Windows phát hiện 1 lỗ hổng mới cho phép hacker chạy ứng dụng hệ thống không cần quyền admin

Liên quan tới AppLocker, một ứng dụng độc quyền trên phiên bản Windows dành cho doanh nghiệp, đây là ứng dụng cho phép người dùng thiết lập danh sách các app, files và thư mục khác nhau vào danh sách đen (hoặc trắng) để đảm bảo an toàn cho cả hệ thống. Từ đây, một số dữ liệu sẽ được hạn chế sử dụng trong môi trường doanh nghiệp. Đây là một phương pháp bảo mật được nhiều người dùng đánh giá cao.

Tuy nhiên, chính ứng dụng bảo mật này lại đang tồn tại lỗ hổng bảo mật nghiêm trọng tới máy tính Windows. Nhà nghiên cứu Casey Smith đã phát hiện ra vấn đề nói trên, cụ thể là thông qua công cụ "Regsvr32" cho phép kích hoạt một tệp tin hoặc thực thi 1 đoạn mã script từ xa mà không cần quyền admin, và từ đó hacker có thể tận dụng lỗ hổng này để chạy bất cứ ứng dụng nào chúng muốn trên máy tính của bạn mà chỉ cần tài khoản thông thường.

Vấn đề xảy ra khi bản thân ứng dụng AppLocker đã mặc định có quyền do máy chủ cấp, bởi vậy thông qua đó các hacker không cần yêu cầu quyền máy chủ thêm nữa. Không chỉ chạy các ứng dụng và tệp tin cơ bản, thậm chí cả các file hệ thống và thay đổi khóa registry cũng hoàn toàn khả thi nhờ vào lỗ hổng bảo mật này.

Hiện chưa có bất cứ phản hồi nào từ phía Microsoft, tất nhiên một bản vá cũng chưa. Cách duy nhất để xử lý tình trạng này là sử dụng Windows Firewall để chặn Regsvr32, không cho phép tệp tin này trực tuyến, giảm mối nguy từ internet. Tất nhiên trong hệ thống mạng nội bộ, người khác vẫn có thể tấn công máy tính của bạn thông qua lỗ hổng nói trên.

Tham khảo Engadget