Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Bộ khai thác Angler qua mặt cơ chế an ninh EMET của Microsoft
Các chuyên gia vừa phát hiện bộ kit Angler phát tán mã khai thác Flash và Silverlight, qua mặt cơ chế an ninh EMET (Enhanced Mitigation Experience Toolkit) của Microsoft. Đây được coi là bộ khai thác phức tạp nhất và thành công nhất hiện nay.
EMET là công cụ được xây dựng để cản trở tin tặc khai thác các lỗ hổng trên hệ thống Windows. Tuy nhiên, các chuyên gia vừa công bố cách thức cho phép qua mặt cơ chế bảo vệ EMET. Kẻ xấu hiện tại cũng đã phát hiện ra các cách để vượt qua hàng rào an ninh này.
Theo chuyên gia FireEye, các mã khai thác Flash Player và Microsoft Silverlight hiện được Angler sử dụng để phát tán mã độc không dựa trên kỹ thuật khai thác “lập trình hướng trở lại” (ROP) nhằm che giấu cơ chế ngăn chặn thực thi dữ liệu (DEP).
Thay vào đó, tin tặc leo thang tiến trình được built trong thành phần plugin Flash Player Flash.ocx và Silverlight Coreclr.dll để gọi hàm quản lý bộ nhớ VirtualProtect và VirtualAlloc. Điều này cho phép các mã khai thác vượt qua cả DEP và việc trả về địa chỉ chẩn đoán dựa trên xác thực trước khi thực thi shellcode.
Các chuyên gia phát hiện các mã khai thác Flash và Silverlight được Angler sử dụng cũng có thể vượt qua Address Table Filtering (EAF) và EAF+ của EMET.
Trong các cuộc tấn công được phân tích, tin tặc phát tán mã độc tống tiền TeslaCrypt, và thiết bị ảnh hưởng sử dụng Windows 7 chạy EMET 5.5 - phiên bản mới nhất của công cụ này.
"Mặc dù chưa có giải pháp nhanh nào cho các kỹ thuật vượt qua DEP, EAF và EAF +, các tổ chức có thể giảm thiểu nguy cơ thông qua chương trình quản lý lỗ hổng cho hệ thống người dùng cuối. Điều này bao gồm cả việc cài đặt các bản cập nhật an ninh", các chuyên gia cho biết.
Microsoft thường sẽ đưa ra bản vá cho EMET trong phiên bản mới của công cụ. Hãy chờ xem mất bao lâu để hãng khắc phục vấn đề này.
Trước đó, vào tháng 2/2016, FireEye cũng công bố cách thức tin tặc có thể sử dụng để vô hiệu hóa EMET qua lợi dụng một trong những chức năng của riêng của công cụ. Vấn đề được công bố sau khi Microsoft vá lỗ hổng bằng việc phát hành Emet 5.5.
Nguồn: SecurityWeek
EMET là công cụ được xây dựng để cản trở tin tặc khai thác các lỗ hổng trên hệ thống Windows. Tuy nhiên, các chuyên gia vừa công bố cách thức cho phép qua mặt cơ chế bảo vệ EMET. Kẻ xấu hiện tại cũng đã phát hiện ra các cách để vượt qua hàng rào an ninh này.
Theo chuyên gia FireEye, các mã khai thác Flash Player và Microsoft Silverlight hiện được Angler sử dụng để phát tán mã độc không dựa trên kỹ thuật khai thác “lập trình hướng trở lại” (ROP) nhằm che giấu cơ chế ngăn chặn thực thi dữ liệu (DEP).
Thay vào đó, tin tặc leo thang tiến trình được built trong thành phần plugin Flash Player Flash.ocx và Silverlight Coreclr.dll để gọi hàm quản lý bộ nhớ VirtualProtect và VirtualAlloc. Điều này cho phép các mã khai thác vượt qua cả DEP và việc trả về địa chỉ chẩn đoán dựa trên xác thực trước khi thực thi shellcode.
Các chuyên gia phát hiện các mã khai thác Flash và Silverlight được Angler sử dụng cũng có thể vượt qua Address Table Filtering (EAF) và EAF+ của EMET.
Trong các cuộc tấn công được phân tích, tin tặc phát tán mã độc tống tiền TeslaCrypt, và thiết bị ảnh hưởng sử dụng Windows 7 chạy EMET 5.5 - phiên bản mới nhất của công cụ này.
"Mặc dù chưa có giải pháp nhanh nào cho các kỹ thuật vượt qua DEP, EAF và EAF +, các tổ chức có thể giảm thiểu nguy cơ thông qua chương trình quản lý lỗ hổng cho hệ thống người dùng cuối. Điều này bao gồm cả việc cài đặt các bản cập nhật an ninh", các chuyên gia cho biết.
Microsoft thường sẽ đưa ra bản vá cho EMET trong phiên bản mới của công cụ. Hãy chờ xem mất bao lâu để hãng khắc phục vấn đề này.
Trước đó, vào tháng 2/2016, FireEye cũng công bố cách thức tin tặc có thể sử dụng để vô hiệu hóa EMET qua lợi dụng một trong những chức năng của riêng của công cụ. Vấn đề được công bố sau khi Microsoft vá lỗ hổng bằng việc phát hành Emet 5.5.
Nguồn: SecurityWeek