WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Hai năm sau khi được tiết lộ, lỗi giả mạo Windows đã được vá
Các nhà nghiên cứu chỉ ra rằng lỗ hổng giả mạo Windows được Microsoft vá vào tuần trước đã được biết đến hơn hai năm.
Bản cập nhật Patch Tuesday tháng 8/2020 của Microsoft giải quyết 120 lỗ hổng, trong đó có một lỗi giả mạo Windows (CVE-2020-1464). Trước đó, lỗ hổng này đã bị hacker tích cực khai thác.
Gã khổng lồ mô tả CVE-2020-1464 là một lỗ hổng giả mạo liên quan đến việc Windows xác thực sai chữ ký của tệp. Microsoft cho biết kẻ tấn công có thể khai thác lỗ hổng để bỏ qua các tính năng bảo mật và tải lên các tệp được ký không đúng cách.
Các nhà nghiên cứu đã phân tích CVE-2020-1464 sau khi Microsoft phát hành bản vá và nhận thấy đó có thể là một lỗ hổng đã được biết đến trong nhiều năm và Microsoft đã từ chối khắc phục.
Trong một bài đăng trên blog vào cuối tuần qua, nhà nghiên cứu Tal Be’ery giải thích lỗ hổng, có tên là GlueBall, đã được biết đến từ tháng 8/2018 khi một mẫu tệp khai thác được tải lên VirusTotal.
Microsoft đã được thông báo về vấn đề vào thời điểm đó và thông tin chi tiết đã được tiết lộ trên blog VirusTotal vào tháng 1/2019 nhưng nhà cung cấp đã không vá lỗ hổng.
“Microsoft Windows giữ chữ ký Authenticode hợp lệ sau khi nối bất kỳ nội dung nào vào cuối tệp Windows Installer (.MSI) được ký bởi bất kỳ nhà phát triển phần mềm. Hành vi này có thể bị kẻ tấn công lợi dụng để vượt qua một số giải pháp bảo mật dựa vào tính năng ký mã của Microsoft Windows để quyết định tệp có đáng tin cậy hay không. Tình huống đặc biệt nguy hiểm khi mã được nối thêm là một JAR độc hại, bởi vì tệp kết quả có chữ ký hợp lệ theo chuẩn của Microsoft Windows và phần mềm độc hại có thể được Java thực thi trực tiếp”, Bernardo Quintero, người sáng lập VirusTotal, giải thích trong bài đăng trên blog tháng 1/2019 .
Ngay sau khi có bài đăng trên blog, một số người khác đã phân tích vấn đề và công khai phát hiện của họ. Vào tháng 6/2020, các nhà nghiên cứu nhận thấy ai đó đã khai thác GlueBall để phát tán phần mềm độc hại và cuối cùng vào tháng 8, Microsoft đã vá lỗi này.
“[Cách] Microsoft xử lý báo cáo lỗ hổng có vẻ khá kỳ lạ”, Be’ery phát biểu. “Các bên liên quan, bao gồm Microsoft, đều biết rất rõ ràng rằng GlueBall thực sự là một lỗ hổng có thể bị khai thác trong thực tế. Không hiểu sao giờ hãng mới vá chứ không phải hai năm trước”.
“Một bản cập nhật bảo mật đã được phát hành vào tháng 8. Những khách hàng áp dụng bản cập nhật hoặc đã bật cập nhật tự động sẽ được bảo vệ”, người phát ngôn của Microsoft cho biết. “Chúng tôi tiếp tục khuyến khích khách hàng bật cập nhật tự động để được bảo vệ”.
Bản cập nhật Patch Tuesday tháng 8/2020 của Microsoft giải quyết 120 lỗ hổng, trong đó có một lỗi giả mạo Windows (CVE-2020-1464). Trước đó, lỗ hổng này đã bị hacker tích cực khai thác.
Gã khổng lồ mô tả CVE-2020-1464 là một lỗ hổng giả mạo liên quan đến việc Windows xác thực sai chữ ký của tệp. Microsoft cho biết kẻ tấn công có thể khai thác lỗ hổng để bỏ qua các tính năng bảo mật và tải lên các tệp được ký không đúng cách.
Các nhà nghiên cứu đã phân tích CVE-2020-1464 sau khi Microsoft phát hành bản vá và nhận thấy đó có thể là một lỗ hổng đã được biết đến trong nhiều năm và Microsoft đã từ chối khắc phục.
Trong một bài đăng trên blog vào cuối tuần qua, nhà nghiên cứu Tal Be’ery giải thích lỗ hổng, có tên là GlueBall, đã được biết đến từ tháng 8/2018 khi một mẫu tệp khai thác được tải lên VirusTotal.
Microsoft đã được thông báo về vấn đề vào thời điểm đó và thông tin chi tiết đã được tiết lộ trên blog VirusTotal vào tháng 1/2019 nhưng nhà cung cấp đã không vá lỗ hổng.
“Microsoft Windows giữ chữ ký Authenticode hợp lệ sau khi nối bất kỳ nội dung nào vào cuối tệp Windows Installer (.MSI) được ký bởi bất kỳ nhà phát triển phần mềm. Hành vi này có thể bị kẻ tấn công lợi dụng để vượt qua một số giải pháp bảo mật dựa vào tính năng ký mã của Microsoft Windows để quyết định tệp có đáng tin cậy hay không. Tình huống đặc biệt nguy hiểm khi mã được nối thêm là một JAR độc hại, bởi vì tệp kết quả có chữ ký hợp lệ theo chuẩn của Microsoft Windows và phần mềm độc hại có thể được Java thực thi trực tiếp”, Bernardo Quintero, người sáng lập VirusTotal, giải thích trong bài đăng trên blog tháng 1/2019 .
Ngay sau khi có bài đăng trên blog, một số người khác đã phân tích vấn đề và công khai phát hiện của họ. Vào tháng 6/2020, các nhà nghiên cứu nhận thấy ai đó đã khai thác GlueBall để phát tán phần mềm độc hại và cuối cùng vào tháng 8, Microsoft đã vá lỗi này.
“[Cách] Microsoft xử lý báo cáo lỗ hổng có vẻ khá kỳ lạ”, Be’ery phát biểu. “Các bên liên quan, bao gồm Microsoft, đều biết rất rõ ràng rằng GlueBall thực sự là một lỗ hổng có thể bị khai thác trong thực tế. Không hiểu sao giờ hãng mới vá chứ không phải hai năm trước”.
“Một bản cập nhật bảo mật đã được phát hành vào tháng 8. Những khách hàng áp dụng bản cập nhật hoặc đã bật cập nhật tự động sẽ được bảo vệ”, người phát ngôn của Microsoft cho biết. “Chúng tôi tiếp tục khuyến khích khách hàng bật cập nhật tự động để được bảo vệ”.
Theo Security Week