khai thác lỗ hổng phần mềm cve 2021 40444 cve 2023 23397

RCE là kỹ thuật tấn công mạng của hacker dựa vào lỗ hổng hoặc sơ hở nàođó của hệ thống để truy cập từ xa vào máy tính hoặc mạng máy tính của nạn nhân.Từ đó, hacker có thể thực thi các mã

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

KHAI THÁC LỖ HỔNG PHẦN MỀM

Nhóm Sinh viên thực hiện – Nhóm 10:

Hà Nội, 2023

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Trong thời đại bùng nổ thông tin, máy tính và phần mềm đã trở thành mộtphần của cuộc sống hiện đại và ngày càng đóng vai trò quan trọng đối với conngười Công nghệ phần mềm là nền tảng tạo nên hầu hết các ứng dụng từ thiết bị diđộng đến máy tính, công cụ hỗ trợ trong hoạt động sản xuất kinh doanh

Tuy nhiên song song với sự phát triển của thời đại số, phần mềm dần trởthành con mồi béo bở của những kẻ có mưu đồ bất chính Bất cứ phần mềm nàocũng tồn tại điểm yếu và lỗ hổng bởi phần mềm là do con người làm ra Cùng vớisự phát triển chóng mặt của công nghệ số, việc bảo vệ được hệ thống thông tinkhỏi tin tặc và kẻ xấu là một thách thức vô cùng lớn Các loại hình, phương thức,kỹ thuật tấn công dần trở nên phức tạp, tinh vi và khó bị dò quét, phát hiện

Theo số liệu từ Cục An toàn thông tin (Bộ TT&TT), trong 11 tháng đầu năm2022 đã có tới 11.213 cuộc tấn công mạng hướng vào Việt Nam, tăng 44,2% sovới cùng kỳ năm ngoái Trong đó, có 5.759 cuộc tấn công phần mềm độc hại(malware) Các cuộc tấn công phần mềm ngày càng tăng cả về số lượng, quy môvà hình thức.

Nhận thức về vấn đề cấp thiết trong phòng chống tấn công phần mềm hiệnnay, các chuyên gia an ninh mạng đã phát triển nhiều giải pháp bảo mật ứng vớitình trạng thực tiễn Bằng cách công bố danh mục chi tiết mức độ nghiêm trọng,chi tiết cách thức tấn công và biện pháp phòng ngừa của các lỗ hổng đã bị khaithác, các tổ chức, cá nhân tham gia hoạt động mạng sẽ được cập nhật, thông báo vềtính cấp thiết và kiến thức về rủi ro có thể xảy đến, từ đó tăng cường lớp phòng thủchặt chẽ đối phó với mối đe dọa tiềm tàng bên ngoài bất cứ lúc nào.

2 Mục tiêu nghiên cứu của đề tài

Nghiên cứu, tìm hiểu, phân tích, áp dụng kỹ thuật khai thác và đánh giáCVE-2021-40444 và CVE-2023-23397 đồng thời đưa ra các biện pháp phòngchống và ngăn chặn.

3 Đối tượng và phạm vi nghiên cứu

Đối tượng: CVE-2021-40444 và CVE-2023-23397.

Phạm vi: Nghiên cứu, tìm hiểu, phân tích, áp dụng kỹ thuật khai thác và

đánh giá CVE-2021-40444 và CVE-2023-23397.

4 Các nhiệm vụ chính cần thực hiện

Nội dung nghiên cứu được tập trung vào các nội dung chính như sau:

 Tổng hợp kiến thức nền tảng về lỗ hổng thực thi mã từ xa và leo thang đặcquyền.

 Phân tích hai CVE-2021-40444 và CVE-2023-23397.

 Nghiên cứu các biện pháp phòng tránh, giảm thiểu và ngăn chặn khi xảy rakhai thác lỗ hổng.

 Cài đặt, thử nghiệm, đánh giá phương pháp.

5 Kết quả dự kiến

Lý thuyết:

Phân tích và đánh giá CVE-2021-40444 và CVE-2023-23397.

Thực nghiệm:

Chương trình thử nghiệm và đánh giá lỗ hổng.

MỤC LỤC

MỞ ĐẦU 1

DANH MỤC HÌNH VẼ 6

DANH MỤC KÝ HIỆU VÀ VIẾT TẮT 7

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 8

1.1Giới thiệu sơ lược về Microsoft Word và Microsoft Outlook 8

1.2 Giới thiệu về RCE (Remote Code Execution) 9

1.2.1 Khái niệm 9

1.2.2 Cơ chế hoạt động của RCE 10

1.2.3 Phân loại tấn công RCE 13

1.2.4 Phát hiện các cuộc tấn công RCE 13

1.2.5 Phương pháp ngăn chặn và phòng tránh tấn công RCE 14

1.2.6 Ví dụ thực tiễn 15

1.3 Giới thiệu về leo thang đặc quyền (privilege escalation/ elevation of privilege) 16

1.3.1 Khái niệm 16

1.3.2 Cơ chế hoạt động của leo thang đặc quyền 16

1.3.3 Phân loại tấn công leo thang đặc quyền 17

1.3.4 Phát hiện các cuộc tấn công leo thang đặc quyền 19

1.3.5 Phương pháp ngăn chặn và phòng tránh 20

1.3.6 Ví dụ thực tiễn 21

1.4 Cơ sở lý thuyết về CVE-2021-40444 22

1.5Cơ sở lý thuyết về CVE-2023-23397 23

CHƯƠNG 2: CVE-2021-40444 và CVE-2023-23397 24

2.1 Giới thiệu về CVE-2021-40444 24

2.1.1 Mô tả 24

2.1.2 Phạm vi và đối tượng bị ảnh hưởng 25

2.1.3 Mức độ nghiêm trọng 26

2.1.4 Phân tích lỗ hổng 28

2.1.5 Ngăn chặn và giảm thiểu rủi ro 39

2.2 Giới thiệu về CVE-2023-23397 40

2.2.1 Mô tả 40

2.2.2 Phạm vi và đối tượng bị ảnh hưởng 41

DANH MỤC HÌNH VẼ

DANH MỤC KÝ HIỆU VÀ VIẾT TẮT

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

1.1 Giới thiệu sơ lược về Microsoft Word và Microsoft Outlook

Microsoft Word là một phần mềm xử lý văn bản được phát triển bởiMicrosoft Nó được phát hành lần đầu vào ngày 25 tháng 10 năm 1983, dưới tên'Multi-Tool Word' cho hệ thống Xenix Word có khả năng xuất thô trên máy tínhđể bàn và là chương trình xử lý văn bản được sử dụng rộng rãi nhất trên thị trường.Gửi tài liệu văn bản qua e-mail thường dùng định dạng tệp Word vì hầu hết ngườidùng có máy tính đều có thể đọc tài liệu Word qua ứng dụng Word, trình xemWord hoặc trình xử lý văn bản nhập định dạng Word (Microsoft Word Viewer).

