Vn-Z.vn Ngày 23 tháng 10 năm 2024, Theo BleepingComputer ngày 22/10, các chuyên gia bảo mật đã công khai mã khai thác lỗ hổng có mã CVE-2024-43532, một lỗ hổng trong hệ thống khách hàng của Windows Remote Registry. Lỗ hổng này đã được khắc phục trong bản cập nhật Patch Tuesday vào tháng 10 năm nay.
Lỗ hổng CVE-2024-43532 khai thác Windows Registry (WinReg) client. Nếu giao thức truyền SMB không tồn tại, hệ thống sẽ dựa vào cơ chế dự phòng với các giao thức cũ hơn, từ đó làm giảm tính bảo mật trong quá trình xác thực. Kẻ tấn công có thể lợi dụng lỗ hổng này để chuyển tiếp xác thực NTLM đến Dịch vụ Chứng chỉ Active Directory (ADCS), nhằm lấy chứng chỉ người dùng và thực hiện xác thực miền.
Theo báo cáo, lỗ hổng này ảnh hưởng đến tất cả các phiên bản Windows Server từ 2008 đến 2022, cũng như Windows 10 và Windows 11.
Lỗ hổng được phát hiện bởi nhà nghiên cứu Stiv Kupchik từ Akamai, người đã báo cáo sự việc cho Microsoft vào ngày 1/2. Ban đầu, Microsoft từ chối báo cáo này vào ngày 25/4, cho rằng đó chỉ là “vấn đề tài liệu.”
Khi lỗ hổng bảo mật này bị công khai, mã khai thác (proof of concept - PoC) thường được các nhà nghiên cứu bảo mật hoặc hacker phát hiện và chia sẻ công khai, có thể trên các diễn đàn hoặc trang web công nghệ. Điều này cho phép kẻ xấu sử dụng mã này để tấn công các hệ thống chưa được vá lỗi.
Lỗ hổng CVE-2024-43532 là một ví dụ cụ thể. Nó liên quan đến Windows Remote Registry client, nơi mà kẻ tấn công có thể lợi dụng giao thức truyền SMB không tồn tại để chuyển tiếp xác thực NTLM, từ đó truy cập vào Active Directory Certificate Services (ADCS) và lấy chứng chỉ người dùng. Với chứng chỉ này, kẻ tấn công có thể thực hiện các cuộc tấn công phức tạp hơn để kiểm soát miền, tức là có thể truy cập, thay đổi hoặc kiểm soát các tài nguyên và dữ liệu trong mạng miền của tổ chức.
Tuy nhiên, sau khi Kupchik gửi lại báo cáo vào giữa tháng 6 với mã khai thác và giải thích chi tiết hơn, Microsoft đã thừa nhận lỗ hổng vào ngày 8/7 và phát hành bản vá vào tháng 10.
Lỗ hổng CVE-2024-43532 khai thác Windows Registry (WinReg) client. Nếu giao thức truyền SMB không tồn tại, hệ thống sẽ dựa vào cơ chế dự phòng với các giao thức cũ hơn, từ đó làm giảm tính bảo mật trong quá trình xác thực. Kẻ tấn công có thể lợi dụng lỗ hổng này để chuyển tiếp xác thực NTLM đến Dịch vụ Chứng chỉ Active Directory (ADCS), nhằm lấy chứng chỉ người dùng và thực hiện xác thực miền.
Lỗ hổng được phát hiện bởi nhà nghiên cứu Stiv Kupchik từ Akamai, người đã báo cáo sự việc cho Microsoft vào ngày 1/2. Ban đầu, Microsoft từ chối báo cáo này vào ngày 25/4, cho rằng đó chỉ là “vấn đề tài liệu.”
Khi lỗ hổng bảo mật này bị công khai, mã khai thác (proof of concept - PoC) thường được các nhà nghiên cứu bảo mật hoặc hacker phát hiện và chia sẻ công khai, có thể trên các diễn đàn hoặc trang web công nghệ. Điều này cho phép kẻ xấu sử dụng mã này để tấn công các hệ thống chưa được vá lỗi.
Lỗ hổng CVE-2024-43532 là một ví dụ cụ thể. Nó liên quan đến Windows Remote Registry client, nơi mà kẻ tấn công có thể lợi dụng giao thức truyền SMB không tồn tại để chuyển tiếp xác thực NTLM, từ đó truy cập vào Active Directory Certificate Services (ADCS) và lấy chứng chỉ người dùng. Với chứng chỉ này, kẻ tấn công có thể thực hiện các cuộc tấn công phức tạp hơn để kiểm soát miền, tức là có thể truy cập, thay đổi hoặc kiểm soát các tài nguyên và dữ liệu trong mạng miền của tổ chức.
Tuy nhiên, sau khi Kupchik gửi lại báo cáo vào giữa tháng 6 với mã khai thác và giải thích chi tiết hơn, Microsoft đã thừa nhận lỗ hổng vào ngày 8/7 và phát hành bản vá vào tháng 10.
