Một nhóm các nhà nghiên cứu bảo mật tự do mới đây đã thông báo về lỗ hổng zero-day trong ứng dụng Dropbox phiên bản Windows, có thể cho phép kẻ tấn công đạt được các đặc quyền SYSTEM cực kỳ đơn giản.
Cụ thể, 2 nhà nghiên cứu bảo mật tự do có nickname Chris Danieli và Decoder đã phát hiện ra lỗ hổng này lần đầu tiên vào đầu tháng 9 và đã thông báo cho Dropbox thông tin cụ thể về lỗ hổng vào ngày 18 tháng 9. Tại thời điểm đó, Dropbox cam kết sẽ đưa ra biện pháp khắc phục trong vòng 90 ngày. Tuy nhiên đã hơn 3 tháng trôi qua, Dropbox vẫn chưa thể đưa ra bản vá bảo mật cho lỗ hổng này, do đó Chris Danieli và Decoder đã quyết định đưa ra thông báo công khai để cảnh báo người dùng.
Lỗ hổng tồn tại trong ứng dụng Dropbox Windows và là một sự cố ghi đè tệp tùy ý, có thể cung cấp cho kẻ tấn công quyền truy cập người dùng cục bộ leo thang để thực thi mã từ xa dưới dạng SYSTEM. Theo các nhà nghiên cứu, vấn đề nhiều khả năng bắt nguồn ở dịch vụ DropboxUpdater.
DropboxUpdater được cài đặt như một phần của phần mềm máy khách Dropbox và nhóm nghiên cứu cho biết nó chạy dưới dạng SYSTEM trong các bản cài đặt tiêu chuẩn cũng như "một trong các tác vụ dropboxupdate được chạy theo giờ bởi trình lập lịch tác vụ (task scheduler)". Mỗi khi được kích hoạt, hệ thống sẽ ghi lại một tệp nhật ký và gửi đến vị trí của tài khoản SYSTEM - đây chính là điểm cho phép hacker "ra tay". Thật vậy, Các nhà nghiên cứu đã ghi đè thành công lên các tệp được kiểm soát bởi tài khoản SYSTEM và nắm trong tay shell, giao diện dòng lệnh (command-line interface) với các đặc quyền SYSTEM đó.
May thay, không dễ để hacker có thể khai thác lỗ hổng này. Đầu tiên và quan trọng nhất, kẻ tấn công phải sở hữu quyền truy cập của người dùng cục bộ vào máy tính mục tiêu, tức là khả năng tiếp cận của hacker đã bị thu hẹp đáng kể. Tuy nhiên không vì thế mà bạn được phép chủ quan. Ứng dụng Dropbox cần phải được cài đặt theo cách tiêu chuẩn, hoàn chỉnh với quyền quản trị viên, nhưng vì hầu hết mọi người đều để cài đặt mặc định, nguy cơ rủi ro vẫn hiện hữu.
Theo báo cáo của các chuyên gia Bleeping Computer, một "micro-patch" hiện có sẵn trên oPatch có thể tạm thời khắc phục sự cố này (bằng cách cắt mã ghi nhật ký từ DropboxUpdater) cho đến khi bản sửa lỗi "chính chủ" từ Dropbox được tung ra.
Về phía Dropbox, một người phát ngôn của công ty cho biết: "Chúng tôi đã nắm được thông tin về vấn đề này thông qua chương trình tiền thưởng lỗi và sẽ đưa ra cách khắc phục trong những tuần tới. Lỗ hổng này này chỉ có thể bị khai thác sử dụng trong các trường hợp hạn chế và chúng tôi chưa nhận được bất kỳ báo cáo nào về việc nó có ảnh hưởng đến người dùng của chúng tôi".
