Lỗ hổng Rust cho phép tấn công chèn lệnh Windows

Các chuyên gia vừa phát hiện lỗ hổng nghiêm trọng trong thư viện chuẩn Rust, có thể khiến các hệ thống dựa trên Windows bị tấn công thực thi mã tùy ý.

Lỗ hổng có mã theo dõi CVE-2024-24576, bắt nguồn từ cách thư viện chuẩn Rust xử lý các đối số được truyền tới Windows Command API để gọi các file batch (phần mở rộng .bat và .cmd).

Lỗ hổng ảnh hưởng chủ yếu đến Windows bởi, không giống như các nền tảng khác coi các đối số là một array, Windows hợp nhất chúng thành một chuỗi duy nhất, giao trách nhiệm phân tách đối số cho quy trình nhận.

Lỗ hổng gây ra rủi ro nghiêm trọng cho các nhà phát triển Rust, những người xây dựng ứng dụng gọi các file batch trên hệ thống Windows. Các nhà phát triển trên các nền tảng khác (Linux, MacOS) không bị ảnh hưởng.

Khai thác thành công lỗ hổng, hacker có thể:

  • Chạy mã tùy ý trên máy ảnh hưởng
  • Cài đặt phần mềm độc hại
  • Ăn cắp dữ liệu nhạy cảm
  • Khởi động các cuộc tấn công tiếp theo trên mạng

Bản vá cho các lỗ hổng sẽ được đưa vào phiên bản Rust 1.77.2 sắp tới. Các nhà phát triển Rust dựa trên Windows được khuyến cáo cập nhật lên phiên bản mới ngay khi bản vá sẵn sàng.

Nguồn: Security Online