-
09/04/2020
-
85
-
553 bài viết
An ninh mạng tháng 8/2023: Phần mềm nén/giải nén quốc dân dính “đòn” kép
Vào vai một thành viên đam mê chia sẻ kinh nghiệm và chiến lược giao dịch, hacker đăng tải bài viết lên những diễn đàn về chứng khoán và tiền điện tử kèm liên kết để tải xuống tệp nén. Chỉ đợi con mồi mắc bẫy và ấn vào đường link, tệp nén chứa mã độc sẽ được tải xuống thiết bị của nạn nhân.
Đây chính là kịch bản tấn công của chiến dịch phát tán mã độc lợi dụng lỗ hổng trong WinRar – được xem một phần mềm nén/giải nén “quốc dân” với hơn 500 triệu người dùng trên toàn thế giới trong tháng 8 vừa qua.
Đáng chú ý trong cùng một tháng, WinRar đã dính 2 lỗ hổng nghiêm trọng CVE-2023-38831 và CVE-2023-40477 đều có điểm CVSS là 7,8/10 với đầu vào tấn công là con đường phishing.
Kỹ nghệ xã hội trong kịch bản này được tin tặc vận dụng linh hoạt nhằm gài bẫy mục tiêu khiến các chiến dịch tấn công trở nên khó lường hơn. Nhìn bên ngoài, các tệp nén chứa mã độc của tin tặc không khác gì một tệp vô hại (ảnh dạng JPG (.jpg), tệp văn bản (.txt) hoặc tài liệu PDF (.pdf)). Nhưng ngay khi nạn nhân click đúp vào tệp, lỗ hổng CVE-2023-38831 sẽ âm thầm khởi chạy một tập lệnh khác để cài đặt phần mềm độc hại trên thiết bị. Đồng thời, một tài liệu an toàn trùng tên với tệp nén cũng sẽ được mở lên để tránh nghi ngờ.
Tới đây, hacker đã có được quyền truy cập từ xa vào thiết bị của nạn nhân và có thể đánh cắp tiền điện tử từ tài khoản của họ. Theo các nhà nghiên cứu, đã có đến 130 người là nạn nhân của chiến dịch tấn công và 8 diễn đàn bị tin tặc phát tán link kèm tệp độc hại.
Còn với CVE-2023-40477, WinRAR xử lý file nén độc hại vừa được tải về sẽ dẫn đến lỗi tràn bộ đệm xuất phát từ việc xử lý Recovery Volume (tính năng giúp tạo các tệp tin dự phòng có khả năng sửa chữa và phục hồi dữ liệu bị hỏng trong tệp tin nén), tạo cơ hội cho kẻ tấn công thực thi mã tùy ý trên tất cả các hệ thống mà WinRAR được cài đặt.
Vẫn thường được gọi vui là phần mềm nén/giải nén “miễn phí trọn đời”, WinRar phổ biến đến mức độ người dùng gần như tưởng rằng nó là một phần của hệ điều hành và quên mất phần mềm này cũng cần được cập nhật thường xuyên.
Theo các chuyên gia WhiteHat, đến nay vẫn chưa có báo cáo nào về các cuộc tấn công sử dụng hai lỗ hổng này tại Việt Nam. Nhưng một khi phần mềm quốc dân đã dính đòn, thì các “con dân” rất dễ dính “chưởng”. Với số lượng người dùng khổng lồ của WinRar, việc hacker tạo ra nhiều làn sóng tấn công lợi dụng 2 CVE này chỉ là chuyện một sớm một chiều, đặc biệt là khi PoC của 2 lỗ hổng đã được công bố.
Nếu chưa thể cập nhật phần mềm WinRar của mình, WhiteHat khuyến cáo người dùng nên cẩn trọng khi tải xuống các tệp không rõ nguồn gốc cũng như bật tường lửa để bảo vệ bản thân khỏi tin tặc.
Đây chính là kịch bản tấn công của chiến dịch phát tán mã độc lợi dụng lỗ hổng trong WinRar – được xem một phần mềm nén/giải nén “quốc dân” với hơn 500 triệu người dùng trên toàn thế giới trong tháng 8 vừa qua.
Đáng chú ý trong cùng một tháng, WinRar đã dính 2 lỗ hổng nghiêm trọng CVE-2023-38831 và CVE-2023-40477 đều có điểm CVSS là 7,8/10 với đầu vào tấn công là con đường phishing.
Kỹ nghệ xã hội trong kịch bản này được tin tặc vận dụng linh hoạt nhằm gài bẫy mục tiêu khiến các chiến dịch tấn công trở nên khó lường hơn. Nhìn bên ngoài, các tệp nén chứa mã độc của tin tặc không khác gì một tệp vô hại (ảnh dạng JPG (.jpg), tệp văn bản (.txt) hoặc tài liệu PDF (.pdf)). Nhưng ngay khi nạn nhân click đúp vào tệp, lỗ hổng CVE-2023-38831 sẽ âm thầm khởi chạy một tập lệnh khác để cài đặt phần mềm độc hại trên thiết bị. Đồng thời, một tài liệu an toàn trùng tên với tệp nén cũng sẽ được mở lên để tránh nghi ngờ.
Tới đây, hacker đã có được quyền truy cập từ xa vào thiết bị của nạn nhân và có thể đánh cắp tiền điện tử từ tài khoản của họ. Theo các nhà nghiên cứu, đã có đến 130 người là nạn nhân của chiến dịch tấn công và 8 diễn đàn bị tin tặc phát tán link kèm tệp độc hại.
Còn với CVE-2023-40477, WinRAR xử lý file nén độc hại vừa được tải về sẽ dẫn đến lỗi tràn bộ đệm xuất phát từ việc xử lý Recovery Volume (tính năng giúp tạo các tệp tin dự phòng có khả năng sửa chữa và phục hồi dữ liệu bị hỏng trong tệp tin nén), tạo cơ hội cho kẻ tấn công thực thi mã tùy ý trên tất cả các hệ thống mà WinRAR được cài đặt.
Vẫn thường được gọi vui là phần mềm nén/giải nén “miễn phí trọn đời”, WinRar phổ biến đến mức độ người dùng gần như tưởng rằng nó là một phần của hệ điều hành và quên mất phần mềm này cũng cần được cập nhật thường xuyên.
Theo các chuyên gia WhiteHat, đến nay vẫn chưa có báo cáo nào về các cuộc tấn công sử dụng hai lỗ hổng này tại Việt Nam. Nhưng một khi phần mềm quốc dân đã dính đòn, thì các “con dân” rất dễ dính “chưởng”. Với số lượng người dùng khổng lồ của WinRar, việc hacker tạo ra nhiều làn sóng tấn công lợi dụng 2 CVE này chỉ là chuyện một sớm một chiều, đặc biệt là khi PoC của 2 lỗ hổng đã được công bố.
Nếu chưa thể cập nhật phần mềm WinRar của mình, WhiteHat khuyến cáo người dùng nên cẩn trọng khi tải xuống các tệp không rõ nguồn gốc cũng như bật tường lửa để bảo vệ bản thân khỏi tin tặc.
WhiteHat