Các nhà nghiên cứu của ESET đã phát hiện ra lỗ hổng bảo mật trong Windows. Lỗ hổng nằm trong nhân Windows Win32, một phần của hệ thống con cho phép các ứng dụng giao tiếp với hệ điều hành và phần cứng.
Lỗ hổng "có thể được sử dụng để leo thang đặc quyền trên một máy đã bị xâm phạm và cho phép kẻ tấn công thực thi mã độc với đặc quyền cao nhất", Benoit Grunemwald, chuyên gia an ninh mạng tại Eset France, chia sẻ với 01net. Nói tóm lại, tin tặc có thể chiếm quyền điều khiển hoàn toàn máy tính, cài đặt vi-rút hoặc đánh cắp dữ liệu nhạy cảm. Việc khai thác lỗ hổng này không yêu cầu nạn nhân phải nhấp vào liên kết, mở tệp hoặc thực hiện bất kỳ hành động nào khác.
Đây là lỗ hổng Use-After-Free (UAF), "liên quan đến việc sử dụng bộ nhớ không đúng cách trong quá trình vận hành phần mềm", chuyên gia giải thích. Loại lỗ hổng này xảy ra khi một chương trình tiếp tục sử dụng không gian bộ nhớ sau khi đã được giải phóng. Nó "có thể dẫn đến sự cố phần mềm, thực thi mã độc hại (bao gồm thực thi từ xa), leo thang đặc quyền hoặc hỏng dữ liệu.".
Nhiều phiên bản Windows dễ bị tấn công, bao gồm các phiên bản vẫn được hỗ trợ, "trước bản dựng Windows 10 1809, bao gồm Windows Server 2016." Benoit Grunemwald chỉ ra rằng các phiên bản Windows cũ hơn, không còn được Microsoft hỗ trợ, cũng bị ảnh hưởng, cụ thể là Windows 8.1 và Server 2012 R2. Hàng triệu máy tính dễ bị tấn công và "có nguy cơ bị xâm phạm".
Microsoft cũng vá sáu lỗ hổng bảo mật khác trong hệ điều hành. Eset khuyến cáo người dùng hệ thống Windows bị ảnh hưởng nên làm theo lời khuyên của Microsoft và áp dụng các bản vá cần thiết. Ngoài ra, những cá nhân sử dụng máy tính chạy phiên bản Windows cũ được khuyến khích "di chuyển sang phiên bản mới hơn".
Theo báo cáo của các đồng nghiệp của chúng tôi tại Bleeping Computer, cảnh báo của ESET đã được chuyển đến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA). Tin rằng "những loại lỗ hổng này là các phương thức tấn công thường bị tội phạm mạng khai thác và gây ra những rủi ro lớn", tổ chức này đang yêu cầu tất cả các cơ quan liên bang Hoa Kỳ cài đặt các bản vá trước ngày 1 tháng 4 năm 2025.
Lỗ hổng "có thể được sử dụng để leo thang đặc quyền trên một máy đã bị xâm phạm và cho phép kẻ tấn công thực thi mã độc với đặc quyền cao nhất", Benoit Grunemwald, chuyên gia an ninh mạng tại Eset France, chia sẻ với 01net. Nói tóm lại, tin tặc có thể chiếm quyền điều khiển hoàn toàn máy tính, cài đặt vi-rút hoặc đánh cắp dữ liệu nhạy cảm. Việc khai thác lỗ hổng này không yêu cầu nạn nhân phải nhấp vào liên kết, mở tệp hoặc thực hiện bất kỳ hành động nào khác.
Đây là lỗ hổng Use-After-Free (UAF), "liên quan đến việc sử dụng bộ nhớ không đúng cách trong quá trình vận hành phần mềm", chuyên gia giải thích. Loại lỗ hổng này xảy ra khi một chương trình tiếp tục sử dụng không gian bộ nhớ sau khi đã được giải phóng. Nó "có thể dẫn đến sự cố phần mềm, thực thi mã độc hại (bao gồm thực thi từ xa), leo thang đặc quyền hoặc hỏng dữ liệu.".
Một lỗ hổng kết hợp với phần mềm độc hại
Theo nghiên cứu do Eset thực hiện, lỗ hổng này đã bị khai thác trong các cuộc tấn công mạng kể từ năm 2023. Để khai thác lỗ hổng này, trước tiên tin tặc sử dụng một loại vi-rút có tên là PipeMagic. Phần mềm độc hại này "có khả năng đánh cắp dữ liệu và cho phép truy cập từ xa vào máy tính", mở đường cho việc khai thác lỗ hổng bảo mật của hạt nhân Windows Win32. Được Kaspersky phát hiện vào năm 2022, phần mềm độc hại này có liên quan đến các cuộc tấn công bằng phần mềm tống tiền.Nhiều phiên bản Windows dễ bị tấn công, bao gồm các phiên bản vẫn được hỗ trợ, "trước bản dựng Windows 10 1809, bao gồm Windows Server 2016." Benoit Grunemwald chỉ ra rằng các phiên bản Windows cũ hơn, không còn được Microsoft hỗ trợ, cũng bị ảnh hưởng, cụ thể là Windows 8.1 và Server 2012 R2. Hàng triệu máy tính dễ bị tấn công và "có nguy cơ bị xâm phạm".
Microsoft triển khai bản vá
Được ESET cảnh báo, Microsoft đã sửa lỗi này như một phần trong Bản vá lỗi thứ Ba mới nhất. Theo nhà phát hành phần mềm, việc khai thác lỗ hổng này đòi hỏi phải có một lượng chuyên môn nhất định. Trả lời 01Net, Tenable đã xác nhận phân tích của Microsoft và cho biết "việc khai thác có vẻ phức tạp hơn bình thường". Trên thực tế, việc khai thác lỗ hổng này đòi hỏi phải có tình huống cạnh tranh. Nói tóm lại, lỗ hổng này chỉ có thể bị khai thác khi nhiều tiến trình hạt nhân cố gắng truy cập vào tài nguyên bộ nhớ đã được giải phóng. Sự xuất hiện của lỗ hổng bảo mật phụ thuộc vào thứ tự mà các tiến trình này truy cập bộ nhớ.Microsoft cũng vá sáu lỗ hổng bảo mật khác trong hệ điều hành. Eset khuyến cáo người dùng hệ thống Windows bị ảnh hưởng nên làm theo lời khuyên của Microsoft và áp dụng các bản vá cần thiết. Ngoài ra, những cá nhân sử dụng máy tính chạy phiên bản Windows cũ được khuyến khích "di chuyển sang phiên bản mới hơn".
Theo báo cáo của các đồng nghiệp của chúng tôi tại Bleeping Computer, cảnh báo của ESET đã được chuyển đến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA). Tin rằng "những loại lỗ hổng này là các phương thức tấn công thường bị tội phạm mạng khai thác và gây ra những rủi ro lớn", tổ chức này đang yêu cầu tất cả các cơ quan liên bang Hoa Kỳ cài đặt các bản vá trước ngày 1 tháng 4 năm 2025.
