VietBF

VietBF (https://vietbf.com/forum/index.php)
-   Tin hay Nước Khác (https://vietbf.com/forum/forumdisplay.php?f=262)
-   -   Phát hiện lỗ hổng nguy hiểm trong Windows Defender cho phép tin tặc vô hiệu hóa việc bảo mật (https://vietbf.com/forum/showthread.php?t=2087855)

trungthuc 09-10-2025 22:25
Phát hiện lỗ hổng nguy hiểm trong Windows Defender cho phép tin tặc vô hiệu hóa việc bảo mật
 
1 Attachment(s)
Một lỗ hổng nghiêm trọng vừa được các chuyên gia nghiên cứu bảo mật đă phát hiện ra trong cơ chế cập nhật của Windows Defender. Lỗ hổng này có thể cho phép kẻ tấn công có đủ quyền hạn của quản trị viên nhằm vô hiệu hóa dịch vụ bảo mật và thậm chí cho thao túng các tập cốt lơi của phần mềm pḥng thủ cho máy tính.

(MInh họa)

Theo sự phân tích của nhóm nghiên cứu Zero Salarium, vấn đề này nằm ở cách thức mà Windows Defender lựa chọn ra trong thư mục phiên bản trong quá tŕnh cho cập nhật. Cụ thể, phần mềm sẽ tự động chọn thư mục có số phiên bản cao nhất trong đường dẫn sau: ProgramData\Microsof t\Windows Defender\Platform. Dù Microsoft đă hạn chế việc chỉnh sửa thư mục này, nhưng người sử dụng khi có đủ quyền quản trị viên vẫn có thể tạo ra thư mục mới và cài đặt một sự liên kết tượng trưng (symlink). Điều này sẽ giúp cho bọn tin tặc cho chuyển hướng dịch vụ sang thư mục giả mạo do chúng kiểm soát.

Cách thức để khai thác lỗ hổng​

Để thực hiện cuộc tấn công, kẻ xấu chỉ cần cho sao chép các tập tin thực thi hợp pháp của Defender sang một thư mục mới, sau đó tạo symlink giả mạo có số phiên bản cao hơn trong thư mục Platform. Khi hệ thống máy tính được khởi động lại, Windows Defender sẽ tin rằng đây là phiên bản mới nhất và cho chạy từ vị trí do kẻ tấn công đă lựa chọn sẳn.

Một khi kiểm soát được thư mục này, bọn tin tặc có thể:

- Cài đặt DLL độc hại để thực hiện việc tấn công tải DLL, cho chạy mă độc nguy hiểm ngay trong tiến tŕnh Defender.
- Phá hủy hoặc cho chỉnh sửa các tập tin thực thi, khiến cho dịch vụ pḥng thủ không thể hoạt động được.

Trong một cuộc thử nghiệm, chuyên gia nghiên cứu đă chứng minh rằng chỉ cần xóa liên kết tượng trưng sau khi bị chiếm quyền quản trị viên, Windows Defender sẽ không thể t́m thấy ra tập tin cần thiết, dẫn đến dịch vụ bị cho ngưng lại hoàn toàn. Điều này đồng nghĩa với việc mọi cơ chế chống vi-rút và bảo vệ theo thời gian thực tế sẽ bị vô hiệu hóa, để cho máy tính sẽ phơi bày trước các nguy cơ bị tấn công, xâm nhập.

** Tham khảo thêm ở đây:
- https://cybersecuritynews.com/window...vulnerability/


All times are GMT. The time now is 02:12.

VietBF - Vietnamese Best Forum Copyright ©2005 - 2025
User Alert System provided by Advanced User Tagging (Pro) - vBulletin Mods & Addons Copyright © 2025 DragonByte Technologies Ltd.

Page generated in 0.10451 seconds with 9 queries