WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Lỗi nghiêm trọng trên Skype cho phép hacker thực thi mã độc từ xa
Một lỗ hổng nghiêm trọng trên Skype được phát hiện có thể cho phép hacker thực thi mã độc từ xa và làm treo hệ thống.
Skype là dịch vụ trực tuyến miễn phí, cho phép người dùng trò chuyện, gọi video và nhắn tin trực tuyến. Dịch vụ này đã được hãng Microsoft mua lại vào tháng 5/2011 với giá 8,5 tỉ USD.
Chuyên gia an ninh mạng Benjamin Kunz-Mejri từ công ty Vulnerability Lab có trụ sở tại Đức đã phát hiện một lỗ hổng tràn bộ nhớ đệm chưa được biết đến có tên CVE-2017-9948 trong Skype trên trình duyệt web khi họp trực tuyến. Theo báo cáo công bố vào ngày 26/6 của chuyên gia Kunz-Mejri, lỗ hổng này có nguy cơ khai thác cao với điểm số là 7.2 CVSS và ảnh hưởng tới các version 7.2, 7.35 và 7.36 trên Windows XP, Windows 7 và Windows 8.
“Lỗ hổng có thể bị khai thác từ xa thông qua phiên làm việc hoặc tương tác nội bộ. Vấn đề nằm ở các định dạng của print clipboard hoặc chuyển bộ nhớ cache qua phiên làm việc từ xa trên Windows XP, Windows 7, Windows 8 và Windows 10. Skype version 7.37 đã được cập nhật bản vá lỗ hổng này”.
Không cần sự tương tác từ người dùng
Điều tồi tệ nhất là lỗi tràn bộ nhớ đệm không cần sự tương tác của người dùng và chỉ cần chiếm quyền tài khoản người dùng Skype ở mức thấp. Vì thế, hacker có thể làm treo ứng dụng từ xa “bằng một lỗi ghi đè lên các trình đăng ký đang hoạt động” hoặc thậm chí thực thi mã độc lên hệ thống bị khai thác đang chạy các bản Skype có lỗ hổng.
Lỗi này nằm trong phương thức Skype sử dụng file MSFTEDIT.DLL trong trường hợp truy vấn sao chép trên các hệ thống nội bộ.
Cách thức khai thác lỗ hổng
Theo báo cáo về lỗ hổng của chuyên gia Kunz-Mejri, hacker có thể tạo một tập tin hình ảnh chứa mã độc, sao chép và dán từ clipboard của một hệ thống máy tính vào cửa sổ chat của người dùng Skype.
Khi hình ảnh trên lọt vào clipboard của cả hệ thống nội bộ và từ xa, Skype sẽ bị tràn bộ nhớ đệm, gây ra lỗi và làm treo ứng dụng, tạo điểm yếu cho hacker khai thác thêm.
Cũng theo chuyên gia này, giới hạn kích thước và số lượng hình ảnh thông qua clipboard của phiên làm việc từ xa không có một giới hạn hay hạn chế để đảm bảo an toàn nào. Hacker có thể làm treo phần mềm bằng một truy vấn ghi đè lên đăng ký EIP trong quá trình phần mềm đang hoạt động. Do đó, nó cho phép kẻ tấn công trong nội bộ và từ xa thực thi mã lên các hệ thống máy tính kết nối bị ảnh hưởng qua phần mềm Skype.
Mã PoC đã được tung ra
Công ty an ninh mạng này đã cung cấp mã khai thác PoC để người dùng có thể thử nghiệm.
Hãng đã báo lỗi tới Microsoft vào ngày 16/5 và Microsoft đã cập nhật bản vá lỗ hổng này vào ngày 8/6 cho Skype version 7.37.178.
Người dùng Skype được khuyến cáo nên cập nhật bản mới nhất để bảo vệ mình.
Chuyên gia an ninh mạng Benjamin Kunz-Mejri từ công ty Vulnerability Lab có trụ sở tại Đức đã phát hiện một lỗ hổng tràn bộ nhớ đệm chưa được biết đến có tên CVE-2017-9948 trong Skype trên trình duyệt web khi họp trực tuyến. Theo báo cáo công bố vào ngày 26/6 của chuyên gia Kunz-Mejri, lỗ hổng này có nguy cơ khai thác cao với điểm số là 7.2 CVSS và ảnh hưởng tới các version 7.2, 7.35 và 7.36 trên Windows XP, Windows 7 và Windows 8.
“Lỗ hổng có thể bị khai thác từ xa thông qua phiên làm việc hoặc tương tác nội bộ. Vấn đề nằm ở các định dạng của print clipboard hoặc chuyển bộ nhớ cache qua phiên làm việc từ xa trên Windows XP, Windows 7, Windows 8 và Windows 10. Skype version 7.37 đã được cập nhật bản vá lỗ hổng này”.
Không cần sự tương tác từ người dùng
Điều tồi tệ nhất là lỗi tràn bộ nhớ đệm không cần sự tương tác của người dùng và chỉ cần chiếm quyền tài khoản người dùng Skype ở mức thấp. Vì thế, hacker có thể làm treo ứng dụng từ xa “bằng một lỗi ghi đè lên các trình đăng ký đang hoạt động” hoặc thậm chí thực thi mã độc lên hệ thống bị khai thác đang chạy các bản Skype có lỗ hổng.
Lỗi này nằm trong phương thức Skype sử dụng file MSFTEDIT.DLL trong trường hợp truy vấn sao chép trên các hệ thống nội bộ.
Cách thức khai thác lỗ hổng
Theo báo cáo về lỗ hổng của chuyên gia Kunz-Mejri, hacker có thể tạo một tập tin hình ảnh chứa mã độc, sao chép và dán từ clipboard của một hệ thống máy tính vào cửa sổ chat của người dùng Skype.
Khi hình ảnh trên lọt vào clipboard của cả hệ thống nội bộ và từ xa, Skype sẽ bị tràn bộ nhớ đệm, gây ra lỗi và làm treo ứng dụng, tạo điểm yếu cho hacker khai thác thêm.
Cũng theo chuyên gia này, giới hạn kích thước và số lượng hình ảnh thông qua clipboard của phiên làm việc từ xa không có một giới hạn hay hạn chế để đảm bảo an toàn nào. Hacker có thể làm treo phần mềm bằng một truy vấn ghi đè lên đăng ký EIP trong quá trình phần mềm đang hoạt động. Do đó, nó cho phép kẻ tấn công trong nội bộ và từ xa thực thi mã lên các hệ thống máy tính kết nối bị ảnh hưởng qua phần mềm Skype.
Mã PoC đã được tung ra
Công ty an ninh mạng này đã cung cấp mã khai thác PoC để người dùng có thể thử nghiệm.
Người dùng Skype được khuyến cáo nên cập nhật bản mới nhất để bảo vệ mình.
Nguồn: Hackernews