Microsoft Outlook là phần mềm quản lý thông tin cá nhân của Microsoftthuộc bộ ứng dụng Microsoft Office Phần mềm này hiện hỗ trợ cho Windows,Mac, các hệ điều hành dành cho điện thoại như Android, IOS và Windows Phonecùng với nền tảng trên trình duyệt Mặc dù tính năng email nổi trội hơn, Outlookcũng bao gồm lịch, quản lý công việc, liên lạc, ghi chú, tạp chí và duyệt web.Ngoài làm việc độc lập, Outlook có thể kết nối với Microsoft Exchange Server vàMicrosoft SharePoint Server cho nhiều người dùng trong một tổ chức, chẳng hạnnhư chia sẻ các hộp thư và lịch biểu, trao đổi thư mục công cộng, danh sáchSharePoint và lịch trình cuộc họp.

Nhiều năm qua, Microsoft Office đã từng phải đối mặt với nhiều lỗ hổngbảo mật khác nhau Dưới đây là một số lỗ hổng nổi tiếng mức độ nghiêm trọngđáng kể:

- CVE-2017-0199 (Microsoft Word Remote Code Execution): phát hiện vàonăm 2017, cho phép tấn công RCE (Remote Code Execution) thông qua việcmở một tài liệu Word có chứa mã độc hại Kẻ tấn công có thể thực hiện mãtừ xa thông qua tệp RTF hoặc DOCX.

- CVE-2017-11882 (Microsoft Office Memory Corruption): phát hiện vàonăm 2017 và ảnh hưởng đến nhiều phiên bản của Microsoft Office Nó chophép kẻ xấu thực hiện tấn công qua việc làm thay đổi bộ nhớ của ứng dụng,có thể dẫn đến việc thực thi mã độc hại.

- CVE-2019-0560 (Microsoft Office Memory Corruption): Lỗ hổng này đượcphát hiện vào năm 2019 và ảnh hưởng đến một số ứng dụng MicrosoftOffice Nó liên quan đến việc xử lý hình ảnh và có thể dẫn đến việc thựchiện mã độc hại thông qua việc chèn hình ảnh đặc biệt.

Lưu ý rằng Microsoft thường xuyên cập nhật và vá các lỗ hổng bảo mậttrong các bản vá an ninh để giảm thiểu nguy cơ bị tấn công Để đảm bảo an toàn,người dùng nên luôn cập nhật ứng dụng của mình lên phiên bản mới nhất vàthường xuyên kiểm tra bản vá an ninh từ Microsoft.

1.2 Giới thiệu về RCE (Remote Code Execution)

1.2.1 Khái niệm

RCE là viết tắt của Remote Code Execution, dịch ra tiếng Việt là thực thi mãtừ xa RCE là kỹ thuật tấn công mạng của hacker dựa vào lỗ hổng hoặc sơ hở nàođó của hệ thống để truy cập từ xa vào máy tính hoặc mạng máy tính của nạn nhân.Từ đó, hacker có thể thực thi các mã độc, phần mềm độc hại trên thiết bị của nạnnhân mà không cần tiếp xúc trực tiếp với thiết bị.

Lỗ hổng RCE xảy ra khi một ứng dụng không thể xác thực và vệ sinh cáclệnh gọi đánh giá động hoặc đầu vào của người dùng Nếu không xác thực đầu vàonghiêm ngặt, trình thông dịch không thể phân biệt đầu vào hợp lệ với các lệnh độchại, khiến nó phải thực thi tất cả các lệnh trong mã.

Việc chèn mã này là điểm khác biệt của RCE với các lỗ hổng chèn lệnh,trong đó tác nhân đe dọa thực thi các lệnh tùy ý trên hệ điều hành máy chủ thay vìứng dụng.

RCE thường được tìm thấy ở cuối một chuỗi dài các hoạt động khai thác nhưgiả mạo yêu cầu phía máy chủ và làm xáo trộn Đây là bước cuối cùng trong mộtloạt các cuộc tấn công, từ ransomware, khai thác tiền điện tử cho đến đánh cắp dữliệu Do đó, nhiều lỗ hổng RCE được Viện Tiêu chuẩn và Công nghệ Quốc gia(NIST) đánh giá là mối đe dọa lớn do chúng tác động nghiêm trọng đến tính toànvẹn, tính bảo mật và tính khả dụng của ứng dụng.

RCE là một trong những phương thức lâu đời nhất và phổ biến nhất để phầnmềm độc hại lây lan và hiện nay vẫn là đứng hàng đầu, nằm trong danh sách 25 lỗilập trình nguy hiểm nhất của CWE/SANS kể từ khi thành lập năm 2009, đứng ở vịtrí thứ 25 vào năm 2022 Các cuộc tấn công RCE cũng được xếp hạng cao trongTop 10 OWASP Nó đứng thứ ba vào năm 2021.

Một số mối đe dọa phổ biến và gây thiệt hại lớn nhất trong thập kỷ qua đãkhai thác RCE ở lõi của chúng— Log4Shell, WannaCry, Tesla Crypt , Trong số15 lỗ hổng được khai thác thường xuyên nhất được Cơ quan An ninh Cơ sở hạ tầngvà An ninh mạng (CISA) đánh giá vào năm 2021, 9/15 là RCE.

1.2.2 Cơ chế hoạt động của RCE

Những kẻ tấn công RCE dò quét mạng để tìm các ứng dụng dễ bị tấn công.Khi phát hiện ra lỗ hổng mã từ xa, chúng sẽ thực hiện tấn công Các tin tặc thườngtạo một shell lệnh cho phép kiểm soát một số phần của hệ thống mục tiêu từ xa.

Các lỗ hổng bảo mật mã từ xa cung cấp cho kẻ tấn công khả năng thực thimã độc hoặc phần mềm độc hại và chiếm quyền điều khiển hệ thống bị ảnh hưởng.

Sau khi giành được quyền truy cập vào hệ thống, những kẻ tấn công thường sẽ cốgắng nâng cao đặc quyền từ người dùng lên quản trị viên.

Cơ chế hoạt động của RCE đối với Microsoft Office thường liên quan đếnviệc tận dụng các lỗ hổng bảo mật trong ứng dụng Office, như Microsoft Word,Excel, PowerPoint và Outlook Dưới đây là một số mô tả chi tiết về cách RCE cóthể ảnh hưởng đến Microsoft Office:

Tìm kiếm lỗ hổng bảo mật: Kẻ tấn công tìm kiếm và xác định các lỗ hổngbảo mật trong Microsoft Office Kết quả của kiểm thử bảo mật, phân tích đặc biệttừ các bản vá, hoặc sử dụng các công cụ tự động để dò quét.

Chèn mã độc hại vào tài liệu Office: Một khi xác định được lỗ hổng, kẻ tấn

công tạo các tài liệu Office chứa mã độc hại Bao gồm chèn mã độc hại vàomacros, OLE (Object Linking and Embedding), hay các đối tượng nhúng kháctrong tài liệu.

