Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Kẻ tấn công ransomware lạm dụng nhiều trình điều khiển CLFS của Windows Zero-Days

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 126

Trong một năm rưỡi qua, những kẻ tấn công đã khai thác ít nhất năm lỗ hổng — bao gồm bốn lỗ hổng zero-day — trong trình điều khiển Windows cấp hạt nhân, nhạy cảm.

Một loạt báo cáo được Kaspersky's Securelist công bố trong tuần này không chỉ nêu ra một số lỗi mà còn là một vấn đề lớn hơn, mang tính hệ thống hơn trong quá trình triển khai Hệ thống tệp nhật ký chung của Windows (CLFS) hiện tại.

CLFS là một hệ thống ghi nhật ký đa năng, hiệu suất cao dành cho các máy khách phần mềm ở chế độ người dùng hoặc chế độ kernel. Quyền truy cập kernel của nó khiến nó cực kỳ hữu ích đối với những tin tặc đang tìm kiếm các đặc quyền hệ thống cấp thấp và thiết kế hướng đến hiệu suất của nó đã để lại một loạt lỗ hổng bảo mật trong những năm gần đây, đặc biệt là những kẻ tấn công ransomware đã tấn công.

Boris Larin, nhà nghiên cứu bảo mật chính tại Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky, nói với Dark Reading: “Trình điều khiển hạt nhân phải hết sức cẩn thận khi xử lý tệp, vì nếu phát hiện ra lỗ hổng, kẻ tấn công có thể khai thác nó và giành được các đặc quyền hệ thống”. Thật không may, “các quyết định thiết kế trong Windows CLFS đã khiến việc phân tích các tệp CLFS này gần như không thể một cách an toàn, dẫn đến xuất hiện một số lượng lớn các lỗ hổng tương tự”.

Sự cố với Windows CLFS

Số ngày không cấp độ Win32k Larin thừa nhận trong nghiên cứu của mình không phải là điều hoàn toàn hiếm gặp. Tuy nhiên, ông viết, “trước đây chúng tôi chưa bao giờ thấy nhiều lỗ hổng trình điều khiển CLFS được sử dụng trong các cuộc tấn công đang hoạt động trước đây và rồi đột nhiên có nhiều lỗ hổng trong số đó bị phát hiện chỉ trong một năm. Có vấn đề gì nghiêm trọng xảy ra với trình điều khiển CLFS không?”

Không có gì thay đổi đặc biệt về trình điều khiển CLFS trong năm nay. Đúng hơn, những kẻ tấn công dường như vừa xác định được điều gì đã xảy ra với nó trong suốt thời gian qua: Nó nghiêng quá xa về sự cân bằng vĩnh cửu, không thể tránh khỏi giữa hiệu suất và bảo mật.

“CLFS có lẽ đã được 'tối ưu hóa quá mức cho hiệu suất'", Larin viết, nêu chi tiết tất cả các cách khác nhau mà người lái xe ưu tiên nó hơn là bảo vệ. “Sẽ tốt hơn nếu có một định dạng tệp hợp lý thay vì một đống cấu trúc hạt nhân được ghi vào một tệp. Tất cả công việc với các cấu trúc hạt nhân này (có con trỏ) diễn ra ngay trong các khối được đọc từ đĩa. Bởi vì các thay đổi được thực hiện đối với các khối và cấu trúc hạt nhân được lưu trữ ở đó và những thay đổi đó cần được chuyển vào đĩa, nên mã sẽ phân tích cú pháp các khối nhiều lần mỗi khi nó cần truy cập vào thứ gì đó.”

Ông nói thêm: “Tất cả quá trình phân tích cú pháp này được thực hiện bằng cách sử dụng các offset tương đối, có thể trỏ đến bất kỳ vị trí nào trong một khối. Nếu một trong những phần bù này bị hỏng trong bộ nhớ trong quá trình thực thi, hậu quả có thể rất thảm khốc. Nhưng có lẽ tệ nhất là các offset trong tệp BLF trên đĩa có thể bị thao túng theo cách khiến các cấu trúc khác nhau chồng lên nhau, dẫn đến những hậu quả không lường trước được.”

Tổng hợp của tất cả các lựa chọn thiết kế này là ghi nhật ký sự kiện và dữ liệu hiệu quả, nhưng cũng có rất nhiều lỗi dễ bị khai thác. Chỉ riêng năm 2023 đã có CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 — tất cả đều có mức độ nghiêm trọng cao, được xếp hạng 7.8 trên thang CVSS — được sử dụng dưới dạng zero-day, cũng như lỗ hổng thứ năm đã được vá trước khi bất kỳ hoạt động độc hại liên quan nào được phát hiện trên thực tế. Kaspersky nhận thấy tất cả những thứ này đều bị lợi dụng bởi những kẻ tấn công - bao gồm cả Nhóm ransomware Nokoyawa khai thác CVE-2023-28252.

Nếu không có một số hình thức thiết kế lại, CLFS có thể tiếp tục mang đến cơ hội leo thang cho tin tặc. Để chuẩn bị cho điều đó, Larin gợi ý, “các tổ chức nên tập trung vào việc triển khai các biện pháp bảo mật tốt nhất: luôn cài đặt các bản cập nhật bảo mật đúng hạn, cài đặt các sản phẩm bảo mật trên tất cả các thiết bị đầu cuối, hạn chế quyền truy cập vào máy chủ của họ và đặc biệt chú ý đến việc phát hiện các chương trình chống vi-rút đến từ máy chủ, đào tạo nhân viên để họ không trở thành nạn nhân của lừa đảo trực tuyến.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.