Các lỗ hổng RDP quan trọng tiếp tục gia tăng

Iworld.com.vn gửi tới độc giả tin tức về lỗ hổng RDP quan trọng tiếp tục gia tăng

Tháng này, Bản vá thứ 3 mang lại cho chúng ta một số lượng tương đối nhỏ các CVE được vá, nhưng tỷ lệ lỗ hổng nghiêm trọng đáng chú ý lại cao bất thường.

Phân tích lỗ hổng bảo mật: CVE-2021-34535

Một lỗ hổng như vậy được xác định là CVE-2021-34535, là một lỗ hổng thực thi mã từ xa trong phần mềm máy khách Remote Desktop, được quan sát thấy trong mstscax.dll, được sử dụng bởi máy khách RDP tích hợp của Microsoft (mstsc.exe). Lỗ hổng này rất quan trọng, đến một lỗi được phát hành vào tháng 7 năm 2020, CVE-2020-1374, cũng đã trải qua quá trình Patch Tuesday của Microsoft và có các đặc điểm rất giống nhau. Lỗ hổng bảo mật là sự cố tràn số nguyên, do trường kích thước tải trọng có thể kiểm soát của kẻ tấn công, cuối cùng dẫn đến tràn bộ đệm heap trong quá trình cấp phát bộ nhớ. Lỗ hổng có thể được kích hoạt thông qua tính năng mở rộng màn hình ảo, chuyển hướng video RDP [MS-RDPEV], thường được triển khai trên cổng 3389 và được chứa bên trong tải trọng UDP được nén và RDP được mã hóa bằng TLS.

Mặc dù có điểm số CVSS ấn tượng 9,9, có vượt qua mức lỗ hổng RDP cũ, bao gồm cả BlueKeep (CVE-2019-0708) không? Chúng phát triển không quá nhanh, nhưng có một số yếu tố cần xem xét.

Kịch bản tấn công

Đầu tiên và quan trọng nhất, đây là một lỗ hổng từ phía máy khách, có nghĩa là không có khả năng thực sự để tự lan truyền, hoặc “khả năng xâm nhập sâu” từ Internet. Kịch bản tấn công có khả năng xảy ra nhất, là thuyết phục người dùng xác thực máy chủ RDP độc hại, nơi máy chủ có thể kích hoạt lỗi ở phía máy khách. Trong quá trình tái tạo sự cố, chúng tôi có thể dễ dàng kích hoạt sự cố và quan sát, bằng cách làm đầy bộ nhớ để kiểm soát, điều này sẽ tạo điều kiện khai thác. Chúng tôi cho rằng tin tặc sẽ phát triển các hoạt động khai thác cho lỗ hổng này, nhưng việc có sẵn bản vá trước bất kỳ hoạt động khai thác công khai nào đã biết, sẽ giúp giảm thiểu rủi ro cho các tổ chức và cá nhân.

Thứ hai, nhờ sự gia tăng rộng rãi và phạm vi tiếp cận của BlueKeep và các lỗ hổng RDP liên quan khác, một phần đáng kể các máy khách và máy chủ RDP đã bị vô hiệu hóa hoặc di chuyển khỏi phạm vi mạng. Điều này ít quan trọng hơn, do bản chất phía máy khách bị lỗi, nhưng lại tạo cơ hội cho cuộc tấn công tổng thể.

Ngoài máy khách RDP tích hợp của Microsoft (mstsc.exe), là kết nối mạng máy tính từ xa phổ biến hơn, chúng tôi cũng đã xác nhận rằng một số vectơ RDP ít được biết đến, bị ảnh hưởng bởi lỗ hổng này. Microsoft Hyper-V Manager “Chế độ nâng cao” và Trình bảo vệ ứng dụng của bộ bảo vệ Microsoft (WDAG) đều sử dụng RDP, để chia sẻ màn hình và trình bày trình duyệt được bảo mật tương ứng. Điều này cung cấp cho người dùng cuối, một cái nhìn từ xa về phiên bản biệt lập của họ trong hệ thống máy chủ. Thay vì hoàn thiện lại khả năng chia sẻ RDP, Microsoft đã chuyển cơ sở mã máy khách RDP hiện có thành Hyper-V và WDAG. Vì mã máy khách RDP tự chứa trong mstscax.dll (một đối tượng ActiveX COM), nó có thể đơn giản được tải vào các quy trình Hyper-V (vmconnect.exe) và WDAG (hvsirdpclient.exe), để tận dụng chức năng máy khách RDP. Dường như không có bất kỳ sự giảm bề mặt tấn công nào trên cơ sở mã này, vì cùng một DLL được tải trong cả ba quy trình mstsc.exe, vmconnect.exe và hvsirdpclient.exe. Các thành phần bị ảnh hưởng là:

