Các nhà nghiên cứu bảo mật tại Hacker House đã phát hành SetupHijack, một công cụ proof-of-concept (PoC) khai thác các điều kiện tranh chấp (race conditions) và cơ chế xử lý tệp không an toàn trong các trình cài đặt và cập nhật của Windows. Công cụ này chứng minh cách kẻ tấn công có thể chiếm quyền điều khiển các tiến trình cài đặt đặc quyền để thực thi tải trọng độc hại với quyền SYSTEM hoặc Administrator.
Hiểu về SetupHijack: Kỹ thuật Khai thác để Chiếm quyền điều khiển Hệ thống
SetupHijack nhắm mục tiêu vào các trình cài đặt và cập nhật ghi tệp vào các vị trí ghi-mọi-người (world-writable locations) như %TEMP%, %APPDATA% hoặc thư mục Downloads của người dùng. Đây là một kỹ thuật tấn công cho phép kẻ tấn công chiếm quyền điều khiển hệ thống thông qua việc lợi dụng các lỗ hổng này. Nhiều trình cài đặt thường ghi các tệp thực thi tạm thời, gói MSI hoặc tập lệnh hàng loạt vào các thư mục này, sau đó khởi chạy chúng với đặc quyền nâng cao.
Cơ chế khai thác
Công cụ liên tục thăm dò (polls) các thư mục đã đề cập. Khi phát hiện một tệp trình cài đặt mới hoặc đã sửa đổi, SetupHijack sẽ thay thế tệp đó bằng một tải trọng do kẻ tấn công kiểm soát. Việc này diễn ra trước khi trình cài đặt thực hiện các kiểm tra tính toàn vẹn (integrity checks).
Nếu trình cài đặt thực thi tệp đã bị hoán đổi, tải trọng độc hại sẽ được chạy với các quyền nâng cao. Điều này cho phép kẻ tấn công chiếm quyền điều khiển hoàn toàn hệ thống, thực hiện các hành động nguy hiểm.
Cài đặt và Sử dụng SetupHijack
Người dùng có thể biên dịch SetupHijack trên Windows bằng cách sử dụng Makefile được cung cấp cùng với các công cụ xây dựng tiêu chuẩn. Quá trình biên dịch bao gồm các bước sau:
- Sử dụng Microsoft Visual Studio hoặc MinGW/MSYS2.
- Thực thi lệnh
maketừ thư mục gốc của dự án.
makeTham số và tùy chọn
Theo mặc định, SetupHijack quét các thư mục %TEMP%, %APPDATA%\Roaming và %USERPROFILE%\Downloads. Các cờ như -notemp, -noappdata, và -nodownloads cho phép nhắm mục tiêu hẹp hơn. Tùy chọn clean giúp khôi phục các bản sao lưu của các tệp đã thay thế.
SetupHijack.exe -notemp -noappdataĐể biết thêm chi tiết kỹ thuật về công cụ, người dùng có thể tham khảo trực tiếp trên trang GitHub chính thức của Hacker House: SetupHijack GitHub Repository.
Ví dụ Điển hình về Tấn công
Một cuộc tấn công điển hình sử dụng SetupHijack diễn ra như sau: kẻ tấn công chờ đợi một ứng dụng hợp pháp thực hiện quá trình cập nhật hoặc cài đặt. Trong thời gian ngắn ngủi mà tệp tạm thời tồn tại và chưa được kiểm tra, công cụ sẽ thay thế tệp đó. Đây là minh chứng cho một kỹ thuật chiếm quyền điều khiển hiệu quả.
Mục tiêu Zoom và khả năng duy trì quyền truy cập
Sử dụng SetupHijack, các nhà nghiên cứu đã thành công trong việc chiếm quyền điều khiển quá trình cập nhật của ứng dụng Zoom bằng cách lây nhiễm các tệp thực thi tạm thời trong thư mục %AppData%. Trong một khoảng thời gian ngắn, công cụ này đã thay thế nhiều tệp cài đặt của Zoom.
