CVE-2017-11779

CVE-2017-11779: Hacker thực thi mã trên Windows qua DNS Responses

October 12, 2017 | vietsunshine

Một trong 62 lỗ hổng được vá bởi Microsoft với bản cập nhật bảo mật tháng 10 là lỗ hổng nghiêm trọng của Windows, nó cho phép kẻ tấn công từ xa thực hiện mã tùy ý trên máy tính của nạn nhan thông qua các phản hồi DNS.

Lỗ hổng bảo mật được theo dõi là CVE-2017-11779, được phát hiện bởi các nhà nghiên cứu tại Bishop Fox, nó ảnh hướng đến Windows Server 2012 và 2016, Windows 8.1 và Windows 10. Microsoft cho biết, lỗ hổng này tồn tại do cách Windows DNSAPI (dnsapi.dll ) xử lý các phản hồi DNS và ít có khả năng bị khai thác.

Theo Bishop Fox, kẻ tấn công cần phải ở vị trí trung gian (MitM) để khai thác lỗ hổng (ví dụ qua kết nối wifi công cộng không được bảo vệ mà nạn nhân kết nối). Tuy nhiên, nếu yêu cầu này đã đạt được, kẻ tấn công có thể thực thi mã tùy ý  và cuôc tấn công không đòi hỏi người dùng tương tán, khai thác không giới hạn và không có bất kỳ cảnh báo nào cho nạn nhân.

“Các lỗ hổng này có thể ảnh hưởng đến các tiến trình đang chạy ở các mức đặc quyền khác nhau (kể cả SYSTEM) và dịch vụ DnsCache dưới dưới svchost.exe sẽ khởi động lại khi thất bại”, nhà nghiên cứu Bishop Fox cho biết. Bishop Fox đã xuất bản một bài đăng trên blog có chứa các chi tiết kỹ thuật về CVE-2017-11779 và video đưa ra lời giải thích cấp cao về lỗ hổng này:

Các bản cập nhật bảo mật mới nhất của Microsoft cũng sửa Office zero-day đã được khai thác để phát hiện phần mềm độc hại trong các cuộc tấn công được nhắm mục tiêu (CVE-2017-11826) và hơn 12 lỗ hổng quan trọng khác.

 

Tags: , ,