Trong bài viết này, chúng ta sẽ phân tích chi tiết một dự án GitHub liên quan đến lỗ hổng bảo mật CVE-2024-12754 trong phần mềm AnyDesk, được phát hiện bởi nhà nghiên cứu an ninh Naor Hodorov. Lỗ hổng này cho phép người dùng có đặc quyền thấp thực hiện leo thang đặc quyền cục bộ (LPE) thông qua việc lợi dụng cơ chế sao chép tệp hình nền của AnyDesk.
🧩 Tóm tắt về lỗ hổng CVE-2024-12754
Lỗ hổng CVE-2024-12754 xuất phát từ việc dịch vụ AnyDesk chạy với quyền NT AUTHORITY\SYSTEM thực hiện sao chép tệp hình nền của người dùng vào thư mục C:\Windows\Temp. Điều đặc biệt ở đây là tệp sao chép sẽ giữ nguyên tên gốc và quyền sở hữu của NT AUTHORITY\SYSTEM. Mặc dù người dùng có đặc quyền thấp không thể đọc tệp trong thư mục này, nhưng họ có thể ghi tệp vào đó.
Kẻ tấn công có thể lợi dụng điều này bằng cách:
- Tạo trước một tệp với tên trùng khớp với tệp hình nền trong thư mục
C:\Windows\Temp. - Đặt hình nền của họ, khiến dịch vụ AnyDesk sao chép tệp vào vị trí đã tạo.
- Tệp bị ghi đè sẽ giữ quyền sở hữu của NT AUTHORITY\SYSTEM, cho phép kẻ tấn công truy cập vào các tệp hệ thống nhạy cảm như SAM, SYSTEM và SECURITY, từ đó thực hiện leo thang đặc quyền cục bộ.
📁 Phân tích nội dung dự án GitHub
Dự án GitHub liên quan đến lỗ hổng này cung cấp một PoC (Proof of Concept) để khai thác lỗ hổng CVE-2024-12754. Dưới đây là phân tích các thành phần chính trong dự án:
1. README.md
Tệp này cung cấp thông tin tổng quan về lỗ hổng, cách thức hoạt động và hướng dẫn sử dụng PoC. Nó giải thích chi tiết về cơ chế hoạt động của lỗ hổng và cách khai thác nó để đạt được leo thang đặc quyền.
2. anydeskPoC.py
Đây là tệp mã nguồn chính của PoC, được viết bằng Python. Tệp này thực hiện các chức năng sau:
- Kiểm tra cấu hình dịch vụ AnyDesk để xác định xem có tồn tại lỗ hổng hay không.
- Tạo và ghi tệp vào thư mục
C:\Windows\Tempvới tên trùng khớp với tệp hình nền. - Kích hoạt dịch vụ AnyDesk để sao chép tệp hình nền và ghi đè lên tệp đã tạo, từ đó chiếm quyền sở hữu tệp với quyền NT AUTHORITY\SYSTEM.
3. requirements.txt
Tệp này liệt kê các thư viện Python cần thiết để chạy PoC, bao gồm các thư viện để tương tác với hệ thống và thực hiện các thao tác cần thiết.
4. setup.py
Tệp này hỗ trợ cài đặt và cấu hình môi trường cho PoC, giúp người dùng dễ dàng thiết lập và chạy mã nguồn.
🔍 Điểm đặc biệt và kỹ thuật khai thác
Điểm đặc biệt của lỗ hổng này là việc lợi dụng cơ chế sao chép tệp hình nền của AnyDesk, vốn được thiết kế để tạo sự thuận tiện cho người dùng, nhưng lại mở ra một lỗ hổng bảo mật nghiêm trọng. Kỹ thuật khai thác bao gồm:
- Sử dụng Shadow Copy: Kẻ tấn công có thể lợi dụng tính năng sao lưu của Windows (Shadow Copy) để truy cập vào các tệp hệ thống nhạy cảm như SAM, SYSTEM và SECURITY.
- Junction Points và Symlinks: Việc tạo các điểm nối (junction points) và liên kết tượng trưng (symlinks) cho phép kẻ tấn công thay đổi vị trí tệp đích, từ đó ghi đè lên các tệp hệ thống quan trọng.
🎯 Lợi ích thực tiễn khi sử dụng PoC
Việc nghiên cứu và sử dụng PoC này mang lại nhiều lợi ích thực tiễn:
- Hiểu rõ cơ chế hoạt động của lỗ hổng: Giúp các chuyên gia an ninh hiểu rõ cách thức hoạt động của lỗ hổng và cách thức khai thác nó.
- Phát triển biện pháp phòng ngừa: Dựa trên hiểu biết về lỗ hổng, các biện pháp phòng ngừa như kiểm tra và vá lỗ hổng có thể được phát triển.
- Đào tạo và nâng cao nhận thức: PoC có thể được sử dụng trong các khóa đào tạo an ninh mạng để giúp người học hiểu và nhận diện các lỗ hổng bảo mật.
📝 Kết luận
Lỗ hổng CVE-2024-12754 trong AnyDesk là một ví dụ điển hình về việc lợi dụng các tính năng tiện ích của phần mềm để thực hiện các cuộc tấn công leo thang đặc quyền. Việc nghiên cứu và hiểu rõ về lỗ hổng này không chỉ giúp bảo vệ hệ thống khỏi các cuộc tấn công mà còn nâng cao nhận thức về an ninh mạng trong cộng đồng.
Source link: AnyDesk_CVE-2024-12754
