Chưa đầy một tháng đã trôi qua kể từ khi một vấn đề với bản cập nhật CrowdStrike khiến hàng triệu máy tính Windows phải vật lộn để thoát khỏi vòng lặp màn hình xanh chết chóc, nhưng giờ đây một mối đe dọa màn hình xanh mới đã được tiết lộ. Một báo cáo ngày 12 tháng 8 từ công ty phần mềm an ninh mạng Fortra đã nêu chi tiết cách một lỗ hổng Windows mới được phát hiện có thể dẫn đến một màn hình xanh chết chóc khác . Hơn nữa, các nhà nghiên cứu cho biết, tất cả các phiên bản Windows 10 và Windows 11 đều bị ảnh hưởng, ngay cả khi tất cả các bản cập nhật bảo mật hiện tại đã được cài đặt.
Giải thích về CVE-2024-6768
Lỗ hổng bảo mật, được phân loại chính thức là CVE-2024-6768 , liên quan đến trình điều khiển hệ thống tệp nhật ký chung của Windows. Khi đối mặt với việc xác thực không đúng các số lượng được chỉ định trong dữ liệu đầu vào, CVE-2024-6768 sẽ kích hoạt một chức năng được gọi là KeBugCheckEx và dẫn đến màn hình xanh chết chóc đáng sợ. Người dùng Windows chỉ quá quen thuộc với điều này sau các sự cố CrowdStrike gần đây đã tạo ra cùng một kết quả màn hình xanh. Mặc dù tải trọng cuối cùng của một khai thác khá nghiêm trọng và không yêu cầu tương tác của người dùng, vì vectơ tấn công là cục bộ chứ không phải từ xa, lỗ hổng được xếp loại là có rủi ro trung bình.
Phiên bản Windows nào bị ảnh hưởng bởi CVE-2024-6768?
Màn hình xanh chết chóc CVE-2024-6768 có thể ảnh hưởng đến tất cả các phiên bản Windows 10 và Windows 11, cũng như Windows Server 2022, bất kể chúng đã được cập nhật tất cả các bản vá bảo mật cho đến nay hay chưa. Các nhà nghiên cứu đã chỉ ra rằng một người dùng không có đặc quyền có thể gây ra sự cố hệ thống bằng cách sử dụng một tệp được tạo đặc biệt.
Ricardo Narvaja, tác giả chính của báo cáo khai thác tại công ty bảo mật Fortra, cho biết: “Các vấn đề tiềm ẩn bao gồm hệ thống không ổn định và từ chối dịch vụ. Kẻ xấu có thể khai thác lỗ hổng này để liên tục làm sập các hệ thống bị ảnh hưởng, làm gián đoạn hoạt động và có khả năng gây mất dữ liệu”.
Dòng thời gian nghiên cứu về lỗi màn hình xanh chết chóc CVE-2024-6768 của Windows
Tyler Reguly, phó giám đốc nghiên cứu và phát triển bảo mật của Fortra, cho tôi biết Microsoft lần đầu biết về vấn đề này vào tháng 12 năm 2023. Tuy nhiên, công ty “đã không phản hồi vào tháng 2 năm 2024”, Reguly cho biết, đồng thời nói thêm rằng Microsoft tuyên bố rằng họ không thể tái tạo lỗ hổng bảo mật. Reguly cho biết, mặc dù các nhà nghiên cứu của Fortra đã tái tạo kết quả trong bằng chứng khái niệm trên “hàng chục hệ thống cả ảo và vật lý”. Do bản chất của lỗ hổng bảo mật, không có giải pháp thay thế hoặc giảm thiểu nào mà các nhà nghiên cứu có thể xác định được và Reguly cho biết, “Chúng tôi không mong đợi thấy bản sửa lỗi từ họ”. Thật vậy, có vẻ như lý do để công bố báo cáo về lỗ hổng bảo mật ngày hôm nay, ít nhất là một phần, là với hy vọng rằng Microsoft sẽ thấy lỗ hổng bảo mật có thể dễ dàng bị khai thác như thế nào và hy vọng “khám phá bản sửa lỗi trong tương lai”.