Phishing và Social Engineering: Kẻ tấn công thường sử dụng các kỹ thuật

phishing để lừa đảo người dùng mở các tài liệu chứa mã độc hại Các email, tàiliệu giả mạo và tập tin tải về từ internet có thể được sử dụng để tạo cảm giác tincậy và thuyết phục người dùng mở tài liệu.

Kích thích lỗ hổng: Một số kỹ thuật kích thích lỗ hổng có thể được sử dụng,

bao gồm việc tương tác với tài liệu, thiết lập môi trường thử nghiệm để khai thác lỗhổng và thực hiện các bước tiếp theo để tấn công.

Thực thi mã độc và kiểm soát từ xa: Khi tài liệu được mở, mã độc hại trong

tài liệu có thể được thực thi trên máy tính của người dùng Kẻ tấn công có thể kiểmsoát máy tính nạn nhân từ xa, thực hiện các hành động độc hại mà không cần ủyquyền của người dùng.

Che giấu và duy trì kiểm soát: Để tránh bị phát hiện, kẻ tấn công thường sử

dụng các kỹ thuật che giấu, như mã hóa mã độc hại, thay đổi chữ ký số, hay tậndụng các kỹ thuật khai thác khác để duy trì kiểm soát trên hệ thống nạn nhân.

1.2.3 Tác động của lỗ hổng RCE

Remote Code Execution (RCE) đặt ra mối đe dọa lớn đối với an ninh hệthống, với những hậu quả tiềm ẩn từ việc kiểm soát hệ thống không ủy quyền,đánh cắp dữ liệu đến việc mở cửa ngỏ cho các cuộc tấn công mạng tiếp theo Cáctác động đa chiều của RCE, đặc biệt là tác động của nó đối với Microsoft Office -bộ ứng dụng phổ biến mà nếu bị khai thác thành công có thể gây ra những hậu quảnghiêm trọng, bao gồm việc đe dọa đến dữ liệu nhạy cảm, truy cập trái phép vàhủy hoại danh tiếng Hiểu rõ về sự nghiêm trọng của những tác động này là điều vôcùng quan trọng để tổ chức có thể củng cố hệ thống an ninh của mình trước những

mối đe dọa ngày càng phức tạp.

Một số tác động nghiêm trọng của RCE đối với Microsoft Office, bao gồm:

- Kiểm soát hệ thống không ủy quyền: Khả năng kiểm soát toàn bộ hệ thống

mà không cần ủy quyền, dẫn đến việc thực hiện các hành động độc hại.

- Đánh cắp dữ liệu quan trọng: Khả năng truy cập và lấy đi thông tin quan

trọng từ các tài liệu và cơ sở dữ liệu trên Microsoft Office.

- Thực thi các hành động bất hợp pháp: Có thể sử dụng RCE để thực hiện các

hành động trái phép, thay đổi cấu hình hệ thống hay triển khai các loại mãđộc hại.

- Mở cửa ngõ cho các cuộc tấn công mạng tiếp theo: Nếu một lỗ hổng RCE

không được vá kịp thời, nó có thể trở thành điểm mở cho các cuộc tấn côngmạng tiếp theo.

- Làm mất danh tiếng và độ tin cậy: Mọi hậu quả trên có thể dẫn đến mất uy

tín của tổ chức hoặc cá nhân liên quan.

1.2.3 Phân loại tấn công RCE

Buffer Overflow: Kẻ tấn công có thể làm tràn bộ đệm bằng cách sử dụng

chức năng in hoặc sao chép chuỗi đơn giản, dựa trên việc chức năng này khôngkiểm tra độ dài bộ đệm trước khi thực thi Sau đó, kẻ tấn công ghi đè địa chỉ trả vềvà trỏ nó vào shellcode trong bộ đệm, khiến shellcode được thực thi thay chochương trình thông thường Kẻ tấn công nhận được một shell lệnh chạy bằng root,chiếm quyền điều khiển hệ thống hiệu quả.

Deserialization attack: Nhiều ứng dụng có chức năng định dạng giúp

chuyển đổi thông tin đầu vào của người dùng từ dạng này sang dạng khác Kẻ tấncông có thể khai thác hành vi này bằng cách thêm các ký tự đặc biệt (ví dụ: %x, %%) vào chuỗi đầu vào để nối thêm mã độc Mã được thực thi mà không gặp sự cốvì ứng dụng không xác thực dữ liệu đầu vào từ người dùng.

SQL Injection: Nhiều trang web truy xuất nội dung động từ cơ sở dữ liệu

bằng chuỗi truy vấn URL Trên một trang web thương mại điện tử đặc biệt dễ bịtổn thương dùng cơ sở dữ liệu SQL, kẻ tấn công có thể tạo một truy vấn với cácyêu cầu phù hợp (SELECT, UNION,…), lấy thông tin nhạy cảm như tên ngườidùng và mật khẩu quản trị viên từ cơ sở dữ liệu Bên trong bảng quản trị, chúng cóthể tải lên tập lệnh PHP thông qua ô tải ảnh hồ sơ để lấy được lệnh shell.

1.2.4 Phát hiện các cuộc tấn công RCE

Các phương pháp khả thi để giảm thiểu các cuộc tấn công RCE sẽ khác nhautùy thuộc vào loại phần mềm:

Trong trường hợp phần mềm tùy chỉnh, chẳng hạn như ứng dụng web, cáchduy nhất để giảm thiểu RCE vĩnh viễn là loại bỏ các chức năng đánh giá xử lý dữliệu đầu vào do người dùng kiểm soát khỏi mã ứng dụng.

Trong trường hợp RCE đã biết trong phần mềm của bên thứ ba, phải kiểmtra các bản thông báo bảo mật mới nhất để khắc phục và cập nhật.

Trong trường hợp RCE zero-day trong phần mềm bên thứ ba, chỉ có thể dựavào thiết lập quy tắc WAF (tường lửa ứng dụng web) tạm thời để giảm thiểu Tuynhiên, điều này chỉ khiến RCE khó khai thác hơn và không loại bỏ được nguyênnhân gốc rễ của vấn đề.

1.2.5 Phương pháp ngăn chặn và phòng tránh tấn công RCE

Các cuộc tấn công thực thi mã từ xa có thể khai thác nhiều lỗ hổng khácnhau, vì vậy việc bảo vệ chống lại chúng đòi hỏi một cách tiếp cận đa diện Dướiđây là ba phương pháp có thể làm giảm đáng kể khả năng gặp phải các cuộc tấncông RCE:

1 Vệ sinh và xác nhận đầu vào Bắt đầu bằng việc quét toàn diện ứng dụng

bằng công cụ kiểm tra mã tĩnh để phát hiện các lỗ hổng, sau đó triển khai các biệnpháp bảo vệ xung quanh thông tin đầu vào của người dùng như đưa các giá trị dựkiến vào danh sách trắng và thoát các ký tự đặc biệt Không cho phép hoàn toàncác cấu trúc đánh giá động và sử dụng một trong nhiều lựa chọn thay thế an toànđể đọc chuỗi dưới dạng mã (ví dụ: gọi hàm, gọi phương thức tĩnh, gọi phương thứcphiên bản của đối tượng).

