Tiêu điểm: Lỗ hổng AppLocker trên hệ thống Lenovo do tệp `MFGSTAT.zip` dễ ghi
Một nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến các máy tính Lenovo, liên quan đến một tệp có thể ghi trong thư mục Windows, cho phép vượt qua các hạn chế của AppLocker. Tệp bị ảnh hưởng là C:\Windows\MFGSTAT.zip, xuất hiện trên nhiều máy Lenovo đi kèm với ảnh Windows mặc định của nhà sản xuất.
Ban đầu, lỗ hổng này được cho là chỉ ảnh hưởng đến một số ít thiết bị, nhưng sau đó đã được xác nhận trên nhiều mẫu máy Lenovo khác nhau.
Phân Tích Kỹ Thuật Lỗ Hổng
Bản Chất Lỗ Hổng: Quyền Ghi trên `MFGSTAT.zip`
Lỗ hổng xoay quanh quyền truy cập tệp của MFGSTAT.zip. Sử dụng các công cụ kiểm tra quyền truy cập, đã phát hiện ra rằng bất kỳ người dùng đã xác thực nào trên hệ thống đều có thể ghi vào tệp này. Việc xem xét Danh sách Kiểm soát Truy cập (ACLs – Access Control Lists) của tệp trong Windows Explorer đã xác nhận rằng người dùng tiêu chuẩn có cả quyền ghi và thực thi.
Điều này gây ra vấn đề lớn vì theo các quy tắc AppLocker mặc định, bất kỳ tệp thực thi nào trong thư mục C:\Windows đều được phép chạy. AppLocker là một tính năng bảo mật của Microsoft Windows, cho phép quản trị viên kiểm soát những ứng dụng nào được phép chạy trên máy tính. Nó hoạt động dựa trên nguyên tắc whitelisting (danh sách trắng ứng dụng), nơi chỉ các ứng dụng được phê duyệt rõ ràng mới được phép thực thi. Khi một tệp có thể ghi nằm trong một thư mục được AppLocker tin cậy, nó trở thành một điểm yếu tiềm năng để kẻ tấn công phá vỡ cơ chế kiểm soát ứng dụng này.
Kết quả là, tệp MFGSTAT.zip có thể ghi trở thành một vector tiềm năng để kẻ tấn công vượt qua tính năng whitelisting ứng dụng của AppLocker. Việc một tệp có quyền ghi trong một thư mục hệ thống quan trọng như C:\Windows, đặc biệt khi AppLocker tin tưởng các tệp trong thư mục đó, tạo ra một kịch bản rủi ro cao. Kẻ tấn công có thể lợi dụng sự tin cậy mặc định này để thực thi mã độc.
Tác Động Bảo Mật: Bỏ Qua AppLocker
Tác động chính của lỗ hổng này là khả năng bỏ qua các hạn chế của AppLocker. AppLocker được thiết kế để ngăn chặn việc thực thi các ứng dụng trái phép, do đó, việc vượt qua nó có thể dẫn đến thực thi mã tùy ý (arbitrary code execution) trên hệ thống. Khi AppLocker bị vô hiệu hóa hoặc bị qua mặt, kẻ tấn công có thể chạy bất kỳ chương trình nào họ muốn, bao gồm malware, ransomware, hoặc các công cụ hậu khai thác (post-exploitation tools), mà không bị AppLocker ngăn cản.
Điều này đặc biệt nguy hiểm trong môi trường doanh nghiệp nơi AppLocker thường được triển khai để tăng cường bảo mật điểm cuối. Việc kẻ tấn công có thể thực thi mã độc mà không cần ghi đè trực tiếp lên các tệp hợp pháp hoặc không cần quyền cao hơn đáng kể, làm tăng khả năng thành công của cuộc tấn công và khó phát hiện hơn.
Kỹ Thuật Khai Thác Lỗ Hổng
Để khai thác lỗ hổng này, kẻ tấn công không cần ghi đè trực tiếp lên tệp MFGSTAT.zip. Thay vào đó, họ có thể tận dụng tính năng Alternate Data Streams (ADS) của Windows.
Sử Dụng Alternate Data Streams (ADS)
Alternate Data Streams (ADS) là một tính năng của hệ thống tệp NTFS (New Technology File System) cho phép dữ liệu được lưu trữ ẩn trong một tệp hiện có mà không làm thay đổi kích thước tệp gốc hoặc hiển thị trong các danh sách thư mục thông thường. Điều này có nghĩa là một tệp có thể có nhiều luồng dữ liệu ngoài luồng chính mà người dùng thường thấy. Kẻ tấn công thường sử dụng ADS để ẩn mã độc, thông tin cấu hình, hoặc các tệp thực thi phụ trợ bên trong các tệp hợp pháp, giúp chúng tránh bị phát hiện bởi các công cụ bảo mật thông thường.
