Chỉ vài ngày trước khi phát hành bản vá hàng tháng, Microsoft phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng trong thư viện Windows Host Compute Service Shim (hcsshim), cho phép kẻ tấn công từ xa chạy mã độc trên máy tính Windows.

Microsoft phát hành bản vá khẩn cấp cho lỗ hổng trong Windows container
Microsoft phát hành bản vá khẩn cấp cho lỗ hổng trong Windows container

Windows Host Compute Service Shim (hcsshim) là một thư viện mã nguồn mở giúp “Docker for Windows” thực thi các Windows Server container bằng cách sử dụng API quản lý container cấp thấp trong Hyper-V.

Được tìm thấy bởi nhà phát triển và nghiên cứu bảo mật Thụy Sĩ – Michael Hanselmann, lỗ hổng nghiêm trọng (CVE-2018-8115) là sự thất bại của thư viện hcsshim trong việc xác nhận hợp lệ đầu vào khi import hình ảnh Docker container.

Điều này cho phép kẻ tấn công thực thi từ xa mã tùy ý trên hệ điều hành máy chủ Windows, cuối cùng cho phép kẻ tấn công tạo, xóa và thay thế các tệp trên máy chủ mục tiêu.

Theo Hanselmann giải thích trong blog cá nhân của mình, ” Import một hình ảnh Docker container hoặc pull từ một registry từ xa thường không được thực hiện để sửa đổi hệ thống file host bên ngoài của Docker – cấu trúc dữ liệu bên trong.”

Hanselmann đã báo cáo vấn đề này cho Microsoft vào tháng Hai năm nay và gã khổng lồ công nghệ đã phát hành một phiên bản cập nhật hcssim để khắc phục lỗ hổng này trước khi phát hành bản vá hàng tháng.

Mặc dù lỗ hổng đã được chỉ định ở mức độ nghiêm trọng, Microsoft cho biết việc khai thác lỗ hổng này là không dễ dàng.

Microsoft đề cập trong cảnh báo của hãng “Để khai thác lỗ hổng này, kẻ tấn công sẽ đặt mã độc vào một ảnh container thiết kế đặc biệt, nếu một quản trị viên được xác thực thực hiện import (pull), có thể khiến dịch vụ quản lý container sử dụng thư viện Host Compute Service Shim để thực thi mã độc trên máy chủ Windows.”

Bản vá cho lỗ hổng này giải quyết cách hcsshim xác thực đầu vào từ hình ảnh Docker container, do đó ngăn chặn được việc tải mã độc trong các tệp thiết kế đặc biệt.

Phiên bản cập nhật 0.6.10 của tệp Windows Host Compute Service Shim (hcsshim) hiện có sẵn trên GitHub.

Các chi tiết đầy đủ về lỗ hổng chưa được phát hành, nhưng Hanselmann hứa sẽ xuất bản các chi tiết kỹ thuật chuyên sâu và khai thác bằng chứng về lỗ hổng vào ngày 9 tháng 5, sau một thỏa thuận với trung tâm phản hồi bảo mật của Microsoft.

Bản Patch Tuesday vào tháng 5 năm 2018 của Microsoft đã được lên lịch phát hành vào ngày 8 tháng 5.

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <