Khả năng khai thác zero-day trên các hệ thống Windows vẫn tồn tại thông qua việc lợi dụng trình điều khiển WebBrowser của Internet Explorer (IE), ngay cả khi trình duyệt này đã chính thức ngừng hỗ trợ. Kẻ tấn công có thể biến một thao tác nhấp chuột đơn giản của người dùng thành một cuộc remote code execution (RCE) hoàn chỉnh.
Kỹ thuật Khai thác Lỗ hổng IE
Các nhà nghiên cứu đã quan sát thấy kẻ tấn công có thể lạm dụng mô hình vùng bảo mật (zone model) của IE, cơ chế xử lý Mark of the Web (MOTW), và các thành phần COM/ActiveX mạnh mẽ. Điều này cho phép họ chuyển đổi các tương tác tưởng chừng vô hại của người dùng thành việc thực thi mã trên hệ thống đích.
Vấn đề cốt lõi nằm ở chỗ mshtml engine và WebBrowser control của IE vẫn được nhúng trong nhiều ứng dụng desktop. Đặc biệt là các công cụ cũ viết bằng VB, .NET, và C/C++ sử dụng giao diện web cục bộ trên http://localhost.
Thiếu Cơ Chế Lọc Dữ Liệu
Các ứng dụng này thường thiếu cơ chế lọc HTML và JavaScript đủ mạnh, tạo điều kiện thuận lợi cho các cuộc tấn công XSS (Cross-Site Scripting). Khi kẻ tấn công đạt được quyền thực thi script trong ngữ cảnh localhost, họ có thể tận dụng cách IE xử lý đặc biệt các vùng localhost và file.
Điều này cho phép mở các tệp HTML cục bộ từ đĩa mà không bị các cảnh báo bảo mật thông thường. Sự leo thang về nguồn gốc (origin escalation) này về cơ bản biến JavaScript từ xa thành script có nguồn gốc cục bộ, chạy với đặc quyền cao hơn.
Lỗi Xử Lý Cửa Sổ và Hộp Thoại
Một lỗi tinh vi trong cách IE xử lý các hoạt động cửa sổ và hộp thoại cho phép JavaScript được chế tạo chạy dưới http://localhost mở các tệp HTML cục bộ mà không kích hoạt các lời nhắc bảo mật tiêu chuẩn. Mặc dù Microsoft sau đó đã vá hành vi trực tiếp này, nhưng chỉ sau khi các nhà nghiên cứu chứng minh nó có thể đóng vai trò là bước pivot đầu tiên trong một chuỗi tấn công nhiều giai đoạn.
Chuỗi Tấn Công Vượt Qua MOTW
Sau khi đạt được bước pivot, mục tiêu tiếp theo của kẻ tấn công là vượt qua MOTW. Điều này nhằm đảm bảo nội dung độc hại cục bộ không còn bị giới hạn bởi các kiểm tra “Open File – Security Warning” tiêu chuẩn của Windows.
Để thực hiện điều này, chuỗi tấn công kết hợp cả IE và Microsoft Edge. Trong cuộc tấn công XSS tại localhost, script mở một cửa sổ Microsoft Edge đến một URL do kẻ tấn công kiểm soát. Trong một số điều kiện nhất định, Edge sẽ tải một tệp payload HTML trực tiếp vào thư mục Downloads của người dùng mà không áp dụng thẻ MOTW.
Trình điều khiển WebBrowser của IE sau đó có thể được chuyển hướng từ trang localhost sang tệp cục bộ mới được tải xuống đó. Điều này biến một payload từ xa ban đầu thành một tài liệu HTML cục bộ đáng tin cậy với khả năng thực thi script và không có hạn chế MOTW.
Khai Thác COM Objects và ActiveX
Với script hiện đang thực thi trong một ngữ cảnh cục bộ có đặc quyền, kẻ tấn công sẽ khởi tạo các đối tượng COM có rủi ro cao thông qua ActiveX, ví dụ như WScript.Shell. Theo nhóm nghiên cứu của Positive Technologies, các đối tượng này theo lịch sử được biết là cho phép thực thi lệnh tùy ý khi tiếp xúc với đầu vào không đáng tin cậy.
IE hiển thị một cảnh báo bảo mật ActiveX khi các đối tượng như vậy được tạo từ HTML cục bộ. Tuy nhiên, sau khi người dùng nhấp vào “Yes”, trang có thể thực thi các lệnh như calc.exe hoặc một trình thả mã độc đầy đủ.
Trên thực tế, chuỗi tấn công này mang lại khả năng “two-click RCE”: một cú nhấp chuột ban đầu kích hoạt việc tải xuống qua Edge, theo sau là cú nhấp chuột thứ hai để phê duyệt lời nhắc ActiveX bên trong ứng dụng kế thừa.
Kỹ thuật social engineering và thiết kế giao diện người dùng được sử dụng để làm cho cả hai cú nhấp chuột đều trông có vẻ cần thiết hoặc vô hại.
Giảm Thiểu Sự Phụ Thuộc Vào Lời Nhắc
Nghiên cứu bổ sung cho thấy các chế độ xem thư mục và bề mặt duyệt ZIP của IE, có thể truy cập thông qua cùng một WebBrowser control, có thể giảm sự phụ thuộc của kẻ tấn công vào các lời nhắc rõ ràng bằng cách cho phép clickjacking.
Bằng cách phủ lên một iframe nhỏ, theo con trỏ, chứa chế độ xem ZIP hoặc thư mục, kẻ tấn công có thể đảm bảo rằng bất kỳ cú nhấp chuột nào của người dùng trên trang sẽ thực sự nhấp đúp vào một tệp độc hại bên trong chế độ xem Explorer được nhúng. Điều này cho phép thực thi payload với việc áp dụng MOTW yếu hoặc thiếu.
Các Biện Pháp Phòng Ngừa và Cập Nhật Bản Vá
Các chuyên gia bảo mật khuyên nên xem bất kỳ việc sử dụng IE WebBrowser control nào như một rủi ro bảo mật kế thừa. Việc thay thế nó bằng các điều khiển hiển thị web hiện đại, được sandbox hóa, loại bỏ XSS trên các giao diện web localhost, khóa chặt ActiveX/COM thông qua chính sách, và siết chặt các quy tắc thực thi dựa trên MOTW là những bước quan trọng để đóng bề mặt tấn công này.
Việc cập nhật bản vá kịp thời cho các ứng dụng sử dụng các thành phần lỗi thời này là cực kỳ cần thiết để giảm thiểu nguy cơ bị khai thác. Việc này giúp nâng cao an toàn thông tin và bảo vệ hệ thống khỏi các cuộc tấn công mạng tiềm ẩn.
Để hiểu rõ hơn về các lỗ hổng và cách thức khai thác, bạn có thể tham khảo thông tin chi tiết trên NVD (National Vulnerability Database) tại địa chỉ nvd.nist.gov.
