiết Lỗ Hổng

    • CVE-2024-49039 là lỗ hổng trong thành phần WPTaskScheduler.dll của Windows Task Scheduler, xuất hiện từ Windows 10 phiên bản 1507.
    • Lỗ hổng này cho phép:
      • Vượt qua hạn chế bảo mật như Restricted Token Sandbox.
      • Leo thang đặc quyền từ Low Integrity lên Medium Integrity.
      • Thực thi mã độc với quyền cao hơn mà không cần sự cho phép của người dùng.

    Khai Thác Trong Thực Tế

    Nhóm RomCom đã sử dụng CVE-2024-49039 trong các chiến dịch tấn công gần đây, nhắm vào người dùng Firefox và Tor Browser. Cụ thể, nhóm này đã:

    • Chuỗi tấn công: Kết hợp lỗ hổng này với một lỗ hổng khác (CVE-2024-9680) để vượt qua sandbox trình duyệt và thực thi mã độc trực tiếp trên hệ thống.

    Nguy Cơ Từ PoC

    Mã PoC hiện đã được đăng tải trên GitHub, cho phép bất kỳ ai cũng có thể sử dụng để kiểm tra hoặc khai thác lỗ hổng.

    • Các tính năng của PoC:
      • Biên dịch mã thành tệp thực thi (EXE) hoặc thư viện động (DLL) để tấn công.
      • Thử nghiệm với các mô-đun nhạy cảm như gpu-process hoặc audio.mojom.AudioService.

    Phiên Bản Bị Ảnh Hưởng

    • Windows 10 từ phiên bản 1507 trở đi.
    • Windows 11, bao gồm phiên bản 23H2.
    • Windows Server 2016 và các phiên bản chưa cập nhật khác.

    Khuyến nghị

    1. Áp dụng bản vá bảo mật:
      • Microsoft đã phát hành bản cập nhật vá lỗ hổng vào ngày 12/11/2024. Hãy cập nhật hệ thống ngay lập tức.
    2. Kiểm tra và giám sát:
      • Sử dụng công cụ bảo mật (như System Informer, ProcMon) để phát hiện các tiến trình bất thường.
      • Xem xét các hành vi liên quan đến WPTaskScheduler.dll.
    3. Bảo mật bổ sung:
      • Hạn chế quyền truy cập RPC đối với các tiến trình không cần thiết.
      • Tăng cường chính sách bảo mật cho các tiến trình Low Integrity.

    Tham khảo

Duy An
Tin khác
1 2 3 

TRANG THÔNG TIN ĐIỆN TỬ SỞ THÔNG TIN TRUYỀN THÔNG
Thành phần Cổng thông tin điện tử tình Bình Thuận

Địa chỉ: số 192 Đường Phạm Hùng - TP. Phan Thiết - Tỉnh Bình Thuận
Điện thoại: (0252).3833 500
Email: stttt@binhthuan.gov.vn 

 ipv6 readyChung nhan Tin Nhiem Mang
  Designed by VNPT