Lỗ hổng Zero-day là một trong những loại lỗ hổng đáng quan ngại nhất trong lịch sử phát triển phần mềm. Và Microsoft không phải là ngoại lệ khi nhà nghiên cứu phát hiện lỗ hổng này, đáng nói là, vì chính sách tiền thưởng hẹp hòi của Microsoft, nhà nghiên cứu bảo mật quyết định công khai lỗ hổng trên cho cộng đồng.
Các nhà bảo mật vừa mới phát hiện ra một phương pháp khai thác lỗ hổng zero-day mới cho phép hacker có thể chiếm quyền quản trị cục bộ trên Windows. Một nhà nghiên cứu đã tiết lộ công khai một lỗ hổng cho phép bất kỳ ai có đặc quyền cơ bản có thể mở command prompt (cửa sổ dòng lệnh) với quyền truy cập mức độ HỆ THỐNG.
Với lỗ hổng bảo mật này, các tác nhân đe dọa có thể thông qua command prompt để chỉnh sửa quyền từ cơ bản thành quản trị viên của kẻ tấn công và cấp nhiều quyền truy cập hơn những gì mà hệ thống đã giao. Đáng nói rằng, điều này sẽ khiến cho kẻ tấn công có quyền truy cập vào hệ thống chạy Windows 10, Windows 11 và Windows Server 2022.
Việc khai thác được phát hiện bởi nhà nghiên cứu về bảo mật Abdelhamid Naceri và được công bố trên GitHub. Để xác minh vấn đề, BleepingComputer đã thử nghiệm nó trên máy tính Windows chạy Windows 10 21H1 bản 19043.1348 và nhận thấy rằng "chỉ mất vài giây để có được đặc quyền HỆ THỐNG từ tài khoản thử nghiệm có đặc quyền cơ bản."
Khi được BleepingComputer hỏi tại sao Naceri lại chọn công khai lỗ hổng thay vì báo cáo nó cho chương trình bug-bounty của Microsoft, Naceri đã trích dẫn rằng phần tiền thưởng đã bị giảm đi rất nhiều đối với các lỗ hổng mức độ nghiêm trọng. “Chương trình bug-bounty Microsoft như một đống rác rồi kể từ tháng 4 năm 2020, tôi thực sự sẽ không làm điều này nếu Microsoft không ra quyết định 'như đi vào lòng đất' trên,” Naceri giải thích.
Vì đây là một lỗ hổng khai thác ở mức cục bộ, hacker sẽ cần phải trực tiếp truy cập vào máy tính của bạn thì mới có thể thao tác được. Tuy nhiên, như đã đề cập ở trên, chỉ mất vài giây để chúng có được quyền quản trị hệ thống. Do đó, người dùng cần hết sức lưu ý và theo dõi các bản cập nhật để vá lỗ hổng này của Microsoft trong tương lai.
Xem thêm:
Tiền Minh Vy
Theo How To Geek
Theo How To Geek
