Tuần trước, một nhà nghiên cứu bảo mật Windows đã tiết lộ hai lỗi Windows 10 trên Twitter, có thể bị hacker lạm dụng trong các cuộc tấn công khác nhau.
Lỗi đầu tiên cho phép người dùng hoặc chương trình không có quyền nhập một lệnh duy nhất khiến ổ đĩa NTFS bị đánh dấu là bị lỗi. Mặc dù lệnh Chkdsk đã giải quyết vấn đề này trong nhiều thử nghiệm nhưng một trong những thử nghiệm khác cho thấy rằng công cụ Check Disk này đã gây ra lỗi trên ổ cứng khiến Windows không thể khởi động. Trong khi đó, lỗi thứ hai khiến Windows 10 gặp sự cố BSOD chỉ bằng cách cố gắng mở một đường dẫn bất thường.
Kể từ tháng 10, nhà nghiên cứu bảo mật Windows - Jonas Lykkegaar đã tweet nhiều lần về việc Windows 10 gặp sự cố và hiển thị BSOD ngay lập tức khi nhập một đường dẫn vào thanh địa chỉ Chrome.
Khi các nhà phát triển muốn tương tác trực tiếp với các máy tính Windows, họ có thể chuyển đường dẫn namespace (không gian tên) thiết bị Win32 làm đối số cho các chức năng lập trình Windows khác nhau. Ví dụ, điều này cho phép ứng dụng tương tác trực tiếp với đĩa vật lý mà không cần thông qua hệ thống tệp
Lykkegaard đã phát hiện ra rằng khi mở đường dẫn sau theo nhiều cách khác nhau, ngay cả từ những người dùng có đặc quyền thấp, nó cũng sẽ khiến Windows 10 gặp sự cố.
<\\.\globalroot\device\condrv\kernelconnect>
Khi kết nối với thiết bị này, các nhà phát triển phải chuyển thuộc tính mở rộng "attach" để giao tiếp với thiết bị đúng cách.
Lykkegaard cho biết nếu bạn cố gắng kết nối tới đường dẫn mà không chuyển thuộc tính do kiểm tra lỗi không đúng cách, nó sẽ gây ra lỗi màn hình xanh chết chóc trên Windows 10 (BSOD).
Tệ hơn nữa, người dùng Windows có đặc quyền thấp có thể kết nối với thiết bị bằng đường dẫn này, khiến bất kỳ chương trình nào được thực thi trên máy tính đều dễ dàng làm cho Windows 10 bị crash.
Trong các thử nghiệm được thực hiện, lỗi được xác nhận là xuất hiện trên Windows 10 phiên bản 1709 trở lên. Người phát ngôn của Microsoft cho biết: "Microsoft đã cam kết với khách hàng là điều tra ngay các vấn đề bảo mật được báo cáo và chúng tôi sẽ cung cấp bản cập nhật cho các thiết bị bị ảnh hưởng sớm nhất có thể".
Mặc dù vẫn chưa xác định được lỗi này có thể bị khai thác để thực thi mã từ xa hay không, nhưng ở dạng hiện tại, nó có thể được sử dụng như một cuộc tấn công từ chối dịch vụ (Denial of Service) trên máy tính.
Lykkegaard đã chia sẻ một tệp URL Windows (.url) với cài đặt trỏ tới <\\.\globalroot\device\condrv\kernelconnect>. Khi tệp được tải xuống, Windows 10 sẽ cố gắng hiển thị biểu tượng của tệp URL từ đường dẫn có vấn đề và tự động làm sập Windows 10.
Trong viễn cảnh thật, lỗi này có thể bị lạm dụng bởi những kẻ đe dọa có quyền truy cập vào mạng và muốn che đậy dấu vết của chúng trong một cuộc tấn công.
Nếu có thông tin đăng nhập quản trị viên, họ có thể thực hiện một lệnh truy cập đường dẫn này từ xa trên tất cả các thiết bị Windows 10 trên mạng để khiến chúng gặp sự cố. Sự tàn phá gây ra trên mạng có thể làm trì hoãn các cuộc điều tra hoặc ngăn các kiểm soát quản trị phát hiện một cuộc tấn công trên một máy tính cụ thể.
Vào năm 2017, một kịch bản tấn công tương tự đã được các kẻ đe dọa sử dụng trong một vụ trộm ngân hàng thuộc Ngân hàng Quốc tế Viễn Đông (FEIB) ở Đài Loan. Trong cuộc tấn công đó, những kẻ đe dọa đã triển khai ransomware Hermes trên mạng để trì hoãn các cuộc điều tra về vụ tấn công.
Ngoài ra nếu gặp vấn đề về lỗi màn hình xanh trên Windows 10, 7 bạn có thể tham khảo cách khắc phục trong bài viết dưới đây để sửa lỗi nhé.