RenderShock: Cuộc tấn công "zero-click" đáng sợ ẩn nấp sau tính năng tiện ích hàng ngày

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
108
952 bài viết
RenderShock: Cuộc tấn công "zero-click" đáng sợ ẩn nấp sau tính năng tiện ích hàng ngày
WhiteHat Team
Trong khi người dùng máy tính vẫn quen thuộc với những tính năng như: Xem trước file, tự động tạo thumbnail hay đồng bộ đám mây,... Hacker đã âm thầm biến những tiện ích này thành cửa hậu cho mã độc tấn công. Một nghiên cứu mới đây đã vạch trần RenderShock - một phương pháp tấn công tinh vi theo kiểu "zero-click", khai thác chính những quy trình xử lý ngầm của hệ điều hành mà người dùng không hề hay biết.
Họa tiết Màu Neon Xanh lam Công nghệ và Chơi game Ảnh bìa Facebook .png

Với kiểu tấn công này, nạn nhân không cần nhấp chuột hay mở file. Nó khai thác các tính năng vốn được coi là vô hại, xử lý tự động như: Xem trước file, sinh thumbnail, quét metadata hay đồng bộ tệp đám mây...​
1752567116707.png
RenderShock không cần sự tương tác từ người dùng. Chỉ cần hệ thống tự động xem trước file, như: Windows Explorer Preview Pane, macOS Quick Look hoặc email client có preview là RenderShock có thể được kích hoạt.

Cuộc tấn công diễn ra qua 5 giai đoạn:​
  1. Thiết kế payload: Hacker tạo file độc hại dựa trên các định dạng như PDF có link ngoại, DOCX sử dụng template từ xa hoặc file LNK có icon đường dẫn UNC.​
  2. Khai thác passive preview: Hệ thống preview file vô tình kích hoạt mã độc trong nền.​
  3. Tấn công thấp: Sử dụng ICC profile, TTF font, hay polyglot file làm crash engine index.​
  4. Truy xuất dữ liệu: Tự động thu thập NTLM hash, tạo kết nối với hacker.​
  5. Kết hợp công cụ: Như Responder để lấy thông tin qua giao thức SMB.​
1752567136197.png
Bất kỳ ai sử dụng Windows, macOS, hay hệ thống doanh nghiệp có email, đám mây với tính năng preview tự động đều có nguy cơ trở thành nạn nhân. RenderShock nguy hiểm vì khai thác vùng "mũ xám" trong hệ điều hành: tối ưu tính năng người dùng yêu thích để tấn công trong im lặng.

Các nguyên tắc và khuyến nghị đối phó:​
  1. Tái định nghĩa vùng tin cậy: Coi preview cũng nguy hiểm như chạy file.​
  2. Tạm tắt tính năng xem trước qua Group Policy hoặc thiết lập client.​
  3. Giới hạn kết nối SMB: Tắt TCP port 445 outbound.​
  4. Chặn macro trong Office để tranh tận dụng.​
  5. Giám sát hành vi tiến trình, theo dõi: Explorer.exe, searchindexer.exe, quicklookd...​
  6. Dành riêng sandbox cho xử lý preview: Mục đích là cách ly nguy cơ.​
RenderShock là lời cảnh tỉnh rõ ràng về những góc kính tưởng như an toàn trong máy tính hiện đại. Khi ngay cả preview file cũng có thể kích hoạt mã độc, đã đến lúc các tổ chức cần xem lại cách hệ thống xử lý file, đặt lại giới hạn an toàn và thảo gỡ những góc khuất tưởng vô hại trong quy trình tự động.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • SVG - Công cụ lừa đảo mới của tin tặc trong các cuộc tấn công mạng
  • Cảnh báo: Cuộc gọi nhóm có thể là chiêu lừa đánh cắp mã OTP
  • Lỗ hổng SolarWinds Serv-U bị khai thác trong hàng loạt cuộc tấn công mạng
  • Lỗ hổng 9,9 điểm trong plugin của WordPress gây ra hàng triệu cuộc tấn công SQL injection
  • Cuộc tấn công chuỗi cung ứng nhắm vào Python gây ảnh hưởng 170.000 người dùng
  • Khai thác zero-day trong HTTP/2 Rapid Reset để phát động các cuộc tấn công DDoS kỷ lục
    • Thẻ
    macos rendershock windows zero-click
    Bên trên