06/12/2024
Cảnh báo lỗ hổng zero-day trên Windows Server 2012 - Bypass tính năng Mark of the Web
ACROS Security, tổ chức phát triển công nghệ micropatch 0patch, đã công
bố một lỗ hổng bảo mật zero-day nghiêm trọng ảnh hưởng đến Windows Server 2012
và Windows Server 2012 R2. Lỗ hổng này cho phép kẻ tấn công vượt qua cơ chế bảo
mật Mark of the Web (MOTW), làm vô hiệu hóa lớp bảo vệ quan trọng đối với các tệp
tải từ Internet. Mark of the Web là một tính năng được thiết kế để gắn cờ các tệp
tải từ nguồn không an toàn, như Internet. Nó yêu cầu xác nhận từ người dùng trước
khi mở các tệp này, giảm thiểu nguy cơ tấn công bằng phần mềm độc hại. Tuy
nhiên, lỗ hổng được ACROS Security phát hiện đã cho phép loại bỏ cơ chế bảo mật
này trên một số loại tệp nhất định, khiến hệ thống dễ bị xâm nhập.
ACROS Security,
tổ chức phát triển công nghệ micropatch 0patch, đã công bố một lỗ hổng bảo mật
zero-day nghiêm trọng ảnh hưởng đến Windows Server
2012 và Windows Server 2012 R2. Lỗ hổng này cho phép kẻ tấn công vượt
qua cơ chế bảo mật Mark of the Web (MOTW), làm vô hiệu hóa lớp bảo vệ
quan trọng đối với các tệp tải từ Internet.
Mark of the
Web là một tính năng được thiết kế để gắn cờ các tệp tải từ nguồn không an
toàn, như Internet. Nó yêu cầu xác nhận từ người dùng trước khi mở các tệp này,
giảm thiểu nguy cơ tấn công bằng phần mềm độc hại. Tuy nhiên, lỗ hổng được
ACROS Security phát hiện đã cho phép loại bỏ cơ chế bảo mật này trên một số loại
tệp nhất định, khiến hệ thống dễ bị xâm nhập.
Ảnh hưởng
- Phiên bản bị ảnh hưởng:
- Windows Server 2012 cập
nhật đến tháng 10/2023.
- Windows Server 2012
R2 cập nhật đến tháng 10/2023.
- Các phiên bản đầy đủ của Windows
Server 2012 và Windows Server 2012 R2 sử dụng Extended
Security Updates (ESU).
- Mức độ nghiêm trọng:
- Nguy cơ: Tệp độc hại có thể
vượt qua kiểm tra MOTW, mở đường cho các cuộc tấn công sử dụng mã độc,
phishing, hoặc khai thác hệ thống.
- Phạm vi: Tất cả các máy chủ
chạy Windows Server 2012/2012 R2 đều có nguy cơ, kể cả các máy đã cập nhật
đầy đủ.
Chi tiết kỹ thuật
Theo ACROS
Security, lỗ hổng này:
- Tồn tại trong các phiên bản
Windows Server 2012 hơn 2 năm trước mà không được phát hiện.
- Hiện diện trên cả các hệ thống
sử dụng ESU, vốn được cập nhật đến thời điểm hiện tại.
- Có khả năng cho phép kẻ tấn
công bỏ qua cờ bảo mật MOTW thông qua các loại tệp nhất định
(chưa được công bố chi tiết).
Tấn công thực tế:
Kẻ tấn công có thể lợi dụng lỗ hổng này để gửi các tệp tải về từ Internet, được
xử lý như các tệp an toàn trên hệ thống. Điều này làm tăng khả năng thực thi mã
độc mà không bị phát hiện.
Khuyến nghị
Hiện tại,
Microsoft chưa phát hành bản vá chính thức. Tuy nhiên, ACROS
Security đã cung cấp micropatch miễn phí thông qua nền tảng 0patch,
áp dụng cho cả phiên bản không còn được hỗ trợ.
Các micropatch
có sẵn cho:
- Windows Server 2012 cập nhật đến tháng 10/2023.
- Windows Server 2012 R2 cập nhật đến tháng 10/2023.
- Windows Server 2012 (đầy đủ, sử dụng ESU).
- Windows Server 2012 R2 (đầy đủ, sử dụng ESU).
Hướng dẫn cài đặt
micropatch:
- Tải và cài đặt nền tảng 0patch Agent từ trang chủ 0patch.com.
- Đăng ký tài khoản và kích hoạt chế độ nhận micropatch.
- Xác nhận phiên bản Windows và áp dụng micropatch tương ứng.
Tham khảo
Duy An