Khám phá CVE-2025-29824: Lỗ hổng Sử dụng Sau Khi Giải phóng (UAF) trên Windows CLFS

09/04/2025
2 mins read
Nội dung
Tổng quan về Lỗ hổng
Chi tiết Kỹ thuật
Khai thác Nổi bật
Giảm thiểu và Khắc phục
Khuyến nghị

Tổng quan về Lỗ hổng

  • ID CVE: CVE-2025-29824
  • Thành phần: Trình điều khiển Hệ thống Nhật ký Thông thường (CLFS) của Windows
  • Loại: Lỗ hổng Sử dụng Sau Khi Giải phóng (UAF)
  • CWE liên quan: CWE-416 (Sử dụng Sau Khi Giải phóng)

Chi tiết Kỹ thuật

  • Phương pháp khai thác: Lỗ hổng phát sinh từ điểm yếu UAF, cho phép kẻ tấn công truy cập vào bộ nhớ đã bị giải phóng. Điều này có thể dẫn đến hỏng hóc bộ nhớ và tấn công nâng cao đặc quyền (EoP).
  • Tác động: Một kẻ tấn công có quyền truy cập cục bộ có thể khai thác lỗ hổng để đạt được đặc quyền nâng cao, có khả năng kiểm soát hoàn toàn máy tính mục tiêu. Lỗ hổng này có điểm số CVSS là 7.8, cho thấy tác động an ninh nghiêm trọng.
  • Chi tiết khai thác: Lỗ hổng tận dụng API RtlSetAllBits để ghi đè lên token tiến trình, cấp quyền đầy đủ. Nó cũng sử dụng API NtQuerySystemInformation để rò rỉ địa chỉ kernel, mặc dù phương pháp này không hiệu quả trên Windows 11, phiên bản 24H2.

Khai thác Nổi bật

  • Khai thác hoạt động: Lỗ hổng đang được khai thác một cách chủ động, Microsoft đã quan sát thấy mã khai thác hoạt động. Điều này đã được liên kết với mã độc PipeMagic, được triển khai bởi tác nhân đe dọa Storm-2460.
  • Các chỉ số thỏa thuận: Việc khai thác tạo ra một tệp CLFS BLF tại C:\ProgramData\SkyPDF\PDUDrv.blf và tiêm một payload vào winlogon.exe. Kẻ tấn công cũng sử dụng procdump.exe của Sysinternals để dump bộ nhớ của tiến trình LSASS và thu thập thông tin đăng nhập của người dùng.

Giảm thiểu và Khắc phục

  • Tình trạng vá lỗi: Microsoft đã phát hành một bản vá chính thức như một phần của các bản cập nhật bảo mật mới nhất. Các tổ chức và người dùng cá nhân được khuyến nghị mạnh mẽ để vá các hệ thống của họ ngay lập tức nhằm giảm thiểu rủi ro.
  • Các biện pháp bổ sung: Đối với những người không thể áp dụng bản vá ngay lập tức, Microsoft khuyến nghị giới hạn quyền truy cập vật lý và cục bộ vào các hệ thống dễ bị tấn công và đảm bảo các lớp bảo mật khác, chẳng hạn như công cụ phát hiện và phản ứng điểm cuối (EDR), được triển khai.

Khuyến nghị

  • Quản lý bản vá: Microsoft khuyến nghị các tổ chức ưu tiên áp dụng các cập nhật bảo mật cho các lỗ hổng nâng cao đặc quyền để thêm một lớp phòng thủ chống lại các cuộc tấn công ransomware.
  • Bảo mật nhiều lớp: CISA khuyên các tổ chức tiến hành săn lùng mối đe dọa một cách chủ động, thực thi nguyên tắc đặc quyền tối thiểu và theo dõi các hoạt động tài khoản bất thường để đảm bảo thực hiện các phương pháp tốt nhất về an ninh mạng.