Lê Hữu Quang Linh, một nhà nghiên cứu bảo mật Việt Nam được nhắc đến trên website của MSRC - Trung tâm phản hồi về bảo mật của Microsoft, là một trong những người phát hiện ra lỗ hổng CVE-2020-1319.
Lỗ hổng này xuất hiện trên 29 phiên bản Windows khác nhau, chủ yếu là Windows 10 và Windows Server. Nếu lợi dụng thành công lỗ hổng này, hacker có thể chiếm quyền kiểm soát hệ thống từ xa, cài đặt chương trình, xem/thay đổi/xóa dữ liệu hoặc tạo tài khoản mới…
Nói về cách để tìm ra lỗi của hệ điều hành Windows, Linh cho biết anh thường xác định trước mục tiêu, sau đó nghiên cứu, theo đuổi mục tiêu đó một cách đủ lâu để có kết quả.
Ảnh minh họa. |
Hướng “tấn công” được Linh tìm ra từ việc theo dõi các nhà nghiên cứu đi trước, từ đó nắm bắt các lỗ hổng phổ biến của hệ điều hành Windows.
Khi đã lựa chọn được mục tiêu, người thực hiện sẽ tìm “bề mặt” tấn công, sau đó ứng dụng kỹ thuật fuzzing để phát hiện lỗi. Fuzzing là kỹ thuật phát hiện lỗi tự động mà phần lớn các nhà nghiên cứu bảo mật hiện nay sử dụng.
Tuy nhiên theo Linh, người nghiên cứu bảo mật cần hiểu rõ cách thức hoạt động của ứng dụng để tìm ra “bề mặt” tấn công chính xác.
Đánh giá về lỗi mới tìm ra, Linh cho rằng lỗ hổng này tiềm ẩn nhiều nguy cơ, dù khả năng khai thác trong thực tế là chưa có. Tuy nhiên, nếu thư viện xử lý media của Windows tồn tại nhiều lỗi tương tự, hacker có thể kết hợp các lỗi này để thực hiện một cuộc tấn công toàn diện, chiếm quyền điều khiển thiết bị.
Cách đây không lâu, Microsoft cũng đã vinh danh Lê Hữu Quang Linh trong top 100 nhà nghiên cứu bảo mật giá trị nhất của MSRC năm 2020. Anh đứng thứ 68, được ghi nhận là nhà nghiên cứu có sức ảnh hưởng lớn.
Từng nhiều lần phát hiện lỗ hổng bảo mật
Đươc biết, trong 6 tháng qua, đội chuyên gia của NCSC cũng từng nhiều lần phát hiện ra các lỗ hổng bảo mật nghiêm trọng của các nền tảng lớn như Ủy ban châu Âu, thiết bị định tuyến D-link, công ty điện toán đám mây Rackspace, sàn TMĐT Alibaba.
Mới đây nhất là lỗ hổng này có mã định danh theo dõi CVE-2020-1350 và tên gọi chính thức là SIGRed.
Lỗ hổng này đã tồn tại trong Windows DNS Server gần 2 thập kỷ và chỉ vừa mới được xử lý thành công nhờ nỗ lực của các chuyên gia Microsoft với sự trợ giúp từ đội ngũ bảo mật Checkpoint Security.
Sở dĩ SIGRed được đánh giá ở mức độ nghiêm trọng tối đa, 10 trên 10, là bởi về bản chất, nó là một lỗ hổng thực thi mã từ xa ảnh hưởng trực tiếp đến hoàng loạt phiên bản Windows Server (từ 2003 đến 2019), và trong trường hợp bị khai thác thành công, SIGRed sẽ mở đường cho hacker nắm trong tay các đặc quyền Domain Administrator, từ đó thôn tính toàn bộ cơ sở hạ tầng của tổ chức/doanh nghiệp nạn nhân.
Ngoài ra, SIGRed còn nguy hiểm ở “đặc tính mã độc” mà nó sở hữu, có nghĩa là một phiên khai thác thành công lỗ hổng có thể tự động lan truyền đến các hệ thống Windows dễ bị tổn thương khác trên toàn mạng mà không cần đến sự tương tác của người dùng làm cầu nối.
Đặc tính này đặt nó ngang hàng với các lỗ hổng nổi tiếng nghiêm trọng đã từng được ghi nhận như EternalBlue trong Server Message Block (SMB) và BlueKeep trên Remote Desktop Protocol (RDP).
Bạch Hân