Microsoft đã phát hành một khuyến cáo bảo mật, trong đó nêu thông tin chi tiết về lỗ hổng có thể gây rò rỉ dữ liệu, vốn trước đây chỉ ảnh hưởng trực tiếp đến các máy khách Windows Remote Desktop Protocol, nhưng nay đã tác động cả đến ứng dụng Microsoft Remote Desktop cho hệ điều hành Android.

Lỗ hổng này hiện được theo dõi với định danh CVE-2019-1108, và xếp hạng nguy hiểm ở mức “Important”, tuy nhiên không rõ lý do gì mà vẫn chưa được đội ngũ bảo mật của Microsoft gán điểm số CVSS v3.1

Microsoft đã tiết lộ chi tiết về lỗ hổng và gần như ngay lập tức tung ra bản vá đi kèm với bản cập nhật Patch Tuesday July 2019, cùng với đó là bản vá 77 lỗ hổng khác, 15 trong số đó được phân loại ở mức “Critical”.

Phát hiện 4 Lỗ hổng Windows Remote Desktop giống như ‘Wormable’

Tiềm năng exploit rộng mở

“Lỗ hổng rò rỉ thông tin tồn tại khi máy khách Windows RDP tiết lộ không chính xác nội dung trong bộ nhớ của nó. Kẻ tấn công hoàn toàn có thể exploit lỗ hổng này, và nếu thành công, chúng có thể nắm trong tay lượng thông tin cần thiết để triển khai những cuộc tấn công phức tạp hơn nữa vào hệ thống của nạn nhân, thậm chí có thể chiếm quyền điều khiển hệ thống”, khuyến cáo bảo mật của Microsoft nêu rõ.

Để có thể có thể exploit thành công lỗ hổng CVE-2019-1108 này, những kẻ tấn công sẽ phải chạy một ứng dụng được chế tạo đặc biệt trên các thiết bị chưa nhận được bản vá từ Microsoft, sau khi thiết lập thành công kết nối từ xa với hệ thống mục tiêu.

Microsoft đã giải quyết lỗ hổng bằng cách chỉnh sửa lại cách thức máy khách RDP khởi tạo bộ nhớ, từ đó có thể loại bỏ lỗi tiết lộ bộ nhớ chưa được khởi tạo cho những kẻ tấn công – yếu tố giúp tin tặc exploit thành công lỗ hổng.

Phân tích giả lập của Microsoft đã chỉ ra rằng mã exploit có thể được kẻ tấn công tạo ra một cách hoàn toàn nhất quán với đặc tính của lỗ hổng. Hơn nữa, phía Microsoft cũng mới chỉ thu thập được một lượng hạn chế thông tin cần thiết về các trường hợp exploit thành công đối với những lỗ hổng dạng này đã báo cáo. Điều này sẽ làm cho CVE-2019-1108 trở thành mục tiêu hấp dẫn cho những kẻ tấn công, và do đó, nhiều khả năng các phương thức exploit trên thực tế cũng đã được tạo ra. Do vậy, người dùng dịch vụ Android Remote Desktop nên cập nhật Windows của mình lên phiên bản mới nhất để hạn chế tối đa mọi rủi ro có thể xảy ra.

Biện pháp giảm thiểu ảnh hưởng từ lỗ hổng

Microsoft khuyên tất cả các khách hàng Android đã cài đặt Microsoft Remote Desktop Android trên thiết bị của họ nên cài đặt bản cập nhật bảo mật mới nhất để được bảo vệ hoàn toàn khỏi các cuộc tấn công tương tự trong tương lai.

Ngoài ra, người dùng cũng có thể cập nhật ứng dụng Microsoft Remote Desktop Android của mình để giảm thiểu ảnh hưởng từ lỗ hổng bảo mật này. Quy trình cập nhật như sau:

1. Nhấn vào biểu tượng Google Play trên màn hình chính của bạn để truy cập cửa hàng ứng dụng.
2. Vuốt vào từ cạnh trái của màn hình.
3. Nhấn vào My apps & games.
4. Nhấn vào hộp thoại Update xuất hiện bên cạnh ứng dụng Remote Desktop.

Những biến thể phần mềm độc hại phổ biến sử dụng Process Doppelgänging để tránh bị phát hiện