Kaspersky vừa phát hiện PhantomRPC, một lỗ hổng thuộc cơ chế giao tiếp từ xa (Remote Procedure Call - RPC) trên Windows, xuất phát từ đặc điểm thiết kế của hệ thống và có thể bị tin tặc khai thác nhằm giả mạo máy chủ và chiếm quyền truy cập.

PhantomRPC là một lỗ hổng thuộc cơ chế giao tiếp từ xa (Remote Procedure Call - RPC) trên Windows.
PhantomRPC là một lỗ hổng thuộc cơ chế giao tiếp từ xa (Remote Procedure Call - RPC) trên Windows.

Các chuyên gia của Kaspersky cho biết lỗ hổng này không bắt nguồn từ một lỗi cụ thể mà đến từ cách thức hệ thống hoạt động, cho phép tin tặc khai thác để nâng quyền truy cập ngay trên hệ thống. Trong trường hợp một tiến trình có quyền giả mạo (impersonation), kẻ tấn công có thể tận dụng để giành quyền kiểm soát cấp hệ thống.

Cách thức hoạt động của cơ chế giao tiếp từ xa trên Microsoft
Cách thức hoạt động của cơ chế giao tiếp từ xa trên Microsoft

Kaspersky đã tiến hành phân tích năm kịch bản khai thác khác nhau, cho thấy tin tặc có thể nâng quyền truy cập từ các dịch vụ trên máy cục bộ hoặc dịch vụ liên quan đến kết nối mạng lên mức cao hơn, thậm chí chiếm quyền kiểm soát hệ thống. Do vấn đề bắt nguồn từ điểm yếu trong khâu thiết kế, lỗ hổng này mở ra gần như vô số cách thức tấn công. Bất kỳ tiến trình hoặc dịch vụ mới nào sử dụng cơ chế giao tiếp từ xa (RPC) đều có thể trở thành một điểm khai thác mới để mở rộng quyền truy cập.

Ông Haidar Kabibo, chuyên viên bảo mật ứng dụng tại Kaspersky, cho biết: “Cách thức khai thác cụ thể có thể khác nhau tùy từng hệ thống, phụ thuộc vào các yếu tố như phần mềm được cài đặt, các thư viện liên kết động (Dynamic Link Library) tham gia vào quá trình giao tiếp của cơ chế giao tiếp từ xa cũng như việc các máy chủ ứng dụng cơ chế giao tiếp từ xa tương ứng có sẵn hay không. Sự khác biệt này khiến lỗ hổng trở thành một yếu tố quan trọng trong quá trình doanh nghiệp đánh giá rủi ro và triển khai biện pháp ứng phó”.

Kaspersky khuyến nghị các tổ chức triển khai các biện pháp nhằm phát hiện và giảm thiểu nguy cơ bị khai thác: Triển khai giám sát dựa trên ETW, giải pháp này cho phép đội ngũ bảo mật nhận diện các bất thường trong hoạt động của cơ chế giao tiếp từ xa trong môi trường hệ thống, đặc biệt khi có yêu cầu kết nối tới các máy chủ không tồn tại hoặc không khả dụng. Hạn chế sử dụng quyền SeImpersonatePrivilege, quyền này chỉ nên được cấp cho các tiến trình thực sự cần thiết.

BÌNH LÂM

Theo Sài Gòn Giải Phóng