Dòng thời gian nghiên cứu đầy đủ
- Ngày 20 tháng 12 năm 2023 – Đã báo cáo với Microsoft về lỗ hổng Bằng chứng khái niệm.
- Ngày 8 tháng 1 năm 2024 – Microsoft phản hồi rằng các kỹ sư của họ không thể tái tạo lỗ hổng bảo mật.
- Ngày 12 tháng 1 năm 2024 – Fortra đã cung cấp ảnh chụp màn hình hiển thị phiên bản Windows đang chạy bản cập nhật Patch Tuesday tháng 1 và bản sao lưu bộ nhớ về sự cố.
- Ngày 21 tháng 2 năm 2024 – Microsoft trả lời rằng họ vẫn không thể tái tạo sự cố và do đó đã đóng vụ việc.
- Ngày 28 tháng 2 năm 2024 – Fortra đã tái hiện sự cố này một lần nữa với bản cập nhật Patch Tuesday tháng 2 được cài đặt và cung cấp thêm bằng chứng, bao gồm cả video về tình trạng sự cố.
- Ngày 19 tháng 6 năm 2024 – Fortra tiếp tục tuyên bố rằng họ có ý định theo đuổi CVE và công bố nghiên cứu.
- Ngày 16 tháng 7 năm 2024 – Fortra chia sẻ rằng họ đã bảo lưu CVE-2024-6768 và sẽ sớm công bố.
- Ngày 8 tháng 8 năm 2024 – PoC đã được tái tạo trên các bản cập nhật mới nhất (Bản vá lỗi thứ Ba tháng 7) của Windows 11 và Server 2022 để tạo ảnh chụp màn hình chia sẻ với phương tiện truyền thông.
- Ngày 12 tháng 8 năm 2024 – Ngày công bố CVE dự kiến.
Những tác động của CVE-2024-6768 đối với người dùng Windows
Tyler Reguly nói với tôi rằng lỗ hổng này khó có thể bị khai thác trong thực tế vì cả trường hợp sử dụng và tác động đều có phần hạn chế, đặc biệt là khi màn hình xanh chết chóc có thể khôi phục được. Tuy nhiên, vẫn có một thực tế là người dùng có đặc quyền thấp, không có quyền khởi động lại hệ thống, giờ đây có thể thực hiện chính xác điều đó mà không cần cảnh báo, ngay cả khi nhiều người dùng đã đăng nhập tại thời điểm đó. Reguly cho biết: “Điều này sẽ có khả năng được sử dụng trong các trường hợp mà một người trong cuộc độc hại muốn đánh sập một máy chủ nhiều người dùng chỉ để gây hỗn loạn”, “hoặc một kẻ tấn công muốn khởi động lại hệ thống nhưng không có tài khoản có đặc quyền cao hoặc không muốn có nhật ký về lần khởi động lại do người dùng khởi tạo”.
Người dùng Windows trung bình không cần phải mất ngủ quá nhiều vì điều này. Mặt khác, các tổ chức nên lưu ý và có thể lo ngại về việc Microsoft dường như không có động thái vá lỗ hổng. Reguly kết luận: “Kịch bản tốt nhất cho vấn đề này là Microsoft thấy bản phát hành và quyết định phát hành bản cập nhật để giải quyết lỗ hổng”.
Microsoft không gặp nhiều may mắn khi không nói đến sự cố màn hình xanh chết chóc gần đây. Cũng như bản cập nhật CrowdStrike đã đề cập ở trên đã ảnh hưởng đến người dùng Microsoft mặc dù không phải lỗi của gã khổng lồ Redmond, còn có một sự cố màn hình xanh khác do bản cập nhật bảo mật tháng 7 năm 2024 gây ra. Điều này khiến cảnh báo được đưa ra rằng các thiết bị Windows ” có thể khởi động vào BitLocker recovery ” và ảnh hưởng đến người dùng đã bật mã hóa.
THÔNG TIN LIÊN HỆ
SDT: 0977383456
EMAIL: kbtech.technology@gmail.com
WEBSITE : kbtech.com.vn
ĐĂNG KÝ ZALO OA : dangkyzalooa.com
Giải pháp Zalo Mini App