Điều này chứng tỏ cách một tác nhân đe dọa (threat actor) có thể duy trì quyền truy cập trong môi trường, từ đó đánh cắp thông tin đăng nhập hoặc triển khai mã độc tống tiền (ransomware). Đây là một minh chứng rõ ràng về rủi ro bảo mật từ các lỗ hổng liên quan đến xử lý tệp.
Các ứng dụng với cơ chế bảo vệ mạnh mẽ
Ngược lại, một số ứng dụng như Visual Studio và Wireshark đã tích hợp các cơ chế kiểm tra băm (hash checks) và chữ ký (signature checks) mạnh mẽ. Các biện pháp này giúp ngăn chặn hiệu quả các cuộc tấn công dựa trên điều kiện tranh chấp như SetupHijack, bảo vệ hệ thống khỏi việc chiếm quyền điều khiển trái phép.
Giảm thiểu Rủi ro Bảo mật và Khuyến nghị
SetupHijack nhấn mạnh sự cần thiết của việc các trình cài đặt phải triển khai các thao tác tệp nguyên tử (atomic file operations), kiểm tra tính toàn vẹn nghiêm ngặt, và hạn chế sử dụng các thư mục ghi-mọi-người. Việc này là trọng yếu để bảo vệ hệ thống khỏi các lỗ hổng khai thác điều kiện tranh chấp có thể dẫn đến chiếm quyền điều khiển.
Giải pháp kỹ thuật cho nhà phát triển
- Thao tác tệp nguyên tử: Đảm bảo các tệp quan trọng được tạo hoặc sửa đổi theo cách không thể bị gián đoạn hoặc thay đổi bởi một tiến trình khác trong quá trình thực thi. Điều này giúp ngăn chặn các cuộc tấn công thay thế tệp giữa chừng.
- Kiểm tra tính toàn vẹn mạnh mẽ: Triển khai kiểm tra chữ ký số hoặc băm mật mã (cryptographic hashes) trên tất cả các tệp thực thi và gói cài đặt trước khi chúng được chạy. Điều này giúp xác minh rằng tệp chưa bị giả mạo từ khi được phát hành bởi nhà cung cấp.
- Hạn chế thư mục world-writable: Giảm thiểu hoặc tránh hoàn toàn việc ghi các tệp thực thi vào các thư mục công cộng như %TEMP% hoặc %APPDATA% khi có đặc quyền nâng cao. Thay vào đó, các trình cài đặt nên sử dụng các thư mục được bảo vệ tốt hơn hoặc tạo các thư mục tạm thời với quyền hạn chế chỉ cho tiến trình cài đặt.
Biện pháp bảo vệ cho quản trị viên hệ thống
Các quản trị viên hệ thống nên kiểm tra kỹ lưỡng các quy trình cài đặt phần mềm, đặc biệt là những ứng dụng yêu cầu quyền nâng cao. Quản trị viên cần hiểu rõ cách các ứng dụng quan trọng xử lý tệp trong quá trình cài đặt và cập nhật, đặc biệt là việc sử dụng các thư mục tạm thời.
Việc thực thi nguyên tắc đặc quyền tối thiểu (least privilege) là rất quan trọng để hạn chế thiệt hại tiềm tàng khi một cuộc tấn công chiếm quyền điều khiển xảy ra. Bằng cách giới hạn quyền hạn của tài khoản người dùng và ứng dụng, ngay cả khi bị khai thác, thiệt hại cũng sẽ được kiểm soát ở mức thấp nhất.
Ngoài ra, việc giám sát các thay thế tệp trái phép trong các thư mục cài đặt và cập nhật có thể giúp phát hiện sớm các hoạt động đáng ngờ. Sử dụng các công cụ giám sát tính toàn vẹn tệp (FIM) hoặc hệ thống phát hiện xâm nhập (IDS) để cảnh báo về các thay đổi bất thường đối với các tệp thực thi hoặc cấu hình quan trọng. Cập nhật thường xuyên các bản vá bảo mật từ nhà cung cấp cũng là một biện pháp không thể thiếu để bảo vệ hệ thống. Đối với các khuyến nghị chung về bảo mật, tài liệu của CISA cũng cung cấp nhiều hướng dẫn giá trị: CISA Alerts and Advisories.
