WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Backdoor của NSA đang phát tán trên toàn thế giới
Mã độc do Shadow Brokers tiết lộ được tìm thấy trong hàng chục ngàn hệ thống trên toàn thế giới. Mã độc có tên DOUBLEPULSAR sử dụng bộ khai thác EXTERNALBLUE được phát triển bởi Equation Group, nhóm hacker được cho là có liên quan tới NSA.
Mã độc này tấn công giao thức chia sẻ file Server Message Block (SMB) phiên bản 1 của Microsoft, giao thức này có trên những phiên bản cũ của Windows như: XP và Server 2008 R2.
DOUBLEPULSAR có chức năng như một backdoor xâm nhập vào trong hệ thống và cho phép hacker chèn các file DDL bất kỳ vào máy chủ nạn nhân.
Trong khi Microsoft đã phát hành bản vá cho ETERNALBLUE và các lỗ hổng khác của SMB v1, thì hacker dường như đã phát hiện ra và tiến hành lây nhiễm mã độc này trên hàng ngàn hệ thống chưa được cập nhật và mở giao thức chia sẻ tệp tin trên internet.
Dan Tentler, giám đốc an ninh của Phobos Group đã sử dụng module Metasploit để quét và kiểm tra mã độc DOUBLEPULSAR.Sau khi quét gần 1,5 triệu máy chủ trong 80 giờ, Tentler cho biết đã phát hiện hơn 42.000 hệ thống bị lây nhiễm . Ông ước tính cứ hơn 5 triệu máy chủ thì có khoảng 140.000 máy bị lây nhiễm.
Hãng an ninh BinaryEdge cũng tiến hành quét độc lập và cho kết quả cao hơn khi có tới 160.000 hệ thống bị nhiễm DOUBLEPULSAR.
Sau khi có thông tin trên, Microsoft đã chính thức lên tiếng: “Chúng tôi nghi ngờ về độ chính xác của các báo cáo này và đang tiến hành điều tra”. Trong khi đó người dùng Windows chưa cập nhật MS17-010 tới thời điểm hiện tại được khuyến cáo ngay lập tức tải và triển khai các bản vá.
DOUBLEPULSAR có chức năng như một backdoor xâm nhập vào trong hệ thống và cho phép hacker chèn các file DDL bất kỳ vào máy chủ nạn nhân.
Trong khi Microsoft đã phát hành bản vá cho ETERNALBLUE và các lỗ hổng khác của SMB v1, thì hacker dường như đã phát hiện ra và tiến hành lây nhiễm mã độc này trên hàng ngàn hệ thống chưa được cập nhật và mở giao thức chia sẻ tệp tin trên internet.
Dan Tentler, giám đốc an ninh của Phobos Group đã sử dụng module Metasploit để quét và kiểm tra mã độc DOUBLEPULSAR.Sau khi quét gần 1,5 triệu máy chủ trong 80 giờ, Tentler cho biết đã phát hiện hơn 42.000 hệ thống bị lây nhiễm . Ông ước tính cứ hơn 5 triệu máy chủ thì có khoảng 140.000 máy bị lây nhiễm.
Hãng an ninh BinaryEdge cũng tiến hành quét độc lập và cho kết quả cao hơn khi có tới 160.000 hệ thống bị nhiễm DOUBLEPULSAR.
Sau khi có thông tin trên, Microsoft đã chính thức lên tiếng: “Chúng tôi nghi ngờ về độ chính xác của các báo cáo này và đang tiến hành điều tra”. Trong khi đó người dùng Windows chưa cập nhật MS17-010 tới thời điểm hiện tại được khuyến cáo ngay lập tức tải và triển khai các bản vá.
Theo: ITNews, The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: