WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mozilla phát hành bản vá lỗ hổng Firefox zero-day làm lộ dữ liệu người dùng Tor
Các bản cập nhật an ninh phát hành hôm thứ tư cho Firefox và Tor Browser xử lý lỗ hổng zero-day bị khai thác để làm lộ danh tính người dùng Tor. Bằng chứng cho thấy rằng việc khai thác lỗ hổng này có thể đã được bởi một cơ quan thực thi luật pháp sử dụng trong một chiến dịch nhắm tới những kẻ phát tán hình khiêu dâm ở trẻ em.
Việc khai thác đã được phát hiện đầu tuần này và Mozilla ngay lập tức phát triển bản vá. Theo tổ chức này, lỗ hổng được sử dụng trong việc khai thác là một lỗ hổng use-after-free nghiêm trọng (lỗ hổng nằm trong khâu quản lý bộ nhớ) làm ảnh hưởng đến thành phần SVG Animation trong Firefox.
Mozilla đã xử lý lỗ hổng này, CVE-2016-9079, trong Firefox 50.0.2, Firefox ESR 45.5.1 và Thunderbird 45.5.1. Trong trình duyệt Tor, dựa trên trình duyệt Firefox, vấn đề đã được xử lý trong phiên bản 6.0.7. Dự án Tor cho biết với những người dùng thiết lập mức độ an ninh ở mức "Cao" thì không bị ảnh hưởng bởi lỗ hổng này.
Theo Mozilla, những kẻ tấn công đã sử dụng lỗ hổng để thực thi đoạn mã bất kỳ trên hệ thống mục tiêu bằng cách lừa người dùng mục tiêu mở một trang web có chứa đoạn JavaScript và SVG được tạo ra theo cách đặc biệt. Payload được thiết kế để lấy được địa chỉ IP và MAC của hệ thống mục tiêu và gửi trở lại một máy chủ từ xa.
Các nhà nghiên cứu tại Malwarebytes giải thích: "Ví dụ trong trường hợp mục tiêu là rò rỉ dữ liệu người dùng với càng ít dấu vết càng tốt. Không có mã độc được tải về ổ đĩa, chỉ có mã shell chạy trực tiếp từ bộ nhớ".
Việc thai thác này được thiết kế để chỉ chạy trên các hệ thống Windows, nhưng lỗ hổng cũng ảnh hưởng đến cả Linux và Mac OS. Giải pháp giảm thiểu bộ nhớ phân vùng làm cho lỗ hổng này khó để khai thác trong Chrome và Edge.
Các nhà nghiên cứu G Data cũng đã phân tích shellcode và xác định rằng nó "trông sạch sẽ và có tổ chức" và "nó chứa lỗi kiểm tra và tự dọn dẹp sau khi hoàn thành mục đích của mình."
Nhà nghiên cứu trực tuyến "TheWack0lian" xác định payload này tương tự như payload được FBI sử dụng vào năm 2013 để nhận diện những người dùng Tor bị nghi ngờ là kinh doanh hình ảnh khiêu dâm trẻ em. Một người dùng trên Hacker News cho biết việc khai thác đã được tải lên trang xác nhận thông tin đăng nhập của một web đen với nội dung khiêu dâm trẻ em gọi là Giftbox.
Đầu năm nay, Mozilla đã yêu cầu tòa án tại quận Tây của bang Washington để đề nghị chính phủ tiết lộ một lỗ hổng bị khai thác do việc thực thi luật pháp vào năm 2015 trong một chiến dịch khác nhằm vào các nghi phạm khiêu dâm trẻ em.
Một chuyên gia an ninh của Mozilla cho biết trong một bài blog ra ngày thứ tư "Việc khai thác trong trường hợp này hoạt động cơ bản giống với "kỹ thuật điều tra mạng" được FBI sử dụng để xác định danh tính người dùng Tor. Điều tương tự này đã dẫn đến suy đoán việc khai thác lỗ hổng là do FBI hoặc một cơ quan thực thi luật pháp nào khác tạo ra".
Việc khai thác đã được phát hiện đầu tuần này và Mozilla ngay lập tức phát triển bản vá. Theo tổ chức này, lỗ hổng được sử dụng trong việc khai thác là một lỗ hổng use-after-free nghiêm trọng (lỗ hổng nằm trong khâu quản lý bộ nhớ) làm ảnh hưởng đến thành phần SVG Animation trong Firefox.
Mozilla đã xử lý lỗ hổng này, CVE-2016-9079, trong Firefox 50.0.2, Firefox ESR 45.5.1 và Thunderbird 45.5.1. Trong trình duyệt Tor, dựa trên trình duyệt Firefox, vấn đề đã được xử lý trong phiên bản 6.0.7. Dự án Tor cho biết với những người dùng thiết lập mức độ an ninh ở mức "Cao" thì không bị ảnh hưởng bởi lỗ hổng này.
Theo Mozilla, những kẻ tấn công đã sử dụng lỗ hổng để thực thi đoạn mã bất kỳ trên hệ thống mục tiêu bằng cách lừa người dùng mục tiêu mở một trang web có chứa đoạn JavaScript và SVG được tạo ra theo cách đặc biệt. Payload được thiết kế để lấy được địa chỉ IP và MAC của hệ thống mục tiêu và gửi trở lại một máy chủ từ xa.
Các nhà nghiên cứu tại Malwarebytes giải thích: "Ví dụ trong trường hợp mục tiêu là rò rỉ dữ liệu người dùng với càng ít dấu vết càng tốt. Không có mã độc được tải về ổ đĩa, chỉ có mã shell chạy trực tiếp từ bộ nhớ".
Việc thai thác này được thiết kế để chỉ chạy trên các hệ thống Windows, nhưng lỗ hổng cũng ảnh hưởng đến cả Linux và Mac OS. Giải pháp giảm thiểu bộ nhớ phân vùng làm cho lỗ hổng này khó để khai thác trong Chrome và Edge.
Các nhà nghiên cứu G Data cũng đã phân tích shellcode và xác định rằng nó "trông sạch sẽ và có tổ chức" và "nó chứa lỗi kiểm tra và tự dọn dẹp sau khi hoàn thành mục đích của mình."
Nhà nghiên cứu trực tuyến "TheWack0lian" xác định payload này tương tự như payload được FBI sử dụng vào năm 2013 để nhận diện những người dùng Tor bị nghi ngờ là kinh doanh hình ảnh khiêu dâm trẻ em. Một người dùng trên Hacker News cho biết việc khai thác đã được tải lên trang xác nhận thông tin đăng nhập của một web đen với nội dung khiêu dâm trẻ em gọi là Giftbox.
Đầu năm nay, Mozilla đã yêu cầu tòa án tại quận Tây của bang Washington để đề nghị chính phủ tiết lộ một lỗ hổng bị khai thác do việc thực thi luật pháp vào năm 2015 trong một chiến dịch khác nhằm vào các nghi phạm khiêu dâm trẻ em.
Một chuyên gia an ninh của Mozilla cho biết trong một bài blog ra ngày thứ tư "Việc khai thác trong trường hợp này hoạt động cơ bản giống với "kỹ thuật điều tra mạng" được FBI sử dụng để xác định danh tính người dùng Tor. Điều tương tự này đã dẫn đến suy đoán việc khai thác lỗ hổng là do FBI hoặc một cơ quan thực thi luật pháp nào khác tạo ra".
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: