Kỹ thuật tấn công tinh vi mang tên LNK Stomping đang được các tác nhân đe dọa sử dụng để qua mặt các biện pháp bảo vệ của Windows, vốn được thiết kế để chặn các tệp độc hại tải xuống từ internet. Kỹ thuật này khai thác một lỗ hổng CVE trong các tệp phím tắt của Windows, đã được vá vào tháng 9 năm 2024 dưới mã định danh CVE-2024-38217.
Tổng quan về LNK Stomping và CVE-2024-38217
Các tệp phím tắt của Windows, thường được gọi là tệp LNK, đã trở thành một vectơ tấn công ngày càng phổ biến kể từ khi Microsoft tăng cường các chính sách chặn macro vào năm 2022. Kẻ tấn công thường phân phối các phím tắt độc hại này thông qua các tệp đính kèm email hoặc các tệp nén, ngụy trang chúng thành các tài liệu hợp pháp.
Khi được thực thi, các tệp LNK sẽ gọi các công cụ hệ thống đáng tin cậy như PowerShell, cmd.exe hoặc mshta.exe, khiến hoạt động độc hại xuất hiện như các tiến trình hệ thống bình thường. Điều này giúp chúng ẩn mình khỏi các hệ thống giám sát dựa trên chữ ký.
Cơ chế bảo vệ Mark of the Web (MoTW)
Để chống lại các cuộc tấn công như vậy, Windows triển khai các biện pháp bảo vệ Mark of the Web (MoTW). Tính năng bảo mật này gắn metadata vào các tệp được tải xuống từ internet, tạo một Luồng Dữ liệu Thay thế NTFS (NTFS Alternate Data Stream) có tên Zone.Identifier.
Các công cụ bảo mật của Windows như SmartScreen và Smart App Control sử dụng metadata này để thực hiện kiểm tra danh tiếng và cảnh báo người dùng về các tệp có khả năng nguy hiểm trước khi chúng có thể gây hại.
LNK Stomping: Kỹ thuật Bỏ qua MoTW
LNK Stomping, được tiết lộ lần đầu bởi Elastic Security Labs vào năm 2024 (chi tiết tại ASEC), khai thác quá trình chuẩn hóa đường dẫn của Windows Explorer để loại bỏ metadata MoTW. Kỹ thuật này thao túng cấu trúc nội bộ của các tệp LNK bằng cách tạo ra các đường dẫn đích không chuẩn, khiến Explorer xử lý phím tắt không chính xác.
Khi người dùng nhấp vào một tệp LNK được tạo độc hại, Explorer phát hiện cấu trúc đường dẫn bất thường và cố gắng chuẩn hóa nó bằng cách lưu lại phím tắt. Trong quá trình chuẩn hóa này (canonicalization), hệ thống không giữ được metadata MoTW, loại bỏ hiệu quả nhãn bảo mật trước khi bất kỳ kiểm tra danh tiếng nào diễn ra. Đây là một phương thức khai thác zero-day tiềm ẩn cho đến khi bản vá được phát hành.
Cách thức Thao túng Cấu trúc LNK File
Kỹ thuật LNK Stomping sử dụng ba phương pháp chính để tạo ra các lỗi cấu trúc trong tệp LNK:
- PathSegment type: Đặt toàn bộ đường dẫn tệp vào các phần tử mảng đơn lẻ.
- Dot type: Thêm dấu chấm hoặc khoảng trắng vào đường dẫn thực thi.
- Relative type: Chỉ sử dụng tên tệp thay vì đường dẫn đầy đủ.
Bằng chứng Khai thác và Tác động
Các nhà nghiên cứu bảo mật đã trình diễn thành công LNK Stomping trong việc bỏ qua các kiểm soát bảo mật của Windows 10. Trong thử nghiệm có kiểm soát, các tệp LNK độc hại không sử dụng kỹ thuật này đã bị Smart App Control chặn đúng cách, trong khi những tệp áp dụng LNK Stomping lại thực thi mà không có bất kỳ cảnh báo bảo mật nào.
CVE-2024-38217 và Danh sách KEV của CISA
Mức độ nghiêm trọng của lỗ hổng CVE-2024-38217 trở nên rõ ràng khi CISA đã thêm CVE-2024-38217 vào danh sách Known Exploited Vulnerabilities (KEV) của mình vào ngày 10 tháng 9 năm 2024. Việc này xác nhận rằng lỗ hổng đang bị khai thác tích cực trong thực tế.
Bạn có thể tìm thêm thông tin chi tiết về CVE này tại NVD – CVE-2024-38217.
Phát hiện và Lịch sử Khai thác
Joe Desimone từ Elastic Security Labs đã phát hiện nhiều mẫu LNK Stomping trên VirusTotal. Các mẫu cũ nhất được gửi từ sáu năm trước, cho thấy kỹ thuật này đã được sử dụng ngầm trong thời gian dài. Mặc dù hiện tại chưa có nhóm đe dọa cụ thể nào được chính thức gán cho việc khai thác lỗ hổng CVE-2024-38217, danh sách KEV của CISA cho thấy những kẻ tấn công đã và đang tích cực sử dụng các kỹ thuật LNK Stomping.
Điều này biến LNK Stomping thành một mối đe dọa dai dẳng chứ không chỉ là lý thuyết.
Khuyến nghị và Biện pháp Phòng ngừa
Các tổ chức nên đảm bảo hệ thống được cập nhật với các bản vá bảo mật tháng 9 năm 2024. Việc này là cực kỳ quan trọng để bảo vệ khỏi LNK Stomping và các kỹ thuật tấn công tương tự.
Ngoài ra, cần triển khai các quy tắc phát hiện dựa trên hành vi để xác định hoạt động tệp LNK đáng ngờ, vì các biện pháp bảo vệ dựa trên chữ ký truyền thống có thể gặp khó khăn trong việc chống lại các kỹ thuật né tránh này.
