Cảnh báo: Chiến dịch tấn công thông qua Windows Update có thể "gỡ bỏ" các bản vá hệ thống

Cục An toàn thông tin cho biết tại sự kiện Black Hat 2024, một chuyên gia bảo mật từ SafeBreach đã tiết lộ một hình thức tấn công hạ cấp qua Windows Update. Phương pháp này khai thác hai lỗ hổng zero-day (CVE-2024-38202 và CVE-2024-21302) nhằm làm mất hiệu lực các bản vá trên Windows 10, Windows 11 và Windows Server, khiến các lỗ hổng đã được vá trước đó quay trở lại.

Microsoft đã phát hành cảnh báo về hai lỗ hổng zero-day chưa được vá (CVE-2024-38202 và CVE-2024-21302) trong buổi thuyết trình tại Black Hat, đồng thời cung cấp các biện pháp giảm thiểu nguy cơ cho đến khi bản vá chính thức được phát hành.

Trong hình thức tấn công này, đối tượng tấn công có thể buộc hệ thống quay về các phiên bản phần mềm cũ, khiến các lỗ hổng đã được vá trước đó xuất hiện trở lại và có thể bị khai thác. Cụ thể, quy trình cập nhật của Windows có thể bị khai thác để hạ cấp các thành phần quan trọng của hệ điều hành, như thư viện liên kết động (DLL) và NT Kernel. Dù các thành phần này đã bị hạ cấp, Windows Update vẫn báo cáo rằng hệ thống được cập nhật đầy đủ, và các công cụ khôi phục hoặc quét không phát hiện ra vấn đề.

Khi các lỗ hổng zero-day này bị khai thác, đối tượng tấn công có thể hạ cấp Secure Kernel của Credential Guard, Isolated User Mode Process và hypervisor của Hyper-V. Điều này làm lộ ra các lỗ hổng leo thang đặc quyền đã được vá trước đó. Các chuyên gia bảo mật cho biết, phương pháp tấn công này có thể biến những lỗ hổng đã được vá thành lỗ hổng zero-day, khiến khái niệm "hệ thống đã được vá" không còn ý nghĩa trên tất cả các máy tính Windows.

Tính nghiêm trọng của hình thức tấn công này là nó không thể bị phát hiện, không bị chặn bởi các giải pháp Endpoint Detection & Response (EDR), và không thể được nhận diện bởi người dùng vì Windows Update vẫn báo cáo rằng hệ thống đã được cập nhật đầy đủ, dù thực tế đã bị hạ cấp.

Chuyên gia bảo mật đã thông báo cho Microsoft về các lỗ hổng từ tháng 2 năm 2024, nhưng đến nay, Microsoft vẫn chưa phát hành bản vá cho CVE-2024-38202 (leo thang đặc quyền trên Windows Update Stack) và CVE-2024-21302 (leo thang đặc quyền trên Windows Secure Kernel Mode). Lỗ hổng CVE-2024-38202 cho phép đối tượng tấn công có quyền người dùng cơ bản "gỡ bỏ" các bản vá hoặc vượt qua bảo mật Virtualization Based Security (VBS). Trong khi đó, lỗ hổng CVE-2024-21302 cho phép đối tượng tấn công sử dụng quyền quản trị thay thế các file hệ thống Windows bằng các phiên bản cũ hơn.

Hiện chưa có báo cáo về việc hai lỗ hổng này bị khai thác thực tế. Người dùng được khuyến nghị thực hiện các biện pháp giảm thiểu rủi ro khai thác cho đến khi bản vá chính thức được phát hành. Chuyên gia bảo mật cũng nhấn mạnh rằng hình thức tấn công này có thể không chỉ ảnh hưởng đến Windows mà còn có thể tiềm tàng nguy cơ đối với các hệ điều hành khác.