Phân tích lỗ hổng mới của Facebook Messenger trên Windows

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi nǝıH, 14/06/20, 01:06 AM.

  1. nǝıH

    nǝıH Moderator Thành viên BQT

    Tham gia: 23/03/20, 11:03 PM
    Bài viết: 15
    Đã được thích: 13
    Điểm thành tích:
    3
    Các nhà nghiên cứu về an ninh mạng tại Reason Labs vừa tiết lộ chi tiết về lỗ hổng mới trong ứng dụng Facebook Messenger trên hệ điều hành Windows.
    facebook.PNG
    Lỗ hổng được phát hiện trong phiên bản Messenger 460.16, có thể cho phép kẻ tấn công lợi dụng ứng dụng này để thực thi các file mã độc có sẵn trên hệ thống, nhằm giúp phần mềm độc hại có thể truy cập liên tục mà không bị gián đoạn.

    Reason Labs đã báo cáo lỗ hổng này với Facebook vào tháng 4. Ngay sau đó, công ty này đã nhanh chóng đưa ra bản vá trong bản cập nhật Facebook Messenger cho người dùng Windows qua Microsoft Store.

    Sử dụng mối đe dọa "dai dẳng" (Persistence)
    Persistence bao gồm các kỹ thuật sử dụng để giữ quyền truy cập trái phép vào các hệ thống. Quá trình khởi động lại của hệ thống hay thay đổi thông tin đăng nhập và các gián đoạn khác có thể khiến ngắt quyền truy cập trái phép của một phần mềm độc hại trên hệ thống.

    Sử dụng phương pháp Persistence là một trong những bước quan trọng nhất mà hacker cần thực hiện để đảm bảo tin tặc sẽ không mất kết nối với máy bị tấn công. Hầu hết các phương thức tấn công Persistence được sử dụng khá phổ biến trên Windows và dựa vào registry keys, scheduled task (tác vụ được lập lịch) và các dịch vụ để duy trì quyền truy cập chủ động vào hệ thống, ...

    Đối với một nhà nghiên cứu an ninh mạng hoặc điều tra forensics, việc tìm một tác nhân độc hại bằng phương pháp Persistence là khá dễ dàng vì logic chung cho tất cả các phần mềm độc hại chỉ cần ba điều:
    1. Phần mềm độc hại cần được kết nối.
    2. Phần mềm độc hại cần phải được chạy.
    3. Phần mềm độc hại cần được ẩn đi trong hệ thống.
    Mối đe dọa thứ hai phức tạp hơn vì những kẻ tấn công sẽ cố gắng tìm ra binary có chức năng gọi tới một tiến trình hoặc một DLL không tồn tại. Sau đó kẻ tấn công có thể chiếm quyền điều khiển lệnh gọi đó để chạy một tệp độc hại. Bất cứ ai đã từng kiểm tra các tiến trình với Procmon sẽ nhận thấy rằng rất nhiều chương trình cố gắng tải tài nguyên không tồn tại. Có hai lý do cho việc này:
    1. Tài nguyên có thể tùy chọn và không thực sự tồn tại.
    2. Chương trình không có đường dẫn tuyệt đối cho tài nguyên và cần đi qua lệnh tìm kiếm.
    Bằng cách thử nghiệm ứng dụng "Messenger" mới trên desktop, nhóm nghiên cứu Reason đã tìm thấy một lệnh gọi lạ để tải Powershell.exe từ thư mục Python27. Nhóm này tìm thấy từ vị trí của "Python27" trong thư mục "C:\ Python27" là một vị trí có quyền truy cập thấp. Điều này có nghĩa là mọi chương trình độc hại có thể truy cập đường dẫn mà không cần quyền administrator.

    1-4.png

    Các nhà nghiên cứu đã quyết định tạo ra reverse shell bằng msfvenom và một trình lắng nghe với Metasploit giống như một POC. Khi reverse shell được tạo, nó được chuyển sang thư mục C:\python27 và tên của nó đã được đổi thành Powershell.exe để có thể chiếm quyền điều khiển lệnh gọi:
    unnamed-1.gif

    Chạy trình lắng nghe bằng metasploit trên máy tấn công để sẵn sàng nhận kết nối của reverse shell từ máy nạn nhân:
    Create-listenr.gif

    Sau đó, mở ứng dụng Messenger, ta thấy trình lắng nghe nhận được kết nối từ reverse shell, điều đó chứng tỏ rằng kẻ tấn công có thể khai thác lỗ hổng và thực hiện các cuộc tấn công persistence.

    4.gif
    Dù lỗ hổng đã được vá nhưng người dùng cần phải tiếp tục cảnh giác đến khả năng bị lỗ hổng trong các công nghệ trực tuyến khác như ứng dụng nhắn tin, ứng dụng họp qua video, công cụ làm việc từ xa,...

    Hiện chưa có dấu hiệu nào cho thấy lỗ hổng đã bị khai thác nhưng những lỗ hổng như vậy rất rủi ro. Hacker có thể sử dụng các lỗ hổng này để duy trì quyền truy cập trong thời gian dài. Việc truy cập liên tục có thể cho phép kẻ tấn công thực hiện các công việc khai thác khác như cài thêm ransomware hay lấy các dữ liệu quan trọng.

     

    Các file đính kèm:

    Chỉnh sửa cuối: 14/06/20, 09:06 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    DiepNV88 thích bài này.
  2. cracker

    cracker Active Member

    Tham gia: 04/09/19, 01:09 PM
    Bài viết: 27
    Đã được thích: 1
    Điểm thành tích:
    3
    tks mod nhé
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    nǝıH thích bài này.