2 Thiết lập một quy trình quản lý bản vá Do nhiều cuộc tấn công RCE xuất

phát từ lỗ hổng zero-day nên việc vá lỗi có thể là cách hiệu quả nhất và nhanh nhấtđể vô hiệu hóa mối đe dọa RCE Ví dụ: một lỗ hổng phát triển nhanh nhưLog4Shell cần ít nhất bốn bản vá từ nhiều nhà cung cấp trong vòng một tháng khi

các lỗ hổng mới được phát hiện Trong môi trường này, một quy trình tự động,được tiêu chuẩn hóa để giữ cho hệ thống uôn cập nhật sẽ giúp ích rất nhiều trongviệc giữ an toàn cho tổ chức.

3 Sử dụng giải pháp phát hiện và phản hồi mạng để giám sát cả lưu lượngtruy cập đông-tây và bắc-nam Việc có tuyến phòng thủ cuối cùng này sẽ cho phép

phát hiện và giảm thiểu các lỗ hổng RCE zero-day cũng như mọi hành vi độc hạitrong mạng, chẳng hạn như thông tin đăng nhập người dùng không mong muốn,liệt kê cơ sở dữ liệu, quét mạng, v.v.

1.2.6 Ví dụ thực tiễn

Một số lỗ hổng RCE quan trọng nhất được phát hiện những năm gần đây:

CVE-2019-8942: Một lỗ hổng trong WordPress 5.0.0, cho phép kẻ tấn công

thực thi mã tùy ý trong WordPress bằng cách tải lên tệp hình ảnh được tạo đặc biệtbao gồm mã PHP trong siêu dữ liệu Exif của nó.

CVE-2021-1844: Một lỗ hổng trong mô-đun hệ điều hành của Apple iOS,

macOS, watchOS và Safari Khi nạn nhân sử dụng một thiết bị dễ bị tấn công đểtruy cập URL do kẻ tấn công kiểm soát, hệ điều hành sẽ thực thi tải trọng độc hạitrên thiết bị đó.

CVE-2021-44228 (Log4Shell): Một lỗ hổng trong Apache Log4j 2.x, theo

sau là các lỗ hổng Log4j bổ sung CVE-2021-45046 và CVE-2021-45105 Nó ảnhhưởng đến nhiều phiên bản của Log4j, một thư viện ghi nhật ký phổ biến đượchàng triệu ứng dụng Java sử dụng, bao gồm một số dịch vụ trực tuyến lớn nhất thếgiới Nó cho phép kẻ tấn công thực thi mã từ xa ngay cả khi chúng không được xácthực, bằng cách tạo một máy chủ LDAP độc hại và truy cập nó thông qua lớpLog4j JndiLookup.

1.3 Giới thiệu về leo thang đặc quyền (privilege escalation/ elevation of privilege)

1.3.1 Khái niệm

Leo thang đặc quyền là một cách thức phổ biến để tin tặc có thể truy cập tráiphép vào một hệ thống được bảo vệ Những kẻ tấn công thường tìm một điểm yếutrong hệ thống phòng thủ của tổ chức và khai thác điểm yếu này để giành quyềntruy cập vào hệ thống Trong đa số các trường hợp, điểm xâm nhập đầu tiên sẽkhông cung cấp cho tin tặc mức độ truy cập hay dữ liệu mà chúng cần Sau đó,chúng cố gắng khai thác những lỗ hổng trong hệ thống hoặc sử dụng những côngcụ cụ thể để vượt qua cơ chế cấp phép của hệ thống và giành lấy mức truy cập caohơn rồi thu thập những dữ liệu nhạy cảm, bảo mật Kẻ tấn công sử dụng đặc quyềnchiếm được đánh cắp dữ liệu bí mật và triển khai phần mềm độc hại với mục đíchlàm hỏng hệ điều hành, các ứng dụng máy chủ và cuối cùng là danh tiếng của mộttổ chức Loại tấn công vào dữ liệu tổ chức này có thể được thực hiện bởi tin tặcnghiệp dư, lý do là hầu hết các tổ chức kinh doanh không áp dụng đủ các biện phápbảo mật và kiểm soát.

Leo thang đặc quyền là giai đoạn quan trọng của chuỗi tấn công mạng,thường liên quan đến việc khai thác lỗ hổng leo thang đặc quyền, chẳng hạn nhưlỗi hệ thống, cấu hình sai phần mềm hoặc kiểm soát truy cập không đầy đủ.

1.3.2 Cơ chế hoạt động của leo thang đặc quyền

Những kẻ tấn công thường có quyền truy cập vào hệ thống bằng cách tìm rađiểm yếu trong khuôn khổ an ninh mạng của tổ chức Sau lần xâm nhập ban đầuthành công, các tác nhân đe dọa sẽ sử dụng các chiến lược leo thang đặc quyềntheo chiều dọc (vertical) hoặc chiều ngang (horizontal), cụ thể:

Vertical privilege escalation: Khai thác các lỗ hổng trong hệ thống hoặc ứng

dụng phần mềm để nâng cao đặc quyền từ tài khoản người dùng cơ bản lên cấp độngười dùng đặc quyền, chẳng hạn như các cấp độ do quản trị viên hệ thống nắmgiữ Trong các cuộc tấn công này, kẻ đe dọa cũng có thể sử dụng các kỹ thuậtsocial engineering như email phishing lừa người dùng, vô tình cấp quyền truy cậphoặc tiết lộ thông tin nhạy cảm.

Horizontal privilege escalation: Trong các cuộc tấn công này, các tác nhân

đe dọa tập trung vào chuyển động ngang qua các tài khoản cấp ngang hàng Thôngthường là các chiến thuật như đánh cắp thông tin xác thực và chiếm quyền điềukhiển phiên Những kẻ tấn công thậm chí có thể đưa một payload độc hại vào cácứng dụng phần mềm mà người dùng có cấp quyền tương tự thường sử dụng.

Dù được tiến hành theo chiều dọc hay chiều ngang, việc leo thang đặc quyềnthường hoạt động bằng cách khai thác cấu hình sai trong mạng và hệ thống Điềunày bao gồm việc khai thác các lỗ hổng như không định cấu hình xác thực cho cáchệ thống nhạy cảm, lỗi quản trị trong cấu hình tường lửa, lỗi thiết kế cụ thể hoặc sơsuất trong hệ điều hành hoặc ứng dụng web.

