PhantomRPC: Lỗ hổng RPC Windows có thể cho phép truy cập từ xa vào hệ thống, theo nhận định của Kaspersky

PhantomRPC là một lỗ hổng thuộc cơ chế giao tiếp từ xa RPC của Windows, được Kaspersky công bố. Theo Kaspersky, đây không phải là lỗ hổng xuất phát từ một lỗi đơn lẻ, mà bắt nguồn từ cách hệ điều hành vận hành, cho phép tin tặc khai thác để nâng quyền truy cập lên mức quản trị hệ thống. Nếu một tiến trình có thể “giả danh” quyền truy cập, kẻ tấn công có thể tận dụng để chiếm quyền kiểm soát toàn hệ thống.

Nguyên nhân và cách thức khai thác

Kaspersky cho biết lỗ hổng liên quan đến cơ chế RPC, vốn là nền tảng cho việc các tiến trình trên Windows giao tiếp và thực thi chức năng của nhau, kể cả khi chạy trong các môi trường tách biệt. Nhờ RPC, các chương trình có thể liên kết và tương tác thông qua các yêu cầu thực thi từ xa.

Do nhược điểm thiết kế, PhantomRPC mở ra nhiều hướng tấn công. Kaspersky nhấn mạnh rằng bất kỳ tiến trình hoặc dịch vụ mới nào sử dụng RPC đều có thể trở thành điểm khai thác tiềm năng để mở rộng quyền truy cập.

Diễn biến khai thác theo phân tích của Kaspersky

Kaspersky đã phân tích năm kịch bản khai thác khác nhau, cho thấy hacker có thể nâng quyền từ các dịch vụ trên máy cục bộ hoặc từ các dịch vụ liên quan đến kết nối mạng lên mức cao hơn, thậm chí đạt tới quyền kiểm soát toàn bộ hệ thống.

Các chi tiết khai thác có thể khác nhau tùy từng hệ thống, phụ thuộc vào phần mềm đã cài đặt, các thư viện liên kết động tham gia vào quá trình giao tiếp RPC và việc có sẵn các máy chủ RPC tương ứng hay không. Ông Haidar Kabibo, chuyên viên bảo mật ứng dụng tại Kaspersky, cũng lưu ý rằng sự khác biệt này là yếu tố then chốt trong đánh giá rủi ro và triển khai ứng phó.

Tác động đối với hệ thống

Với PhantomRPC, kẻ tấn công có thể chiếm quyền kiểm soát hệ thống. Khi quyền được nâng lên mức quản trị, phạm vi ảnh hưởng có thể mở rộng đáng kể, từ việc thao túng các thành phần hệ thống đến việc kiểm soát toàn bộ thiết bị.

Khuyến nghị giảm thiểu rủi ro

Kaspersky khuyến nghị các tổ chức triển khai biện pháp nhằm phát hiện và giảm thiểu nguy cơ bị khai thác, trong đó có Giám sát Sự kiện cho Windows (ETW).

• Triển khai ETW để phát hiện bất thường: Giải pháp này giúp đội ngũ bảo mật nhận diện các dấu hiệu bất thường trong hoạt động của cơ chế giao tiếp từ xa, đặc biệt khi có yêu cầu kết nối tới các máy chủ RPC không tồn tại hoặc không khả dụng.
• Theo dõi dấu hiệu máy chủ RPC hợp lệ không hoạt động: Việc giám sát giúp quản trị viên phát hiện các trường hợp một máy chủ RPC hợp lệ lẽ ra phải tồn tại nhưng không hoạt động.
• Thu hẹp bề mặt tấn công: Trong một số trường hợp, có thể kích hoạt các dịch vụ tương ứng để đảm bảo các điểm kết nối RPC hợp lệ luôn sẵn sàng, từ đó hạn chế khả năng tin tặc triển khai máy chủ giả mạo.
• Hạn chế sử dụng SeImpersonatePrivilege: Quyền này chỉ nên được cấp cho các tiến trình thực sự cần thiết. Kaspersky lưu ý rằng dù một số tiến trình hệ thống dựa vào quyền này để hoạt động, trên thực tế quyền đôi khi vẫn được cấp cho các ứng dụng tùy chỉnh hoặc bên thứ ba, làm gia tăng rủi ro bảo mật.