MinhSec
Writer
Một lỗ hổng nghiêm trọng vừa được các nhà nghiên cứu bảo mật phát hiện trong cơ chế cập nhật của Windows Defender. Lỗ hổng này có thể cho phép kẻ tấn công có quyền quản trị viên vô hiệu hóa dịch vụ bảo mật và thậm chí thao túng các tệp lõi của phần mềm phòng thủ.
Theo phân tích của nhóm nghiên cứu Zero Salarium, vấn đề nằm ở cách Windows Defender lựa chọn thư mục phiên bản trong quá trình cập nhật. Cụ thể, phần mềm sẽ tự động chọn thư mục có số phiên bản cao nhất trong đường dẫn ProgramData\Microsoft\Windows Defender\Platform. Dù Microsoft đã hạn chế chỉnh sửa thư mục này, nhưng người dùng có quyền quản trị viên vẫn có thể tạo thư mục mới và cài đặt một liên kết tượng trưng (symlink). Điều này giúp kẻ tấn công chuyển hướng dịch vụ sang thư mục giả mạo do họ kiểm soát.
Để thực hiện tấn công, kẻ xấu chỉ cần sao chép các tệp thực thi hợp pháp của Defender sang một thư mục mới, sau đó tạo symlink giả mạo có số phiên bản cao hơn trong thư mục Platform. Khi hệ thống khởi động lại, Windows Defender sẽ tin rằng đây là phiên bản mới nhất và chạy từ vị trí do kẻ tấn công lựa chọn.
Một khi kiểm soát được thư mục này, kẻ tấn công có thể:
Trong một thử nghiệm, nhà nghiên cứu đã chứng minh rằng chỉ cần xóa liên kết tượng trưng sau khi chiếm quyền, Windows Defender sẽ không thể tìm thấy tệp cần thiết, dẫn đến dịch vụ bị dừng hoàn toàn. Điều này đồng nghĩa với việc mọi cơ chế chống vi-rút và bảo vệ theo thời gian thực sẽ bị vô hiệu, để máy tính phơi bày trước các nguy cơ tấn công mạng.
cybersecuritynews.com
Theo phân tích của nhóm nghiên cứu Zero Salarium, vấn đề nằm ở cách Windows Defender lựa chọn thư mục phiên bản trong quá trình cập nhật. Cụ thể, phần mềm sẽ tự động chọn thư mục có số phiên bản cao nhất trong đường dẫn ProgramData\Microsoft\Windows Defender\Platform. Dù Microsoft đã hạn chế chỉnh sửa thư mục này, nhưng người dùng có quyền quản trị viên vẫn có thể tạo thư mục mới và cài đặt một liên kết tượng trưng (symlink). Điều này giúp kẻ tấn công chuyển hướng dịch vụ sang thư mục giả mạo do họ kiểm soát.
Cách khai thác lỗ hổng
Để thực hiện tấn công, kẻ xấu chỉ cần sao chép các tệp thực thi hợp pháp của Defender sang một thư mục mới, sau đó tạo symlink giả mạo có số phiên bản cao hơn trong thư mục Platform. Khi hệ thống khởi động lại, Windows Defender sẽ tin rằng đây là phiên bản mới nhất và chạy từ vị trí do kẻ tấn công lựa chọn.
Một khi kiểm soát được thư mục này, kẻ tấn công có thể:
- Cài đặt DLL độc hại để thực hiện tấn công tải DLL, chạy mã nguy hiểm ngay trong tiến trình Defender.
- Phá hủy hoặc chỉnh sửa các tệp thực thi, khiến dịch vụ phòng thủ không thể hoạt động.
Trong một thử nghiệm, nhà nghiên cứu đã chứng minh rằng chỉ cần xóa liên kết tượng trưng sau khi chiếm quyền, Windows Defender sẽ không thể tìm thấy tệp cần thiết, dẫn đến dịch vụ bị dừng hoàn toàn. Điều này đồng nghĩa với việc mọi cơ chế chống vi-rút và bảo vệ theo thời gian thực sẽ bị vô hiệu, để máy tính phơi bày trước các nguy cơ tấn công mạng.
Windows Defender Vulnerability Allows Service Hijacking and Disablement via Symbolic Link Attack
A severe vulnerability in Windows Defender's update process allows attackers with administrator privileges to disable the security service and manipulate its core files.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