Các cuộc tấn công leo thang đặc quyền có thể được thực hiện cục bộ hoặc từxa Leo thang cục bộ bắt đầu tại chỗ, thường là bởi ai đó trong tổ chức Leo thangtừ xa, ngày càng phổ biến hơn, có thể bắt đầu từ hầu hết mọi nơi.

1.3.3 Phân loại tấn công leo thang đặc quyền

Kẻ tấn công bắt đầu bằng cách khai thác lỗ hổng leo thang đặc quyền trongmột hệ thống hoặc ứng dụng mục tiêu, cho phép chúng ghi đè các giới hạn của tàikhoản người dùng hiện tại Sau đó, họ có thể truy cập chức năng và dữ liệu củangười dùng khác (leo thang đặc quyền theo chiều ngang) hoặc có được các đặcquyền nâng cao, thường là của quản trị viên hệ thống hoặc người dùng quyền lực

khác (leo thang đặc quyền dọc) Sự leo thang đặc quyền thường chỉ là một trongnhững bước được thực hiện để chuẩn bị cho cuộc tấn công chính.

1.3.3.1 Leo thang đặc quyền dọc (Vertical privilege escalation)

Leo thang đặc quyền dọc (Vertical privilege escalation): còn gọi là độ caođặc quyền, trong đó người dùng hoặc ứng dụng đặc quyền thấp hơn truy cập vàocác chức năng hoặc nội dung dành cho người dùng hoặc ứng dụng có đặc quyềncao hơn (ví dụ: người dùng Internet Banking có chức năng quản trị hệ thống và sửađổi cơ sở dữ liệu).Với các đặc quyền nâng cao này, kẻ tấn công có thể phá hủy tấtcả các tài nguyên trong hệ thống máy tính và ứng dụng nạn nhân: đánh cắp, truycập thông tin nhạy cảm, tải xuống và thực thi phần mềm độc hại, xóa dữ liệu hoặcthực thi mã tùy ý Tệ hơn nữa, những kẻ tấn công có thể sử dụng các đặc quyềnnâng cao để che giấu dấu vết của chúng bằng cách xóa nhật ký truy cập và bằngchứng khác về hoạt động của chúng Nạn nhân sẽ không biết rằng có một cuộc tấncông đã xảy ra Bằng cách đó, tội phạm mạng có thể ngấm ngầm đánh cắp thôngtin hoặc cài đặt phần mềm độc hại trực tiếp lên hệ thống.

Trong một số trường hợp, một ứng dụng đặc quyền cao giả định rằng nó sẽchỉ được cung cấp với đầu vào khớp với đặc tả giao diện của nó Kẻ tấn công cóthể khai thác giả định này để chạy mã trái phép với đặc quyền của ứng dụng:

- Buffer Overflow: về bản chất, tấn công tràn bộ đệm gửi quá nhiều thông tincho một biến nào đó trong ứng dụng, có thể gây lỗi ứng dụng Một lỗ hổngnhư tràn bộ đệm có thể được sử dụng để thực thi mã tùy ý với đặc quyềnđược nâng lên Administrator.

- Cross Zone Scripting là một kiểu tấn công leo thang đặc quyền trong đó mộttrang web thay đổi mô hình bảo mật của trình duyệt web, cho phép chạy mãđộc trên máy khách.

- Một ứng dụng có thể thực thi các dòng lệnh Command line hoặc shell có thểcó lỗ hổng Shell Injection nếu nó sử dụng đầu vào không có giá trị giốngnhư một phần của lệnh được thực thi, kẻ tấn công sau đó có thể chạy cáclệnh hệ thống bằng các đặc quyền ứng dụng.

1.3.3.2 Leo thang đặc quyền ngang (Horizontal privilege escalation)

Leo thang đặc quyền ngang (Horizontal privilege escalation): người dùngbình thường truy cập các chức năng hoặc nội dung dành riêng cho những ngườidùng bình thường khác (ví dụ: người dùng Internet Banking A truy cập vào tàikhoản Internet Banking của người dùng B).

Một số nguy cơ leo thang đặc quyền ngang:

- Có thể dự đoán được session ID trong HTTP cookie của người dùng.- Session fixation.

- Cross-site scripting.- Mật khẩu dễ đoán.

- Trộm cắp hoặc chiếm quyền điều khiển.- Keystroke logging.

1.3.4 Phát hiện các cuộc tấn công leo thang đặc quyền

Ngăn chặn truy cập trái phép và duy trì bảo mật hệ thống phụ thuộc vào khảnăng phát hiện hiệu quả Tổ chức có thể phát hiện các cuộc tấn công leo thang đặcquyền theo một số cách sau:

- Kiểm tra nhật ký hệ thống: Thường xuyên xem lại nhật ký hệ thống để pháthiện các bất thường hoặc hoạt động đáng ngờ, chẳng hạn như các lần đăngnhập không thành công liên tục hoặc sử dụng lệnh bất thường.

- Công cụ phát hiện bất thường: Xác định những sai lệch so với hành vi bìnhthường trong mạng bằng các công cụ phát hiện bất thường Ví dụ: nhữngthay đổi đột ngột trong vai trò của người dùng có thể cho thấy có sự leothang đặc quyền đang diễn ra.

- Phân tích hành vi người dùng và thực thể (UEBA): UEBA có thể xác địnhcác nỗ lực leo thang đặc quyền tiềm ẩn bằng thuật toán học máy để hiểu cáckiểu hành vi điển hình của người dùng Sau đó, có thể gửi cảnh báo khi cósự sai lệch so với tiêu chuẩn.

- Giám sát mật khẩu: Triển khai giám sát mật khẩu để cảnh báo khi mật khẩubị thay đổi trái phép, điều này có thể cho thấy kẻ tấn công đang cố gắng duytrì các đặc quyền leo thang theo thời gian.

- Hệ thống phát hiện xâm nhập (IDS): IDS có thể quét các dấu hiệu đã biếtcủa các kỹ thuật leo thang đặc quyền phổ biến như khai thác lỗi tràn bộ đệmhoặc tấn công tiêm nhiễm SQL Nhờ đó, họ có thể phát hiện sự cố sớm trướckhi thiệt hại đáng kể xảy ra.

Các tổ chức cần phải có biện pháp phòng vệ mạnh mẽ và các biện pháp pháthiện chủ động tại chỗ bằng cách sử dụng kết hợp nhiều chiến lược.

1.3.5 Phương pháp ngăn chặn và phòng tránh

Một số biện pháp cơ bản nhất được sử dụng để ngăn chặn các cuộc tấn công leo thang đặc quyền:

- Cập nhật bản vá hệ thống thường xuyên: Việc duy trì hệ thống bằng các bản

vá mới nhất có thể làm giảm khả năng các tác nhân đe dọa sử dụng lỗ hổng bảo mật đã biết trong phần mềm hoặc hệ điều hành để tấn công.

