Lỗ hổng RCE cực kì nghiêm trọng trong chính công cụ diệt mã độc của Microsoft

Các nhà nghiên cứu thuộc Google Project Zero mới phát hiện ra một lỗ hổng thực thi mã từ xa (RCE) cực kỳ nghiêm trọng trong hệ điều hành Windows của Microsoft.

Nhà nghiên cứu Tavis Ormandy chi biết ông và một đồng nghiệp tại tại Project Zero đã phát hiện ra “một lỗ hổng thực thi mã từ xa tồi tệ nhất và đang tiến hàng báo cáo” (CVE-2017-0290). Ormandy hiện chưa cung cấp thông tin chi tiết về lỗ hổng do chính sách thời hạn 90 ngày xử lý lỗ hổng. Một vài thông tin về lỗ hổng được tiết lộ như sau:

  • Lỗ hổng được phát hiện trong bản cài đặt gốc của Windows.
  • Tin tặc không cần ở trong mạng cục bộ (LAN) để tấn công nạn nhân.
  • Cuộc tấn công có thể lây lan dưới dạng mã độc.

Thực chất lỗ hổng nằm trong phần mềm diệt mã độc của Microsoft, được đóng gói và quảng bá dưới các hình thức khác nhau như :

  • Windows Defender
  • Windows Intune Endpoint Protection
  • Microsoft Security Essentials
  • Microsoft System Center Endpoint Protection
  • Microsoft Forefront Security for SharePoint
  • Microsoft Endpoint Protection
  • Microoft Forefront Endpoint Protection.

Tại thời điểm hiện tại, tất cả các phần mềm này đều được mặc định bật trên Windows 8, 8.1, 10 và Windows Server 2012. Để khai thác lỗ hổng, tin tặc sẽ tạo ra một tệp tin chứa mã độc và phần mã độc sẽ được thực thi từ động bởi công cụ diệt mã độc khi công cụ này điều tra dữ liệu. Phần mã độc được thực thi bằng quyền quản trị cho phép toàn quyền kiểm soát hệ thống, cài đặt phần mềm gián điệp, đánh cắp dữ liệu, vv…

Ngay vào tối thứ hai, một bản cập nhật khẩn cấp đã được Microsoft phát hành. Bản cập nhật sẽ tự động tải về và cài đặt trên thiết bị của người dùng. Tuy nhiên vẫn còn rất nhiều thiết bị và người dùng không sử dụng tính năng cập nhật tự động của Windows.

THN

 

Bình luận

Từ khóa: