Hai lỗ hổng nghiêm trọng đã được phát hiện trong Microsoft PC Manager, có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống. Cả hai đều có số điểm CVSS cao nhất là 10.
Microsoft PC Manager là phần mềm tiện ích miễn phí dành cho PC cung cấp nhiều tính năng, bao gồm tối ưu hóa hệ thống, bảo mật, quản lý lưu trữ và chẩn đoán hệ thống.
ZDI-23-1527 và ZDI-23-1528
Hai lỗ hổng này có cách khai thác tương tự nhau, xảy ra do cấu hình sai các quyền được cấp cho mã thông báo SAS (Shared Access Signature – Chữ ký truy cập chung). Từ đó, mã thông báo này sẽ được dùng để cấp quyền truy cập vào kho lưu trữ của Azure mà không cần tương tác người dùng.
Cụ thể, bằng cách gửi một yêu cầu đặc biệt, kẻ tấn công có thể khai thác lỗ hổng này để phát động một cuộc tấn công chuỗi cung ứng và thực thi mã tùy ý trên các enpoint (điểm cuối) của khách hàng mà không cần xác thực.
Cách thức khai thác
Kẻ tấn công có thể tạo một trang web lưu trữ phiên bản Microsoft PC Manager độc hại. Khi người dùng tải xuống và cài đặt phiên bản độc hại của Microsoft PC Manager, tin tặc sẽ có quyền truy cập vào hệ thống của người dùng.
Sau đó, kẻ tấn công có thể sử dụng mã thông báo SAS để truy cập tài nguyên trong bộ lưu trữ Azure, chẳng hạn như dữ liệu khách hàng hoặc tài sản trí tuệ.
Microsoft đã phát hành bản vá cho cả hai lỗ hổng này. Người dùng được khuyến khích cài đặt phiên bản mới nhất càng sớm càng tốt và chỉ nên tải Microsoft PC Manager từ trang web chính thức của Microsoft.