MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Tin tặc cài đặt chứng chỉ SSL Let’s Encrypt vào website độc hại
Việc Let’s Encrypt cung cấp miễn phí chứng chỉ SSL đã giúp các website hợp pháp mã hóa dữ liệu người dùng, nhưng mặt khác đây cũng là cơ hội để tin tặc lợi dụng tăng cường an toàn cho các website độc hại.
Tháng 12/2015, Let’s Encrypt đã cho phép cài đặt miễn phí chứng chỉ SSL/TLS (Secure Socket Layer/Transport Layer Security) lên các máy chủ web, giúp mã hóa toàn bộ lưu lượng giữa máy chủ và người dùng. Let’s Encrypt đã được công nhận bởi hầu hết các trình duyệt web lớn bao gồm Google Chrome, Mozilla Firefox và Microsoft Internet Explorer.
Tuy nhiên, ngày 21/12/2015, các nhà nghiên cứu của Trend Micro đã phát hiện một chiến dịch quảng cáo độc hại (Malvertising) nhằm cài đặt mã độc ngân hàng lên máy tính và sử dụng chứng chỉ SSL miễn phí của Let’s Encrypt để che giấu lưu lượng độc hại. Chiến dịch này kéo dài đến ngày 31/12/2015 và ảnh hưởng chủ yếu đến người dùng tại Nhật Bản.
Quảng cáo độc hại là một kỹ thuật sử dụng quảng cáo trên các website để phát tán mã độc. Tin tặc chèn những đoạn mã độc vào website hợp pháp, sau đó chuyển hướng người dùng đến trang độc hại khác với sự giúp đỡ của các bộ công cụ khai thác. Những trang web độc hại trong chiến dịch này sử dụng bộ công cụ khai thác Angler để lây nhiễm trojan ngân hàng VawTrack vào máy tính nạn nhân. Trước đó, tin tặc đã tấn công vào một máy chủ hợp pháp, rồi cài đặt chứng chỉ SSL miễn phí và lưu trữ quảng cáo độc hại trên tên miền phụ.
Trước đây, tin tặc phải mua các chứng chỉ SSL bị đánh cắp từ chợ đen và chứng chỉ sẽ bị phát hiện, vô hiệu hóa bởi các chủ sở hữu hợp pháp. Nhưng đối với chứng chỉ miễn phí, tin tặc có thể lợi dụng giả mạo để tiến hành tấn công người dùng.
Vấn đề xảy ra do Let’s Encrypt chỉ kiểm tra tên miền chính dựa trên danh sách an toàn của Google Safe Browsing API để xác định tên miền đó có bị đánh dấu là độc hại hay phishing hay không trước khi cấp chứng chỉ SSL. Hơn nữa, Let’s Encrypt có một chính sách không thu hồi chứng chỉ. Để tự bảo vệ, người dùng cần lưu ý:
- Luôn cập nhật trình duyệt web để giảm thiểu số lượng lỗ hổng khai thác bởi tin tặc.
- Đối với các hãng quảng cáo trực tuyến, nên triển khai các biện pháp quản lý nội bộ nhằm ngăn chặn quảng cáo độc hại.
Theo ATTT
Tháng 12/2015, Let’s Encrypt đã cho phép cài đặt miễn phí chứng chỉ SSL/TLS (Secure Socket Layer/Transport Layer Security) lên các máy chủ web, giúp mã hóa toàn bộ lưu lượng giữa máy chủ và người dùng. Let’s Encrypt đã được công nhận bởi hầu hết các trình duyệt web lớn bao gồm Google Chrome, Mozilla Firefox và Microsoft Internet Explorer.
Tuy nhiên, ngày 21/12/2015, các nhà nghiên cứu của Trend Micro đã phát hiện một chiến dịch quảng cáo độc hại (Malvertising) nhằm cài đặt mã độc ngân hàng lên máy tính và sử dụng chứng chỉ SSL miễn phí của Let’s Encrypt để che giấu lưu lượng độc hại. Chiến dịch này kéo dài đến ngày 31/12/2015 và ảnh hưởng chủ yếu đến người dùng tại Nhật Bản.
Quảng cáo độc hại là một kỹ thuật sử dụng quảng cáo trên các website để phát tán mã độc. Tin tặc chèn những đoạn mã độc vào website hợp pháp, sau đó chuyển hướng người dùng đến trang độc hại khác với sự giúp đỡ của các bộ công cụ khai thác. Những trang web độc hại trong chiến dịch này sử dụng bộ công cụ khai thác Angler để lây nhiễm trojan ngân hàng VawTrack vào máy tính nạn nhân. Trước đó, tin tặc đã tấn công vào một máy chủ hợp pháp, rồi cài đặt chứng chỉ SSL miễn phí và lưu trữ quảng cáo độc hại trên tên miền phụ.
Trước đây, tin tặc phải mua các chứng chỉ SSL bị đánh cắp từ chợ đen và chứng chỉ sẽ bị phát hiện, vô hiệu hóa bởi các chủ sở hữu hợp pháp. Nhưng đối với chứng chỉ miễn phí, tin tặc có thể lợi dụng giả mạo để tiến hành tấn công người dùng.
Vấn đề xảy ra do Let’s Encrypt chỉ kiểm tra tên miền chính dựa trên danh sách an toàn của Google Safe Browsing API để xác định tên miền đó có bị đánh dấu là độc hại hay phishing hay không trước khi cấp chứng chỉ SSL. Hơn nữa, Let’s Encrypt có một chính sách không thu hồi chứng chỉ. Để tự bảo vệ, người dùng cần lưu ý:
- Luôn cập nhật trình duyệt web để giảm thiểu số lượng lỗ hổng khai thác bởi tin tặc.
- Đối với các hãng quảng cáo trực tuyến, nên triển khai các biện pháp quản lý nội bộ nhằm ngăn chặn quảng cáo độc hại.
Theo ATTT