- Phương pháp xác thực mạnh mẽ: Triển khai xác thực hai yếu tố (2FA) hoặc

xác thực đa yếu tố (MFA) để ngăn chặn hành vi trộm cắp thông tin xác thực và khiến các tác nhân độc hại khó truy cập trái phép hơn.

- Giám sát hoạt động của người dùng: Giám sát hoạt động của người dùng để

phát hiện hành vi đáng ngờ có thể cho thấy tài khoản đặc quyền đã bị xâm phạm, theo dõi những thay đổi đột ngột trong kiểu hành vi của người dùng hoặc các hoạt động bất thường của quản trị viên hệ thống.

- Chính sách bảo mật mật khẩu mạnh mẽ: Đảm bảo có chính sách mật khẩu

yêu cầu người dùng tạo mật khẩu an toàn, phức tạp và được cập nhật thườngxuyên.

- Nguyên tắc đặc quyền tối thiểu: Áp dụng nguyên tắc đặc quyền tối thiểu

bằng cách giới hạn quyền của người dùng chỉ ở những gì cần thiết cho vai trò của họ Điều này làm giảm thiệt hại tiềm tàng nếu kẻ tấn công xâm phạmtài khoản của người dùng.

- Kiểm soát truy cập Sudo: Trong môi trường Linux, việc kiểm soát quyền

truy cập sudo có thể giúp ngăn chặn sự cố leo thang đặc quyền Linux Việc quản lý đúng cách các quyền sudo, bao gồm việc thường xuyên xem xét ai có chúng và những lệnh nào họ được phép thực thi với các quyền nâng cao, giúp ngăn chặn mối đe dọa này.

1.3.6 Ví dụ thực tiễn

Một số lỗ hổng sử dụng phương pháp tấn công leo thang đặc quyền:

EternalBlue (MS17-010): Lỗ hổng bảo mật trong giao thức SMB (Server

Message Block) của Microsoft Windows Lỗ hổng này cho phép kẻ tấn công thựchiện cuộc tấn công từ xa và leo thang đặc quyền trên hệ thống mục tiêu Kẻ tấncông sử dụng EternalBlue kiểm soát máy tính mục tiêu từ xa, sau đó dùng các côngcụ như DoublePulsar để implant mã độc hại và leo thang đặc quyền.

Dirty COW (CVE-2016-5195): Lỗ hổng trong nhân Linux, cho phép kẻ tấn

công ghi đè lên file có quyền đọc và thực hiện cuộc tấn công leo thang đặc quyền.Kẻ tấn công sử dụng Dirty COW ghi đè lên một file quan trọng trong hệ thống vàthay đổi quyền truy cập, từ đó có thể thực hiện các hành động đặc quyền.

Privilege Escalation in sudo (CVE-2021-3156): Lỗ hổng sudo trên nhiều hệ

thống Linux, cho phép kẻ tấn công thực hiện cuộc tấn công leo thang đặc quyền.Kẻ tấn công sử dụng lỗ hổng này để thực hiện các lệnh đặc quyền qua sudo, có thểleo thang từ quyền người dùng thông thường lên quyền root.

1.4 Cơ sở lý thuyết về CVE-2021-40444

MSHTML là viết tắt của Microsoft HyperText Markup Language, là mộttrình duyệt rendering engine của Microsoft, sử dụng chủ yếu trong trình duyệtInternet Explorer (IE) Đây là một phần quan trọng của IE, hiểu và hiển thị mãnguồn HTML, CSS, JavaScript để tạo ra trải nghiệm web cho người dùng.MSHTML chịu trách nhiệm cho việc hiển thị và xử lý nội dung web, chuyển đổimã nguồn HTML thành những trang web mà người dùng có thể xem và tương tác.

MSHTML thường xuyên được cập nhật để hỗ trợ các tiêu chuẩn web mớinhất, bao gồm HTML, CSS, và JavaScript Điều này giúp trình duyệt IE có khảnăng hiển thị đồng nhất các trang web tuơng tự với trình duyệt khác.

MSHTML không chỉ được sử dụng trong trình duyệt IE mà còn là một thànhphần cho một số ứng dụng và giao diện người dùng khác, giúp hiển thị nội dungweb trong các ứng dụng Microsoft khác như Outlook và các sản phẩm Office.

Mặc dù MSHTML đóng vai trò quan trọng trong quá trình phát triển InternetExplorer, nhưng khi đối mặt với vấn đề bảo mật vẫn gặp phải thách thức lớn DoIE ít được sử dụng hơn so với các trình duyệt khác, Microsoft đã chuyển hướngsang Microsoft Edge, một trình duyệt sử dụng rendering engine mới - Blink Với

sự phát triển của Microsoft Edge, MSHTML đã bị thay thế bằng Blink - trình duyệtrendering engine tương tự Google Chrome Sự chuyển đổi này mang lại sự đồngnhất và tương thích tốt hơn với các tiêu chuẩn web hiện đại.

1.5 Cơ sở lý thuyết về CVE-2023-23397

SMB viết tắt của Server Message Block, là một giao thức mạng dùng để chiasẻ tệp và các thiết bị nội bộ trong mạng máy tính Giao thức SMB được phát triểnban đầu bởi Microsoft, và nó cho phép các thiết bị trong mạng có thể chia sẻ tệp, inấn, và các tài nguyên khác với nhau.

SMB hoạt động trên các hệ thống Windows và có khả năng tương thích vớinhiều hệ điều hành khác như macOS và các phiên bản Linux thông qua các triểnkhai như Samba Nó cho phép người dùng truy cập và chia sẻ tệp trong mạng cụcbộ hoặc qua internet (nếu được cấu hình một cách an toàn).

Windows New Technology LAN Manager (NTLM) là một giao thức xácthực thử thách - phản hồi đã lỗi thời của Microsoft Hiện nay tuy Microsoft đã thaythế bằng phương thức xác thực Kerberos, NTLM vẫn là một phương án dự phòng.NTLM thuộc dạng đăng nhập một lần (SSO) cho phép người dùng xác thực ứngdụng mà không cần gửi mật khẩu cơ bản NTLM cung cấp cho người dùng quyềntruy cập SSO trên miền Active Directory (AD) thông qua cơ chế trao đổi ba tinnhắn bắt tay mật mã bao gồm: tin nhắn đàm phán bên máy khách, tin nhắn thửthách của máy chủ và tin nhắn xác thực của máy khách NT LAN Manager là giaothức mặc định của Windows cho đến khi Microsoft quyết định ngừng sử dụng lênWindows 11, do các lỗ hổng liên quan đến mật khẩu băm và salt Mật khẩu đượclưu trữ trên máy chủ hoặc bộ điều khiển miền không được thêm salt, từ đó, tin tặccó hàm băm mật khẩu có thể dễ dàng brute force, không cần mật khẩu cơ bản để

xác thực phiên Mật mã của NTLM cũng thất bại trong việc áp dụng tính năng bảomật cấp tiến của thuật toán mới hơn như AES hoặc SHA-256.

