Microsoft vá lỗ hổng trong các công cụ Screenshot của Windows

Sự cố này được đặt tên là aCropalypse, có thể cho phép các tác nhân độc hại khôi phục những phần ảnh chụp màn hình đã chỉnh sửa, có khả năng tiết lộ thông tin nhạy cảm đã bị cắt bỏ.

Lỗ hổng có số hiệu là CVE-2023-28303, có số điểm CVSS là 3,3, ảnh hưởng đến ứng dụng Snip & Sketch trên Windows 10 và Snipping Tool trên Windows 11.

Microsoft cho biết: "Mức độ nghiêm trọng của lỗ hổng này ở mức thấp vì việc khai thác thành công đòi hỏi sự tương tác của người dùng trong trường hợp ít gặp và một số yếu tố nằm ngoài tầm kiểm soát của kẻ tấn công".

Để khai thác thành công cần phải đáp ứng hai điều kiện tiên quyết sau:

1). Người dùng phải chụp ảnh màn hình, lưu nó vào một tệp, sửa đổi tệp (ví dụ: cắt nó), sau đó lưu tệp đã sửa đổi vào cùng một vị trí.

2). Người dùng phải mở một hình ảnh trong Snipping Tool, sửa đổi tệp (ví dụ: cắt ảnh), sau đó lưu tệp đã sửa đổi vào cùng một vị trí.

Tuy nhiên, nó không ảnh hưởng đến các tình huống mà ở đó hình ảnh được sao chép từ công cụ Snipping hoặc được sửa đổi trước khi lưu hình ảnh đó.

Microsoft giải thích: "Nếu bạn chụp ảnh màn hình bảng sao kê ngân hàng của mình, lưu nó vào máy tính để bàn và cắt bỏ số tài khoản của bạn trước khi lưu vào cùng một vị trí, hình ảnh đã cắt vẫn có thể chứa số tài khoản của bạn ở định dạng ẩn, nó có thể khôi phục được thông tin người có quyền truy cập vào tệp hình ảnh hoàn chỉnh. Tuy nhiên, nếu bạn sao chép hình ảnh đã cắt từ Snipping Tool và dán vào email hoặc tài liệu, dữ liệu ẩn sẽ không được sao chép và số tài khoản của bạn sẽ an toàn".

Lỗ hổng đã được xử lý trong phiên bản 10.2008.3001.0 của Snip và Sketch được cài đặt trên Windows 10 và phiên bản 11.2302.20.0 của Snipping Tool được cài đặt trên Windows 11.

aCropalypse lần đầu tiên được phát hiện vào ngày 18/3/2022, khi người ta phát hiện ra một lỗi trong công cụ Markup của Google Pixel khiến nó có thể đảo ngược trở về các thay đổi trước khi ảnh chụp màn hình, nhờ đó khôi phục thông tin cá nhân từ các ảnh chụp màn hình và hình ảnh đã được chỉnh sửa, bao gồm cả những ảnh đã được chỉnh sửa, đã cắt xén hoặc che nội dung.

Vấn đề được các kỹ sư Simon Aarons và David Buchanan phát hiện.

Lỗ hổng nghiêm trọng liên quan đến Pixel có số hiệu là CVE-2023-21036, đã được báo cáo cho Google vào ngày 2/1/2023 và đã được khắc phục thông qua bản cập nhật phát hành vào ngày 6/3/2023 cho Pixel 4A, 5A, 7 và các thiết bị 7 Pro.

Lỗ hổng đã tồn tại kể từ khi phát hành tiện ích Markup với Android 9 Pie vào năm 2018 và những hình ảnh đã được chia sẻ trong 5 năm qua dễ bị tấn công Acropalypse làm dấy lên lo ngại về quyền riêng tư.

Kỹ sư David Buchanan cho biết: “Bạn có thể vá nó, nhưng bạn không thể dễ dàng hủy chia sẻ tất cả những hình ảnh dễ bị tổn hại mà bạn có thể đã gửi”. Ông mô tả nó là một “hình ảnh tồi tệ”.

Một vấn đề tương tự với lật hình ảnh gần đây cũng đã được tiết lộ trong Google Docs, cho phép những người dùng truy cập chỉ có thể xem nhằm khôi phục các phiên bản gốc của hình ảnh đã cắt trong các tài liệu được chia sẻ mà không cho phép chỉnh sửa./.