Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
[Update] Tin tặc khai thác lỗ hổng trên Flash Player, phát tán mã độc Cryptowall
Cập nhật ngày 30/06/2015: 4 ngày sau khi Adobe đưa ra bản vá cho lỗ hổng tràn bộ đệm CVE-2015-3113, các chuyên gia an ninh mạng phát hiện việc khai thác của tin tặc nhằm mục đích về tài chính. Tin tặc đã sử dụng bộ kit khai thác Magnitude và phát tán mã độc tống tiền Cryptowall.
Có vẻ như nền tảng để tạo đoạn mã độc là dựa trên lỗ hổng an ninh CVE-2015-3043, được Adobe vá vào tháng 4, cũng đã bị khai thác trên thực tế trước khi hãng này đưa ra bản vá.
Theo các chuyên gia, hai lỗ hổng có cùng nguyên nhân và bản vá CVE-2015-3043 vào tháng 4 không khắc phục hoàn toàn lỗ hổng.
Ngày 23/6, