Trước đó, lỗ hổng này đã được Microsoft nhắc đến trong Patch Tuesday của tháng 4. Cụ thể, lỗi này xuất phát từ tình trạng tràn bộ đệm ngăn xếp trong hàm PspBuildCreateProcessContext Windows kernel, liên quan đến trình tự tạo quy trình. Lỗ hổng này được kích hoạt bởi doubel-fetch, một tình huống trong đó kernel tìm nạp không chính xác dữ liệu do người dùng cung cấp nhiều lần, cho phép kẻ tấn công thay đổi dữ liệu giữa các lần tìm nạp.
Cách thức hoạt động:
- Lỗ hổng Double-Fetch: Hàm PspBuildCreateProcessContext chịu trách nhiệm xử lý các thuộc tính của một quy trình đang được tạo, được chuyển qua lệnh gọi hệ thống NtCreateUserProcess. Điều này liên quan đến việc xử lý PS_ATTRIBUTE_LIST, một mảng các cấu trúc PS_ATTRIBUTE.
- Thao tác và tràn: Khi xử lý các loại thuộc tính cụ thể – PsAttributeMitigationOptions và PsAttributeMitigationAuditOptions – hàm tìm nạp trường Kích thước của cấu trúc PS_ATTRIBUTE hai lần. Nếu kẻ tấn công thay đổi giá trị Kích thước giữa các lần tìm nạp này, nó có thể dẫn đến tràn bộ đệm ngăn xếp.
Lỗ hổng này được đánh giá ở mức độ nghiêm trọng cao là 7,8 do có khả năng cho phép người dùng được xác thực thực thi mã tùy ý với các đặc quyền nâng cao là kiểm soát toàn bộ hệ thống.
Do mức độ nghiêm trọng và tính sẵn có của việc khai thác PoC người dùng nên cập nhật các bản vá bảo mật mới nhất từ Microsoft. Nâng cao nhận thức của người dùng và quản trị viên hệ thống về loại lỗ hổng cụ thể này để ngăn chặn khả năng bị khai thác.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment