🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Các nhà nghiên cứu tiết lộ chi tiết lỗ hổng zero-day Windows đã được vá vào tháng trước

17/10/2022

Thông tin chi tiết về một lỗ hổng bảo mật trong hệ thống Windows Common Log File (CLFS) đã được các nhà nghiên cứu tiết lộ công khai. Lỗ hổng, hiện đã được vá, có thể bị kẻ tấn công khai thác để leo thang quyền trên các máy bị xâm nhập.

Có định danh CVE-2022-37969 (điểm CVSS: 7,8), lỗ hổng do các nhà nghiên cứu từ CrowdStrike, DBAPPSecurity, Mandiant và Zscaler phát hiện và báo cáo, đã được giải quyết trong bản cập nhật Patch Tuesday tháng 9 năm 2022 của Microsoft.

Công ty lưu ý rằng lỗ hổng đã bị khai thác trong thực tế. Tuy nhiên, để khai thác thành công, kẻ tấn công cần phải có quyền truy cập và quyền thực thi mã trên hệ thống mục tiêu.

Mới đây, nhóm nghiên cứu Zscaler ThreatLabz tiết lộ rằng họ đã phát hiện một vụ khai thác zero-day này vào ngày 2 tháng 9 năm 2022.

Công ty bảo mật cho biết "nguyên nhân lỗ hổng do thiếu kiểm tra các giới hạn ràng buộc của trường cbSymbolZone trong Base Record Header cho tệp nhật ký cơ sở (base log file - BLF) trong CLFS.sys".

"Nếu trường cbSymbolZone được đặt thành một offset không hợp lệ sẽ gây ra lỗi out-of-bounds write."

CLFS là một dịch vụ ghi log có thể được sử dụng bởi các ứng dụng phần mềm chạy ở chế độ người dùng hoặc chế độ kernel để ghi lại dữ liệu cũng như các sự kiện và tối ưu hóa việc truy cập log.

Một số trường hợp sử dụng liên quan đến CLFS bao gồm xử lý giao dịch trực tuyến (OLTP), ghi lại các sự kiện mạng (network event), kiểm tra tuân thủ và phân tích mối đe dọa.

Theo Zscaler, lỗ hổng này bắt nguồn từ một metadata block được gọi là bản ghi cơ sở có trong một BLF, được tạo khi một tệp log được tạo bằng hàm CreateLogFile().

Alex Ionescu từ Crowdstrike cho biết "bản ghi cơ sở chứa các symbol tables lưu trữ thông tin về các máy khách, container và các ngữ cảnh bảo mật khác nhau được liên kết với tệp nhật ký cơ sở, cũng như thông tin kế toán (accounting information) trên các bảng này".

Do đó, việc khai thác thành công CVE-2022-37969 thông qua tệp BLF độc hại có thể gây hỏng bộ nhớ và dẫn đến một sự cố hệ thống (như lỗi BSoD).

Sự cố hệ thống chỉ là một trong những hậu quả phát sinh từ việc lạm dụng lỗ hổng này, nó còn có thể được khai thác để leo thang đặc quyền.

Zscaler cũng đã công khai mã khai thác (PoC) cho lỗ hổng, vì vậy người dùng Windows cần nâng cấp lên phiên bản mới nhất ngay để giảm thiểu các mối đe dọa tiềm ẩn.

Nguồn: thehackernews.com

scrolltop