Microsoft chia sẻ cách sửa lỗi cho lỗ hổng ACL & SAM

Theo TheWindowsClub, lỗ hổng CVE-2021-36934 vừa được phát hiện gần đây là một vấn đề quan trọng vì nó cung cấp các đặc quyền nâng cao cho kẻ xấu.

Lỗ hổng đặc quyền tăng cao tồn tại do Access Control Lists (ACLs) quá dễ dãi trên nhiều tệp hệ thống, bao gồm cả cơ sở dữ liệu Security Accounts Manager (SAM). Kẻ tấn công đã khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của hệ thống. Sau đó chúng có thể cài đặt các chương trình, xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.

Để khai thác lỗ hổng, kẻ xấu phải có quyền truy cập vào hệ thống và chạy mã ngay từ đầu. Microsoft vẫn đang điều tra sự cố và nhiều dữ liệu dự kiến sẽ được thêm vào CVE. Tuy nhiên, hiện tại, người dùng có thể thử 2 phương pháp để vô hiệu hóa phần dễ bị tấn công của hệ điều hành.

Theo phiên bản chính thức, không có lỗ hổng nào bị khai thác và Microsoft đã đủ nhanh để đưa ra giải pháp thay thế. Tuy nhiên, công ty cũng đề cập việc khai thác bằng cách sử dụng lỗ hổng bảo mật có nhiều khả năng xảy ra hơn và người dùng phải tuân theo cách giải quyết càng nhanh càng tốt.

Đầu tiên, bạn phải chạy ứng dụng thực thi lệnh Command Prompt hoặc Windows PowerShell và chạy lệnh bên dưới để giới hạn quyền truy cập vào thư mục %windir%\system32\config.

• Với Command Prompt: icacls %windir%\system32\config\*.* /inheritance:e

• Với PowerShell: icacls $env:windir\system32\config\*.* /inheritance:e

Giới hạn quyền truy cập thư mục hệ thống bằng Command Prompt Ảnh chụp màn hình

Trong bước thứ hai, người dùng phải xóa bỏ các bản sao của Volume Shadow Copy Service. Và cũng sẽ yêu cầu xóa các điểm khôi phục của System Restore.

Khi chúng đã bị loại bỏ và quyền truy cập vào thư mục %windir%\system32\config bị hạn chế, người dùng có thể tạo một điểm System Restore khác.

Vấn đề với cách giải quyết là người dùng sẽ mất quyền truy cập vào các System Restore hiện có. Sẽ không có vấn đề gì đối với những người có một hình thức sao lưu khác, nhưng các cá nhân hoặc tổ chức hoàn toàn dựa vào các điểm System Restore sẽ bị đe dọa.

Cần phải lưu ý cách giải quyết hiện tại là một giải pháp khắc phục tạm thời. Microsoft có thể sẽ phát hành một bản vá sau khi đã điều tra kỹ lưỡng vấn đề.