CHƯƠNG 2: CVE-2021-40444 và CVE-2023-23397

2.1 Giới thiệu về CVE-2021-40444

2.1.1 Mô tả

Giữa tháng 8 năm 2021, một tệp tài liệu Word đặc biệt được tải lênVirusTotal bởi một người dùng từ Argentina Mặc dù tại thời điểm đó nó chỉ bịphát hiện qua một phần mềm diệt virus, tệp mẫu này lại trở thành lỗ hổng zerodayxuất hiện trong Microsoft Office qua RCE.

Hình 2.1 Tệp Word chứa mã độc được tải lên VirusTotal

Ngày 7 tháng 9 năm 2021 Microsoft mới chính thức công bố 40444, lỗ hổng bảo mật được phát hiện trong MSHTML gây ảnh hưởng đếnMicrosoft Window, sau khi được các nghiên cứu viên Mandiant và EXPMONthông báo Microsoft tốn mất gần một tháng từ lúc file được tải lên VirusTotal đểcho ra đời bản vá cho lỗ hổng này.

CVE-2021-Lỗ hổng thực thi mã từ xa (RCE) trong Windows cho phép kẻ tấn công xâmnhập vào hệ thống thông qua các tài liệu Microsoft Office độc hại ngụy trang dướihình thức hợp pháp

Kẻ tấn công có thể tạo một ActiveX control độc hại đính kèm để các tệp hostbrowser rendering engine thuộc Microsoft Office sử dụng Sau đó chúng sẽ ápdụng các kỹ thuật social engineering, thuyết phục người dùng nhấn vào tệp chứamã độc, kích hoạt thực thi trình cài đặt sẵn Tài khoản người dùng có ít quyền hạntrên hệ thống sẽ không bị ảnh hưởng nhiều bằng tài khoản có quyền từ quản trị hệthống trở lên.

2.1.2 Phạm vi và đối tượng bị ảnh hưởng

CVE-2021-40444 có phạm vi ảnh hưởng gồm Windows 7/8/8.1RT/10,Windows Server 2008/2012/2016/2019/2022 và các phiên bản sau này.

Tại thời điểm phát hiện xảy ra cuộc tấn công, đây là một lỗ hổng zero-day,hoàn toàn mới và chưa từng bị khai thác, tin tặc thông qua các tài liệu Office chiếmquyền điều khiển của hệ thống Lỗ hổng này có thể chiếm quyền điều khiển củahầu hết những nạn nhân nó nhắm đến Đối với những người dùng sử dụngMicrosoft Office chạy trên cấu hình mặc định, tài liệu được mở trong chế độ bảovệ Protected View (hoặc Application Guard dành cho Office 365), cuộc tấn côngngược lại sẽ bị chặn.

Hình 2.2: Cơ chế Protected View của Word

Tuy nhiên, theo như chuyên gia phân tích lỗ hổng của Trung tâm Ứng cứukhẩn cấp không gian mạng CERT/CC Will Dormann khẳng định rằng, cơ chế bảovệ có sẵn chống lại CVE-2021-40444 này có khả năng bị vượt qua nếu người dùngbỏ qua cảnh báo của Protected View hoặc tin tặc gửi qua máy nạn nhân những tệpđộc hại được nén bằng trình lưu trữ 7Zip hoặc ISO Hơn nữa, Dormann cũng chỉ rarằng tác nhân gây hại có thể khai thác lỗ hổng này sử dụng tệp RTF tinh chỉnh độchại, một định dạng không sử dụng cơ chế bảo mật Protected View.

2.1.3 Mức độ nghiêm trọng

Theo hệ thống chấm điểm lỗ hổng bảo mật (CVSSv3), CVE-2021-40444 cóbase score là 8.8 và temporal score là 7.9 Lỗ hổng này nằm trong CISA KnownExploited Vulnerabilities Catalog – danh mục exploits in the wild (lỗ hổng dễ dàngđược tìm thấy trên thiết bị thực của người dùng thông thường) CISA liệt kê nhữnglỗ hổng đã được công bố rộng rãi qua blog, forums, exploit-db, hoặc exploitationframeworks như metasploit.

Hình 2.3 Các tham số cơ bản của CVE-2021-40444

Vector tấn công: vector mạng Thành phần bị tổn thương ràng buộc vớichồng giao thức mạng, chuỗi tấn công mở rộng ra toàn mạng Internet Được nhậnđịnh là tấn công khai thác từ xa, có thể xảy ra ở tầng một của chồng giao thức hoặcqua nhiều network hop (qua một hoặc nhiều router).

Độ phức tạp tấn công: thấp Điều kiện đặc biệt cần để truy cập hoặc giảmthiểu không tồn tại Kẻ xấu có thể thực hiện tấn công thành công nhiều lần vàomục tiêu

Yêu cầu đặc quyền truy cập: không Tin tặc truy cập trái phép và không cầnbất cứ đặc quyền cài đặt hoặc truy cập file nào để thực hiện cuộc tấn công.

Yêu cầu tương tác phía người dùng: có.

Phạm vi: biến đổi Lỗ hổng bị khai thác có thể ảnh hưởng đến nguồn tàinguyên nằm ngoài phạm vi bảo mật Trong trường hợp này, thành phần bị tổnthương và bị ảnh hưởng là khác nhau, được quản lý bởi nhiều phân vùng bảo mậtkhác nhau.

Xâm phạm tính bí mật: thấp Tính bí mật có bị xâm phạm, kẻ tấn công cóđược quyền truy cập vào thông tin nhạy cảm nhưng không biết số lượng hay loạithông tin nào sẽ lấy được Việc lộ lọt thông tin không quá ảnh hưởng trực tiếp đếnthành phần bị tấn công.

Xâm phạm tính toàn vẹn: cao Tính toàn vẹn hoàn toàn bị xâm phạm, nóicách khác lớp phòng vệ bị dỡ bỏ hoàn toàn Ví dụ, kẻ tấn công có thể sửa đổi bấtkỳ hoặc tất cả các tệp tin được bảo vệ bởi thành phần dính mã độc Theo phươngdiện khác, chỉ một số tệp có thể bị chỉnh sửa, nhưng đoạn bị đổi độc hại đó sẽ gâyhậu quả nghiêm trọng trực tiếp đến thành phần bị tổn thương.

Xâm phạm đến tính khả dụng: thấp Hiệu suất làm việc của thiết bị giảmhoặc ngắt quãng Kể cả khi thực hiện tấn công lặp lại, kẻ tấn công cũng không cókhả năng khiến máy chủ từ chối dịch vụ đến người dùng hợp pháp Tài nguyên sẽluôn sẵn sàng, một phần hay toàn bộ, nhìn chung không có hậu quả đáng kể đếnthành phần bị tổn hại.

