Lỗ hổng bảo mật mới trên Windows cho phép hacker có quyền truy cập vào dữ liệu của người dùng

Quân Kít

Lỗ hổng mới ít dễ bị khai thác hơn, nhưng kẻ tấn công có động cơ có thể sử dụng nó để có được mức đặc quyền truy cập tối đa có thể trong Windows và đánh cắp dữ liệu và mật khẩu.

 Cũng như Microsoft đang đấu tranh với 5 lỗi bảo mật khác nhau ảnh hưởng đến bộ đệm in của Windows, các nhà nghiên cứu bảo mật đã phát hiện ra cơn ác mộng tiếp theo của công ty - một lỗ hổng quyền được đặt tên là HiveNightmare hay còn gọi là SeriousSAM. Lỗ hổng mới ít dễ bị khai thác hơn, nhưng kẻ tấn công có động cơ có thể sử dụng nó để có được mức đặc quyền truy cập tối đa có thể trong Windows và đánh cắp dữ liệu và mật khẩu.

Vào ngày thứ Hai đầu tuần, nhà nghiên cứu bảo mật Jonas Lykkegaard đã tiết lộ rên Twitter rằng anh ta có thể đã tìm thấy một lỗ hổng nghiêm trọng trên Windows 11. Ban đầu, anh nghĩ rằng mình đang xem xét sự hồi quy phần mềm trong bản dựng Insider của Windows 11, nhưng anh nhận thấy nội dung của cơ sở dữ liệu. người dùng thông thường có thể truy cập tệp được liên kết với Windows Registry mà không có đặc quyền nâng cao.

Cụ thể, Jonas nhận thấy rằng anh có thể đọc nội dung của Trình quản lý tài khoản bảo mật (SAM), nơi lưu giữ mật khẩu đã băm cho tất cả người dùng trên PC WIndows, cũng như của các cơ sở dữ liệu Registry khác.

Điều này đã được xác nhận bởi Kevin Beaumont và Jeff McJunkin, những người đã thực hiện một số thử nghiệm bổ sung và nhận thấy sự cố ảnh hưởng đến Windows 10 phiên bản 1809 trở lên, cho đến phiên bản Insider mới nhất của Windows 11. Các phiên bản 1803 trở xuống không bị ảnh hưởng, cũng như tất cả các phiên bản của Máy chủ Windows.

Microsoft đã thừa nhận lỗ hổng bảo mật và hiện đang tiến hành vá lỗi. Bản tin bảo mật của công ty giải thích rằng một kẻ độc hại đã khai thác thành công lỗ hổng này sẽ có thể tạo một tài khoản trên máy bị ảnh hưởng có đặc quyền cấp Hệ thống, đây là cấp truy cập cao nhất trong Windows. Điều này có nghĩa là kẻ tấn công có thể xem và thay đổi tệp của bạn, cài đặt ứng dụng, tạo tài khoản người dùng mới và thực thi bất kỳ mã nào có đặc quyền nâng cao.

Đây là một vấn đề nghiêm trọng, nhưng có khả năng nó chưa được khai thác rộng rãi, vì kẻ tấn công cần phải xâm nhập hệ thống mục tiêu trước bằng cách sử dụng một lỗ hổng khác. 

Microsoft đã cung cấp một giải pháp cho những người muốn giảm thiểu sự cố, bao gồm việc hạn chế quyền truy cập vào nội dung của thư mục Windows \ system32 \ config và xóa các điểm Khôi phục Hệ thống và các bản sao Shadow. Tuy nhiên, điều này có thể phá vỡ các hoạt động khôi phục và bao gồm cả việc khôi phục hệ thống của bạn với sự trợ giúp của các ứng dụng sao lưu của bên thứ ba.

Bài cùng chuyên mục