Bằng cách thêm một tệp nhị phân độc hại làm một Alternate Data Stream vào MFGSTAT.zip, kẻ tấn công có thể thực thi mã tùy ý. Ví dụ, lệnh sau đây thêm một tệp thực thi vào ADS của MFGSTAT.zip:
echo "Your malicious binary content here" > C:\Windows\MFGSTAT.zip:malicious.exeLệnh trên giả định rằng “Your malicious binary content here” là nội dung của tệp thực thi độc hại (thực tế, kẻ tấn công sẽ redirect đầu ra của một tệp thực thi hợp lệ hoặc sử dụng các công cụ chuyên dụng để nhúng tệp nhị phân). Khi lệnh này được thực thi, một luồng dữ liệu phụ có tên malicious.exe sẽ được tạo và liên kết với tệp MFGSTAT.zip, chứa mã độc.
Thực Thi Payload Qua Tiện Ích Hợp Pháp
Sau khi tệp nhị phân độc hại được nhúng vào luồng dữ liệu phụ, kẻ tấn công có thể thực thi payload này bằng cách sử dụng một tiện ích hợp pháp của Windows. Kỹ thuật này được gọi là “Living Off The Land” (LotL), nơi kẻ tấn công tận dụng các công cụ và tiện ích có sẵn trên hệ thống nạn nhân thay vì tải xuống hoặc đưa các công cụ riêng của họ. Điều này giúp giảm thiểu dấu vết và khó bị phát hiện hơn bởi các giải pháp bảo mật.
Ví dụ, kẻ tấn công có thể sử dụng appvlp.exe từ Microsoft Office, một tiện ích hợp pháp, để thực thi payload từ ADS:
C:\Program Files\Microsoft Office\root\Office16\appvlp.exe C:\Windows\MFGSTAT.zip:malicious.exeLệnh này sẽ khiến appvlp.exe tải và thực thi nội dung của luồng dữ liệu phụ malicious.exe được liên kết với MFGSTAT.zip. Kỹ thuật này cho phép kẻ tấn công chạy mã trái phép, vượt qua hiệu quả các hạn chế của AppLocker.
Không có CVE ID hoặc điểm CVSS cụ thể nào được cung cấp trong thông tin gốc cho lỗ hổng này. Tương tự, không có Indicators of Compromise (IOCs) truyền thống (như hash của malware cụ thể, địa chỉ IP máy chủ C2, tên miền, hoặc quy tắc YARA) được đề cập ngoài tên tệp và đường dẫn bị lợi dụng.
Phạm Vi Ảnh Hưởng và Phản Hồi từ Lenovo
Các Hệ Thống Bị Ảnh Hưởng
Lỗ hổng này ảnh hưởng đến các máy tính Lenovo được xuất xưởng với ảnh Windows mặc định của nhà sản xuất. Điều này có nghĩa là các hệ thống được mua sẵn và đi kèm với hệ điều hành cài đặt sẵn từ Lenovo có nguy cơ bị ảnh hưởng. Điều quan trọng cần lưu ý là các tổ chức tự triển khai ảnh Windows của riêng họ (ví dụ: thông qua các giải pháp quản lý triển khai hệ điều hành) không bị ảnh hưởng, vì tệp MFGSTAT.zip là đặc trưng của hệ điều hành được tải sẵn của Lenovo.
Phản Hồi và Hướng Dẫn Khắc Phục của Lenovo
Sau khi được thông báo về vấn đề này, Nhóm Phản ứng Sự cố Bảo mật Sản phẩm của Lenovo (PSIRT – Product Security Incident Response Team) đã xác nhận lỗ hổng. Tuy nhiên, Lenovo đã quyết định không phát hành bản vá cho vấn đề này. Thay vào đó, Lenovo đã công bố hướng dẫn khuyến nghị loại bỏ tệp dễ bị tấn công. Công ty đã cung cấp một số phương pháp để xóa tệp này.
Mặc dù Lenovo không cung cấp một bản vá tự động thông qua các bản cập nhật hệ thống, hướng dẫn loại bỏ tệp thủ công là một biện pháp giảm thiểu rủi ro hiệu quả. Người dùng và quản trị viên hệ thống của các hệ thống bị ảnh hưởng được khuyến nghị thực hiện hành động này càng sớm càng tốt để loại bỏ rủi ro.
Phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng các quyền tệp mặc định, đặc biệt là trong các thư mục hệ thống quan trọng. Ngay cả những sơ suất nhỏ trong cấu hình hệ thống cũng có thể dẫn đến những hậu quả bảo mật đáng kể.
Lenovo đã ghi nhận đóng góp của nhà nghiên cứu đã tiết lộ vấn đề này một cách có trách nhiệm và khuyến khích tất cả người dùng các hệ thống bị ảnh hưởng xóa tệp kịp thời.
