Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Thêm một lỗ hổng Zero-Day trên Windows bị tin tặc khai thác
Một lỗ hổng chưa từng được phát hiện trước đây tại driver nằm trong tầng lõi hệ điều hành (kernel-mode driver) của thiết bị Windows vừa bị hacker khai thác để thực thi đoạn mã từ xa.
Lỗ hổng CVE-2014-4148 tồn tại trong quá trình xử lý file định dạng TTF (TrueType Font) của kernel-mode driver trên Windows (win32k.sys).
Tin tặc khai thác lỗ hổng có thể chiếm quyền truy cập vào các chức năng quan trọng trên thiết bị, như cài đặt các chương trình, xem và thay đổi thông tin và tạo các tài khoản mới với đầy đủ các quyền quản trị.
Theo các chuyên gia của FireEye, hacker lợi dụng lỗ hổng qua “sử dụng một file Microsoft Office để nhúng và phát tán TTF độc hại đến một tổ chức quốc tế”.
Điểm đáng chú ý là lỗ hổng không ảnh hưởng đến bộ Office, nhưng các phiên bản desktop của Windows, từ XP SP 3 đến 8.1 (bao gồm cả RT) và các phiên bản máy chủ từ 2003 đến 2012; cả nền tảng 32-bit và 64-bit đều bị ảnh hưởng, tuy nhiên, trong cuộc tấn công mà FireEye phát hiện mới chỉ có các hệ điều hành 32-bit bị nhắm tới.
Tin tặc tấn công các hệ thống 32-bit
Các chuyên gia nghiên cứu đã phát hiện ra rằng malware phát tán trong cuộc tấn công có các tính năng đặc biệt để thích nghi với các hệ điều hành mà tin tặc nhắm tới.
Mặc dù ảnh hưởng đến cả các thiết bị nền tảng 32-bit và 64-bit, có vẻ như tin tặc đã khai thác lỗ hổng để xâm nhập hệ thống 32-bit.
Lý do cho việc này vẫn chưa được xác định, tuy nhiên, với cuộc tấn công có chủ đích dạng này, có thể dễ dàng đoán được các nạn nhân mà tin tặc nhắm tới sử dụng các thiết bị 32-bit.
Khi xâm nhập vào máy nạn nhân, mã độc có thể phát tán thông qua trang web chứa tệp TrueType Font đã được thay đổi phục vụ mục đích tấn công. Ngoài ra, việc nhúng tệp độc hại vào một tài liệu Office như FireEye phát hiện trong cuộc tấn công cũng phát huy hiệu quả.
Tuy nhiên, trong cả hai trường hợp đều cần sự tương tác từ người dùng, điều này không quá khó khi tin tặc sử dụng hình thức tấn công phishing có chủ đích (spear-phishing).
Tính phức tạp của cuộc tấn công
Các chuyên gia cho biết có 3 giai đoạn mà tin tặc thực hiện để thực hiện tấn công nhắm vào mục tiêu. Việc khai thác lỗ hổng bắt đầu bằng việc đưa shellcode vào phân vùng lưu trữ dữ liệu font của file TTF độc hại, shellcode này sau đó chuyển từ tầng lõi hệ điều hành (kernel-mode) sang tầng ứng dụng (user-mode).
Bước cuối cùng đó là giải mã và nhúng một DLL vào bộ nhớ và chạy tại đó; trên thực tế, đây là công cụ truy cập từ xa của tin tặc, cho phép kiểm soát các hệ thống bị xâm nhập.
Các chuyên gia chỉ ra một vài điểm khác biệt của lỗ hổng, đó là tính tùy biến cao, không chỉ ở chỗ shellcode tương thích với nhiều hệ điều hành, mà cả khả năng truy cập từ xa và malware được đưa vào cũng có tính tương thích cao.
Tất cả các điều này, cùng với công cụ truy cập từ xa chạy trong bộ nhớ, cho thấy một kế hoạch chi tiết cho mỗi giai đoạn của cuộc tấn công cũng như sự am hiểu của hacker về môi trường định nhắm tới. Cuộc tấn công dường như thuộc về một bên có ngân sách lớn, ví dụ như các tổ chức tình báo.
Đây không phải là lỗ hổng duy nhất FireEye thông báo với Microsoft. Trước đó, hãng này đã từng thông báo lỗ hổng CVE-2014-4113 trên tầng lõi hệ điều hành (kernel-mode driver) cho phép tin tặc leo thang đặc quyền. CVE-2014-4113 được CrowdStrike phát hiện trong chiến dịch gián điệp nghi ngờ do hacker Trung Quốc thực hiện.