CVE-2021-40444 cho phép kẻ tấn công từ xa có thể thực hiện các cuộc tấncông nhằm chiếm quyền điều khiển hệ thống bằng quyền của người dùng hiện tại.Một khi người dùng bị lừa nhấn mở tệp tài liệu đã bị tiêm nhiễm độc hại, mã độcsẽ được kích hoạt Kỹ thuật tấn công này nguy hiểm hơn macros bởi bất cứ tổ chứcnào vô hiệu hóa hoặc giới hạn thực thi Macro vẫn sẽ bị dính lỗi thực thi mã tùy ýnày từ kết quả của việc mở một tài liệu Office.

2.1.4 Phân tích lỗ hổng

Nếu tài liệu độc hại được giấu trong tệp lưu trữ xử lý qua tiến trình không cóMotW-aware, thì tải qua mạng tệp nén đó sẽ trót lọt Ví dụ nếu 7Zip mở tệp lưu trữtải từ mạng, nội dung giải nén bên trong sẽ không có dấu hiệu gì mô tả nó đến từmạng bên ngoài, do đó không có MotW (Mark-of-the-Web, cờ đánh dấu dữ liệuxuất phát từ trên Web, mạng ngoài), không bật Protected View.

Tương tự, nếu tài liệu được nén dưới định dạng ISO, người dùng Windowchỉ cần kích đúp để mở Windows sẽ không nhận định nội dung bên trong đến từInternet Một lần nữa, không MotW, không Protected View.

Phân tích CVE-2021-40444:

Cách thức khai thác lỗ hổng: đầu tiên kẻ tấn công phải có các kỹ thuật thuyếtphục nạn nhân mở tài liệu document.docx để có thể thực hiện được các hành độngtiếp theo Sau khi người dùng mở tài liệu word độc hại, ngay lập tức máy nạn nhân

sẽ bắt đầu tạo kết nối đến máy kẻ tấn công thông qua trình duyệt web và thực hiệncác yêu cầu lấy tài nguyên.

Hình 2.5 Nạn nhân mở tài liệu độc hại

Có thể thấy rằng kẻ tấn công sẽ gửi 1 tệp document.docx đến nạn nhân đâylà một tập tin nén gồm nhiều dữ liệu bên trong nó.

Hình 2.6 Dấu hiệu cho thấy đây là một tệp nén

Giải nén tập tin bằng 7zip thu được một số thư mục được nén bên trong

Hình 2.7 Giải nén document.docx bằng 7zip

Sau khi kiểm tra phát hiện một tệp tin có tên là document.xml.rels, tệp nàychịu trách nhiệm xác định các liên kết tới các đối tượng được nhúng trong tài liệu.Các OLE objects là một phần của công nghệ Nhúng và Liên kết Đối tượng độcquyền của Microsoft, cho phép các tài liệu bên ngoài, chẳng hạn như bảng tínhExcel, được nhúng vào trong tài liệu Word Đọc file thấy rằng có một liên kết tớiurl độc hại sử dụng giao thức mhtml, thuộc tính Target chứa đường dẫn ip của máytấn công !x-usc yêu cầu tài nguyên liên kết với đối tượng đó cụ thể là đường dẫn‘http:// ip máy tấn công/word.html’ Đường dẫn lặp lại, gửi thêm một yêu cầu kếtnối đảm bảo payload được truyền tải thành công.

Hình 2.8 Đoạn code cho thấy máy tính thực hiện kết nối ra bên ngoài

Thực hiện phân tích động qua Process Monitor theo dõi các tiến trình hoạt động khi mở file word độc hại Chọn Process Tree thấy được 1 tiến trình

WINWORD.exe đang thực hiện hàng loạt các hành động có sử dụng control.exe, điều này không nên có ở một tiến trình văn bản word Bên cạnh đó nó có vẻ như đang cố gắng thực hiện các lệnh cmd để tiến hành một công việc nào đó.

Hình 2.9 Các lệnh cmd đang được thực hiện trên WINWORD.exe

Chương trình đang thực hiện kết nối đến một máy có địa chỉ là 10.128.0.128.

Hình 2.10 Kết nối từ máy nạn nhân sang máy tấn công

Máy nạn nhân đang thực hiện kết nối để yêu cầu hoặc gửi một thứ gì đó rabên ngoài mà không được phép Kiểm tra máy chủ hoặc bắt các gói tin có thể thấymáy của nạn nhận đang thực hiện gửi các yêu cầu get head đến máy tấn công, vớimục đích là lấy thông tin từ các file word.html và word.cab để thực hiện hành độngtấn công của mình.

Hình 2.11 Thông tin yêu cầu từ máy nạn nhân được lưu lại

Phân tích file word.html: là file mã có vẻ đã bị sắp xếp xáo trộn thứ tự nhằmlàm rối của kẻ tấn công.

Hình 2.12 File word.html bị làm rối không thể đọc được

Sử dụng file deobfuscate.py có nhiệm vụ thực hiện giải mã file word.html bằng:Hàm f(n) có nhiệm vụ truy xuất một phần tử từ mảng data dựa trên giá trị n.Mảng data đã được định nghĩa trước đó và chứa các chuỗi đã được giải mã.

Hàm is_func(strx) kiểm tra chuỗi đầu vào có chứa từ khóa 'funcX(' không.Nếu có, nghĩa là có một hàm obfuscated được gọi.

Hàm main() thực hiện mở file 'word.html' đọc nội dung của đoạn mãobfuscated Thay thế tên hàm obfuscated bằng 'funcX' Sử dụng vòng lặp để tìm và

giải mã các giá trị truyền vào hàm 'funcX' Nếu không thể chuyển đổi giá trị hexsang decimal, nó sẽ loại bỏ gọi hàm đó Tiếp tục quá trình giải mã cho đến khikhông còn hàm 'funcX' nào sót lại Thực hiện một số thay thế làm cho đoạn mã dễđọc hơn.

Ghi kết quả vào file 'exploit_deobfuscated.html'.

Hình 2.13 Nội dung file deobfuscate.py

Sau khi giải mã thu được một tệp script, qua mã code giả định được rằng kẻtấn công đã tạo một phần tử iframe, truy xuất giao diện tập lệnh ActiveX choiframe và phá hủy iframe đó Mặc dù iframe đã bị hủy nhưng giao diện ActiveX

vẫn hoạt động và có thể được sử dụng để thực thi HTML/JavaScript tùy ý Sau đótạo hàng loạt các ActiveX lồng nhau để truy xuất đến máy kẻ tấn công thực hiệnlấy dữ liệu độc hại tải về máy tính nạn nhân Để kích hoạt payload INF độc hại củamình, kẻ tấn công sử dụng extension như một giao thức URL đồng thời tìm kiếmtệp msword.inf, khiến control.exe khởi động rundll32.exe, chuyển tệp dạng INFthành một item điều khiển có thể thực thi.

Hình 2.14 Giải mã file word.html

Kiểm tra bằng Process Monitor, lọc theo đường dẫn championship.inf vàmsword.inf ta chỉ thu được các đường dẫn của file msword.inf