Thông tin chi tiết về một lỗ hổng bảo mật trong hệ thống Windows Common Log File (CLFS) đã được các nhà nghiên cứu tiết lộ công khai. Lỗ hổng, hiện đã được vá, có thể bị kẻ tấn công khai thác để leo thang quyền trên các máy bị xâm nhập.
Có định danh CVE-2022-37969 (điểm CVSS: 7,8), lỗ hổng do các nhà nghiên cứu từ CrowdStrike, DBAPPSecurity, Mandiant và Zscaler phát hiện và báo cáo, đã được giải quyết trong bản cập nhật Patch Tuesday tháng 9 năm 2022 của Microsoft.
Công ty lưu ý rằng lỗ hổng đã bị khai thác trong thực tế. Tuy nhiên, để khai thác thành công, kẻ tấn công cần phải có quyền truy cập và quyền thực thi mã trên hệ thống mục tiêu.
Mới đây, nhóm nghiên cứu Zscaler ThreatLabz tiết lộ rằng họ đã phát hiện một vụ khai thác zero-day này vào ngày 2 tháng 9 năm 2022.
Công ty bảo mật cho biết "nguyên nhân lỗ hổng do thiếu kiểm tra các giới hạn ràng buộc của trường cbSymbolZone trong Base Record Header cho tệp nhật ký cơ sở (base log file - BLF) trong CLFS.sys".
"Nếu trường cbSymbolZone được đặt thành một offset không hợp lệ sẽ gây ra lỗi out-of-bounds write."
CLFS là một dịch vụ ghi log có thể được sử dụng bởi các ứng dụng phần mềm chạy ở chế độ người dùng hoặc chế độ kernel để ghi lại dữ liệu cũng như các sự kiện và tối ưu hóa việc truy cập log.
Một số trường hợp sử dụng liên quan đến CLFS bao gồm xử lý giao dịch trực tuyến (OLTP), ghi lại các sự kiện mạng (network event), kiểm tra tuân thủ và phân tích mối đe dọa.
Theo Zscaler, lỗ hổng này bắt nguồn từ một metadata block được gọi là bản ghi cơ sở có trong một BLF, được tạo khi một tệp log được tạo bằng hàm CreateLogFile().
Alex Ionescu từ Crowdstrike cho biết "bản ghi cơ sở chứa các symbol tables lưu trữ thông tin về các máy khách, container và các ngữ cảnh bảo mật khác nhau được liên kết với tệp nhật ký cơ sở, cũng như thông tin kế toán (accounting information) trên các bảng này".
Do đó, việc khai thác thành công CVE-2022-37969 thông qua tệp BLF độc hại có thể gây hỏng bộ nhớ và dẫn đến một sự cố hệ thống (như lỗi BSoD).
Sự cố hệ thống chỉ là một trong những hậu quả phát sinh từ việc lạm dụng lỗ hổng này, nó còn có thể được khai thác để leo thang đặc quyền.
Zscaler cũng đã công khai mã khai thác (PoC) cho lỗ hổng, vì vậy người dùng Windows cần nâng cấp lên phiên bản mới nhất ngay để giảm thiểu các mối đe dọa tiềm ẩn.
Nguồn: thehackernews.com
Tín nhiệm mạng | Mới đây, công ty bảo mật ThreatFnai cho biết tin tặc đang sử dụng các chiến thuật lừa đảo bằng giọng nói (vishing) để lừa nạn nhân cài đặt phần mềm Android độc hại trên thiết bị của họ.
Tín nhiệm mạng | Tình trạng gọi điện mạo danh Công ty Điện lực thông báo nợ tiền điện nhằm mục đích lừa đảo khách hàng đang diễn ra ngày càng nhiều. Trong trường hợp nghi ngờ cuộc gọi giả mạo Công ty Điện lực, người dùng chỉ cần truy cập vào Danh bạ tín nhiệm trên https://tinnhiemmang.vn là xác thực được số điện thoại đang liên hệ với mình có phải của các đơn vị thuộc EVN hay không.
Tín nhiệm mạng | Thời gian qua, rất nhiều người dân trên cả nước đã nhận được các cuộc gọi mạo danh cơ quan cảnh sát giao thông để thông báo về việc xử lý phạt nguội vi phạm Luật giao thông.
Tín nhiệm mạng | Bản cập nhật Patch Tuesday tháng 10 của Microsoft đã giải quyết tổng cộng 85 lỗ hổng bảo mật, bao gồm các bản vá cho lỗ hổng zero-day đã bị khai thác trong thực tế.
Tín nhiệm mạng | Tuần trước, Microsoft đã thực hiện các cải tiến đối với các phương pháp giảm thiểu giúp ngăn chặn các hành động khai thác nhằm vào hai lỗ hổng bảo mật chưa được vá trong máy chủ Exchange.
Tín nhiệm mạng | Một lỗ hổng thực thi mã từ xa nghiêm trọng, hiện chưa được khắc phục, trong nền tảng email của Zimbra đang bị khai thác trong thực tế. Lỗ hổng có định danh CVE-2022-41352, được xếp ở mức nghiêm trọng với điểm CVSS 9.8, cho phép kẻ tấn công tải lên các tệp tùy ý và thực hiện các hành động độc hại trên các máy chủ bị ảnh hưởng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