Cả hai hãng an ninh mạng đã hợp tác với Microsoft để đưa ra bản vá cho đưa người dùng Windows qua bản vá an ninh hàng tháng của Microsoft.
Lỗ hổng CVE-2014-4148 tồn tại trong quá trình xử lý file định dạng TTF (TrueType Font) của kernel-mode driver trên Windows (win32k.sys).
Tin tặc khai thác lỗ hổng có thể chiếm quyền truy cập vào các chức năng quan trọng trên thiết bị, như cài đặt các chương trình, xem và thay đổi thông tin và tạo các tài khoản mới với đầy đủ các quyền quản trị.
Theo các chuyên gia của FireEye, hacker lợi dụng lỗ hổng qua “sử dụng một file Microsoft Office để nhúng và phát tán TTF độc hại đến một tổ chức quốc tế”.
Điểm đáng chú ý là lỗ hổng không ảnh hưởng đến bộ Office, nhưng các phiên bản desktop của Windows, từ XP SP 3 đến 8.1 (bao gồm cả RT) và các phiên bản máy chủ từ 2003 đến 2012; cả nền tảng 32-bit và 64-bit đều bị ảnh hưởng, tuy nhiên, trong cuộc tấn công mà FireEye phát hiện mới chỉ có các hệ điều hành 32-bit bị nhắm tới.
Tin tặc tấn công các hệ thống 32-bit
Các chuyên gia nghiên cứu đã phát hiện ra rằng malware phát tán trong cuộc tấn công có các tính năng đặc biệt để thích nghi với các hệ điều hành mà tin tặc nhắm tới.
Mặc dù ảnh hưởng đến cả các thiết bị nền tảng 32-bit và 64-bit, có vẻ như tin tặc đã khai thác lỗ hổng để xâm nhập hệ thống 32-bit.
Lý do cho việc này vẫn chưa được xác định, tuy nhiên, với cuộc tấn công có chủ đích dạng này, có thể dễ dàng đoán được các nạn nhân mà tin tặc nhắm tới sử dụng các thiết bị 32-bit.
Khi xâm nhập vào máy nạn nhân, mã độc có thể phát tán thông qua trang web chứa tệp TrueType Font đã được thay đổi phục vụ mục đích tấn công. Ngoài ra, việc nhúng tệp độc hại vào một tài liệu Office như FireEye phát hiện trong cuộc tấn công cũng phát huy hiệu quả.
Tuy nhiên, trong cả hai trường hợp đều cần sự tương tác từ người dùng, điều này không quá khó khi tin tặc sử dụng hình thức tấn công phishing có chủ đích (spear-phishing).
Tính phức tạp của cuộc tấn công
Các chuyên gia cho biết có 3 giai đoạn mà tin tặc thực hiện để thực hiện tấn công nhắm vào mục tiêu. Việc khai thác lỗ hổng bắt đầu bằng việc đưa shellcode vào phân vùng lưu trữ dữ liệu font của file TTF độc hại, shellcode này sau đó chuyển từ tầng lõi hệ điều hành (kernel-mode) sang tầng ứng dụng (user-mode).
Bước cuối cùng đó là giải mã và nhúng một DLL vào bộ nhớ và chạy tại đó; trên thực tế, đây là công cụ truy cập từ xa của tin tặc, cho phép kiểm soát các hệ thống bị xâm nhập.
Các chuyên gia chỉ ra một vài điểm khác biệt của lỗ hổng, đó là tính tùy biến cao, không chỉ ở chỗ shellcode tương thích với nhiều hệ điều hành, mà cả khả năng truy cập từ xa và malware được đưa vào cũng có tính tương thích cao.
Tất cả các điều này, cùng với công cụ truy cập từ xa chạy trong bộ nhớ, cho thấy một kế hoạch chi tiết cho mỗi giai đoạn của cuộc tấn công cũng như sự am hiểu của hacker về môi trường định nhắm tới. Cuộc tấn công dường như thuộc về một bên có ngân sách lớn, ví dụ như các tổ chức tình báo.
Đây không phải là lỗ hổng duy nhất FireEye thông báo với Microsoft. Trước đó, hãng này đã từng thông báo lỗ hổng CVE-2014-4113 trên tầng lõi hệ điều hành (kernel-mode driver) cho phép tin tặc leo thang đặc quyền. CVE-2014-4113 được CrowdStrike phát hiện trong chiến dịch gián điệp nghi ngờ do hacker Trung Quốc thực hiện.
Cả hai hãng an ninh mạng đã hợp tác với Microsoft để đưa ra bản vá cho đưa người dùng Windows qua bản vá an ninh hàng tháng của Microsoft.
Nguồn: Softpedia