Mô tả

CVE-2024-43452 là một lỗ hổng bảo mật nghiêm trọng được phát hiện trong cơ chế quản lý bộ nhớ Windows Registry Hive. Lỗ hổng này có thể bị khai thác để leo thang đặc quyền lên SYSTEM, cho phép kẻ tấn công chiếm toàn quyền kiểm soát hệ thống.

1. Nguyên nhân:

   Lỗi xảy ra trong quá trình quản lý bộ nhớ liên quan đến registry hive. Dưới áp lực bộ nhớ cao, các trang bộ nhớ có thể bị nạp lại và ghi đè từ các nguồn bên ngoài, cho phép máy chủ SMB độc hại cung cấp dữ liệu giả mạo trong hai lần đọc, từ đó phá vỡ các giả định an toàn của kernel.

    

2. Tác động:

   - Khai thác lỗi này để thực hiện leo thang quyền hạn lên SYSTEM.

   - Thực hiện các thao tác nguy hiểm như cài đặt phần mềm độc hại, trích xuất dữ liệu nhạy cảm hoặc làm gián đoạn hoạt động của hệ thống.

   * Chi tiết quá trình khai thác

   PoC (Proof of Concept) được phát hành bởi Mateusz Jurczyk thuộc nhóm Google Project Zero đã minh họa rõ cách thức khai thác lỗ hổng:

   i. Máy chủ độc hại: Kẻ tấn công triển khai máy chủ SMB chứa tệp registry hive đã bị chỉnh sửa.

   ii. Khai thác: Máy nạn nhân tải tệp hive, kích hoạt quy trình nạp/ghi bộ nhớ với dữ liệu độc hại từ máy chủ SMB.

   iii. Leo thang: Thông qua việc kiểm soát các tham số như FileOffset và Size, kẻ tấn công chiếm quyền điều khiển hệ thống bằng cách khai thác lỗi bộ nhớ.

    

3. Khuyến nghị

   - Cập nhật bản vá ngay lập tức: Microsoft đã phát hành bản vá cho lỗ hổng này vào Patch Tuesday, tháng 11/2024. Người dùng cần cập nhật hệ điều hành để giảm thiểu rủi ro.

   - Thực hiện các biện pháp bảo mật bổ sung: Hạn chế truy cập SMB: Chỉ cho phép kết nối SMB từ các nguồn đáng tin cậy.

   - Giám sát hoạt động SMB: Theo dõi lưu lượng mạng để phát hiện các hoạt động bất thường liên quan đến SMB.

4. Tham khảo

• CVE-2024-43452: PoC Exploit Released for Windows Elevation of Privilege Bug

Duy An – TTCNTT&TT

Theo Nền tảng điều phối xử lý sự cố an toàn thông tin mạng quốc gia