Máy khách RDP tích hợp của Microsoft mstsc.exe sử dụng mstscax.dll, dễ bị tấn công khi máy khách kết nối từ xa với máy chủ RDP qua mạng. Chúng tôi đã xác nhận sự cố mstsc.exe và lỗ hổng có thể được kích hoạt, sau đó máy khách đã xác thực với máy chủ RDP.

Giảm thiểu Bản vá: Phần mềm Microsoft’s Hyper-V Manager cũng sử dụng mstscax.dll, nơi chứa chức năng dễ bị tấn công. Khi sử dụng “Chế độ phiên nâng cao” (được bật theo mặc định trong Trình quản lý Hyper-V), quá trình vmconnect.exe tải mstscax.dll. Thông qua thử nghiệm, chúng tôi đã xác nhận rằng việc kích hoạt lỗ hổng từ bên trong hình ảnh Hyper-V Windows 10, sẽ làm sập vmconnect.exe trên máy chủ. Điều này có nghĩa là nó có thể thoát từ khách đến máy chủ, bằng cách sử dụng lỗ hổng. (Hyper-V bị tắt bởi Mặc định trên Windows 10).

Giảm thiểu Bản Vá hoặc tắt “Chế độ phiên nâng cao”: Trình bảo vệ ứng dụng của bộ bảo vệ Microsoft cũng sử dụng mstscax.dll, để cung cấp cho người dùng chế độ xem trình duyệt Edge và IE được chứa trong bộ chứa của họ. Khi “Cửa sổ bảo vệ ứng dụng mới” được điều hướng từ Edge, nó sẽ khởi chạy quá trình hvsirdpclient.exe, để tải mstscax.dll. Chúng tôi chưa xác nhận quá trình WDAG hvsirdpclient.exe gặp sự cố, nhưng nó sử dụng cùng một cơ sở mã, vì vậy chúng tôi khuyên bạn nên vá nếu sử dụng WDAG (WDAG bị tắt theo Mặc định trên Windows 10).

Chiến lược tương lai

Máy khách RDP tích hợp và máy khách Hyper-V/WDAG giao tiếp qua các phương tiện truyền tải khác nhau, dưới dạng TCP/IP và VMBus nhưng cả hai đều sử dụng cùng một cách triển khai giao thức máy khách RDP. Do lỗ hổng được chứa trong mstscax.dll và được giữ kín, lỗ hổng này đã được chuyển sang hai hình thức triển khai với phần còn lại của cơ sở mã.

Trong khi mức độ khẩn cấp cho việc vá lỗi vẫn thấp hơn, so với các lỗ hổng nghiêm trọng trước đây, các tác nhân đe dọa sẽ tìm cách vũ khí hóa bất kỳ thành quả nào trong số những lợi ích thấp này, để tận dụng các giao thức mạng phổ biến. Việc vá lỗi phải là ưu tiên hàng đầu và hơn nữa, việc xem xét toàn diện và liên tục các máy khách và máy chủ RDP nối mạng nội bộ và nối mạng internet nên được khuyến khích. Loại bỏ hoặc giảm bề mặt tấn công là một trong những cách chống lại sự khai thác lỗ hổng tốt nhất.

Microsoft đã xuất bản một bài viết trong Cơ sở Kiến thức cho sự cố, với thông tin bản vá tương ứng. Trong thời gian chờ đợi, chúng tôi đang tiếp tục theo dõi chặt chẽ lỗ hổng bảo mật này. Nếu việc khai thác được quan sát, chúng tôi có thể phát hành nội dung bổ sung cho khách hàng.

Trân trọng cám ơn quý độc giả./.

Bài đọc tham khảo thêm cho bạn

• McAfee for Business

Biên dịch: Lê Toản – Iworld.com.vn