Trước đó, lỗ hổng này đã được Microsoft nhắc đến trong Patch Tuesday của tháng 4. Cụ thể, lỗi này xuất phát từ tình trạng tràn bộ đệm ngăn xếp trong hàm PspBuildCreateProcessContext Windows kernel, liên quan đến trình tự tạo quy trình. Lỗ hổng này được kích hoạt bởi doubel-fetch, một tình huống trong đó kernel tìm nạp không chính xác dữ liệu do người dùng cung cấp nhiều lần, cho phép kẻ tấn công thay đổi dữ liệu giữa các lần tìm nạp.
Cách thức hoạt động:
- Lỗ hổng Double-Fetch: Hàm PspBuildCreateProcessContext chịu trách nhiệm xử lý các thuộc tính của một quy trình đang được tạo, được chuyển qua lệnh gọi hệ thống NtCreateUserProcess. Điều này liên quan đến việc xử lý PS_ATTRIBUTE_LIST, một mảng các cấu trúc PS_ATTRIBUTE.
- Thao tác và tràn: Khi xử lý các loại thuộc tính cụ thể – PsAttributeMitigationOptions và PsAttributeMitigationAuditOptions – hàm tìm nạp trường Size của cấu trúc PS_ATTRIBUTE hai lần. Nếu kẻ tấn công thay đổi giá trị Size giữa các lần tìm nạp này có thể dẫn đến tràn bộ đệm ngăn xếp.
Do mức độ nghiêm trọng và khả năng khai thác PoC, người dùng nên cập nhật các bản vá mới nhất từ Microsoft.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment