Lỗ hổng MSCTF 20 năm tuổi ảnh hưởng nghiêm trọng đến tất cả các phiên bản Windows

Ảnh: Thehackernews

Lỗ hổng nằm trong cách thức máy khách MSCTF và máy chủ kết nối với nhau, cho phép ngay cả một ứng dụng đặc quyền thấp hoặc được hỗ trợ sandbox cũng có thể đọc và ghi dữ liệu lên một ứng dụng đặc quyền cao hơn.

MSCTF là một mô-đun trong Khung dịch vụ văn bản (TSF) của hệ điều hành Windows, quản lý phương thức nhập, thiết kế bố cục bàn phím, xử lý văn bản và nhận dạng giọng nói.

Khi đăng nhập vào thiết bị Windows, mô-đun sẽ khởi động CTF - dịch vụ giám sát hoạt động xử lý liên lạc giữa tất cả các máy khách mà thực chất là các cửa sổ cho mỗi tiến trình chạy trên cùng một phiên.

"Dịch vụ CTFMON trong trình quản lý tác vụ có vai trò thông báo đến các ứng dụng về những thay đổi trong cách bố trí bàn phím hoặc phương thức nhập. Lõi buộc các ứng dụng kết nối với dịch vụ CTFMON khi khởi động, sau đó trao đổi tin nhắn với các máy khách khác và nhận thông báo từ dịch vụ", nhà nghiên cứu giải thích.

Tavis Ormandy từ Nhóm Dự án Zero của Google phát hiện không có bất kỳ kiểm soát truy cập hay xác thực nào được áp dụng cho tương tác này, nên bất kỳ ứng dụng hay người dùng nào và thậm chí các quy trình được hỗ trợ hộp cát đều có thể:

Kết nối tới giao thức CTF,

Đọc và ghi văn bản của bất kỳ cửa sổ nào, từ bất kỳ phiên nào,

Giả mạo id luồng, id tiến trình và HWND,

Giả mạo một dịch vụ CTF, lừa các ứng dụng khác, thậm chí là các ứng dụng đặc quyền, kết nối với nó, hoặc

Thoát khỏi hộp cát và leo thang đặc quyền.

"Không có kiểm soát truy cập trong CTF, vì vậy bạn có thể kết nối với phiên hoạt động của người dùng khác và tiếp quản bất kỳ ứng dụng nào hoặc đợi Quản trị viên đăng nhập và xâm nhập phiên của họ", Ormandy giải thích.

"Hóa ra có thể xâm nhập qua các phiên và vi phạm ranh giới an ninh NT trong gần hai mươi năm mà không ai để ý".

Nếu bị khai thác, điểm yếu trong giao thức CTF có thể cho phép kẻ tấn công dễ dàng qua mặt Cách ly đặc quyền giao diện người dùng (UIPI), cho phép ngay cả một quy trình không có đặc quyền cũng có thể:

Đọc văn bản nhạy cảm từ bất kỳ cửa sổ nào của các ứng dụng khác, bao gồm cả mật khẩu trong hộp thoại,

Lấy được các đặc quyền HỆ THỐNG,

Kiểm soát hộp thoại UAC,

Gửi lệnh đến phiên điều khiển của quản trị viên, hoặc

Thoát khỏi hộp cát IL/AppContainer bằng cách gửi tín hiệu số đến các cửa sổ không được hỗ trợ hộp cát.

Giao thức CTF cũng chứa nhiều lỗi hỏng bộ nhớ mà theo nhà nghiên cứu, có thể bị khai thác trong một cấu hình mặc định.

"Ngay cả khi không có lỗi, giao thức CTF cho phép các ứng dụng trao đổi tín hiệu số và đọc nội dung của nhau. Tuy nhiên, có rất nhiều lỗi giao thức cho phép kiểm soát hoàn toàn hầu hết các ứng dụng khác", Ormandy nói.

Nhà nghiên cứu cũng đã phát hành một "Công cụ khám phá CTF" nguồn mở tùy chỉnh trên Github do mình phát triển để tìm hiểu nhiều vấn đề an ninh quan trọng trong giao thức CTF của Windows.

Ormandy đã báo cáo phát hiện của mình cho Microsoft từ giữa tháng 5 và bây giờ công bố chi tiết sau khi Microsoft không giải quyết vấn đề này trong vòng 90 ngày kể từ khi được thông báo

Theo Tạp chí Điện tử/ Whitehat/ Thehackernews