Nội dung
Microsoft mới đây đã âm thầm vá các lỗ hổng cho phép Guest-to Host Escape trong máy khách RDP tích hợp Windows vì có ảnh hưởng tới Trình quản lý công nghệ ảo hóa Hyper-V.
Đầu năm nay, các nhà nghiên cứu đã tiết lộ loạt các vấn đề liên quan tới clipboard hijacking và path-traversal trong máy khách RDP tích hợp Windows của Microsoft, có thể cho phép máy chủ RDP độc hại đảo chiều thỏa hiệp với máy khách.
Vào thời điểm nhận được báo cáo của các nhà nghiên cứu về lỗ hổng path-traversal vào tháng 10 năm 2018, Microsoft mặc dù đã thừa nhận vấn đề này nhưng đã quyết định không giải quyết nó.
Microsoft âm thầm vá lỗ hổng
Tuy nhiên, tới tháng trước, Microsoft lại bất ngờ âm thầm vá lỗ hổng này (CVE-2019-0887) như là một phần của bản cập nhật Patch Tuesday tháng Bảy sau khi Eyal Itkin, một nhà nghiên cứu bảo mật tại Checkpoint phát hiện ra vấn đề tương tự ảnh hưởng đến công nghệ Hyper-V của Microsoft.
Hyper-V của Microsoft là một công nghệ ảo hóa được tích hợpsẵn với hệ điều hành Windows, cho phép người dùng chạy nhiều hệ điều hành cùnglúc với các máy ảo. Dịch vụ đám mây Azure của Microsoft cũng sử dụng Hyper-V đểảo hóa máy chủ.
Tương tự như các công nghệ ảo hóa khác, Hyper-V cũng đi kèmvới giao diện người dùng đồ họa cho phép người dùng quản lý các máy ảo (VM) cụcbộ và từ xa.
Hyper-V chứa các lỗ hổng bảo mật tồn tại trong Windows RDP
Các nhà nghiên cứu của Checkpoint cho biết chế độ phiên nâng cao trong Trình quản lý Hyper-V thực chất sử dụng cách triển khai tương tự như Windows Remote Desktop Services để máy chủ kết nối với máy ảo khách và chia sẻ tài nguyên được đồng bộ hóa như dữ liệu clipboard.
Điều này có nghĩa là Trình quản lý Hyper-V thừa hưởng tất cảcác lỗ hổng bảo mật tồn tại trong Windows RDP, bao gồm cả các lỗ hổng clipboardhijacking và path-traversal có thể dẫn đến tấn công ‘guest-to-host VM escape’, chophép các thành phần độc hại thoát khỏi các cuộc tấn công VM Máy ảo, tiếp cậnmáy chủ lưu trữ và hầu như phá vỡ khả năng giảm thiểu bảo mật mạnh mẽ nhất domôi trường ảo hóa cung cấp.
Như đã trình bày trước đây, các lỗ hổng có thể cho phép mộtmáy khách độc hại hoặc bị xâm nhập lừa người dùng máy chủ vô tình lưu tệp độc hạitrong thư mục khởi động Windows của họ. Điều này đồng nghĩa với việc các tệp độchại sẽ tự động được thực thi mỗi khi hệ thống khởi động.
Người dùng cần sớm cập nhật bản vá bảo mật
Không giống như trước đây, lần này, Microsoft đã quyết định vá lỗ hổng ngay lập tức sau khi các nhà nghiên cứu tiết lộ lỗ hổng có ảnh hưởng đến công nghệ Hyper-V. Lỗ hổng này hiện được xác định là CVE-2019-0887.
Trong bản tư vấn bảo mật mới được công bố, Microsoft cho biết lỗ hổng thực thi mã từ xa tồn tại trong Remote Desktop Services – trước đây gọi là Terminal Services – khi kẻ tấn công xác thực lạm dụng chuyển hướng clipboard. Kẻ tấn công khai thác thành công lỗ hổng này có thể thực thi mã tùy ý trên hệ thống của nạn nhân.
Kẻ tấn công sau đó có thể cài đặt chương trình, xem, thay đổi, xóa dữ liệu hoặc tạo tài khoản mới với toàn quyền của người dùng. Các nhà nghiên cứu đã kiểm tra và xác nhận bản vá cho lỗ hổng Path-Traversal, đồng thời khuyến nghị mạnh mẽ tất cả người dùng nên cài đặt các bản vá bảo mật càng sớm càng tốt để bảo vệ các kết nối RDP cũng như môi trường Hyper-V của mình.
THN