Windows: CVE-2021-43238

CVE-2021-43238 là một lỗ hổng bảo mật nghiêm trọng liên quan đến tính năng Remote Access của hệ điều hành Windows, được phát hiện và công bố vào cuối năm 2021. Lỗ hổng này cho phép kẻ tấn công có thể thực hiện các hành động leo thang đặc quyền (Elevation of Privilege) thông qua một số kỹ thuật đặc biệt.

Chi Tiết Kỹ Thuật

1. Loại Lỗ Hổng:
   • Lỗ hổng này được xác định là kiểu lỗ hổng leo thang đặc quyền (Elevation of Privilege) trong dịch vụ Remote Access của Windows.
   • Được phân loại là CWE-269: Improper Privilege Management, chỉ ra rằng lỗ hổng này liên quan đến việc quản lý sai quyền truy cập.
2. Điểm CVSS:
   • CVSS v3.1: 7.8/10 (Cao)
   • Attack Vector: Local
   • Attack Complexity: Low
   • Privileges Required: Low
   • User Interaction: None
   • Scope: Unchanged
   • Confidentiality Impact: High
   • Integrity Impact: High
   • Availability Impact: High​ (NVD)​​ (Tenable®)​​ (GitHub)​.
3. Hệ Điều Hành Bị Ảnh Hưởng:
   • Các phiên bản Windows 10 (từ 1507 đến 21H2), Windows 11, và Windows Server (2004, 20H2, 21H1, 21H2, 2022) đều bị ảnh hưởng bởi lỗ hổng này​ (NVD)​​ (Rapid7)​​ (Tenable®)​.

Cách Tấn Công và Ảnh Hưởng

Lỗ hổng này cho phép kẻ tấn công có quyền truy cập cục bộ (local access) để thực hiện các hành động có đặc quyền cao hơn mà không cần sự tương tác của người dùng. Một khi khai thác thành công, kẻ tấn công có thể thực thi mã tùy ý với quyền admin, cho phép kiểm soát hoàn toàn hệ thống bị ảnh hưởng. Điều này có thể dẫn đến việc đánh cắp dữ liệu, cài đặt phần mềm độc hại, và nhiều hành động phá hoại khác.

Biện Pháp Khắc Phục

Microsoft đã phát hành các bản vá bảo mật để giải quyết lỗ hổng này. Người dùng và quản trị viên hệ thống nên cập nhật các hệ thống Windows của mình với các bản vá tương ứng:

• Windows 10: KB5008230, KB5008207, KB5008218, KB5008206, KB5008212
• Windows 11: KB5008215
• Windows Server 2022: KB5008223​ (Rapid7)​​ (Tenable®)​.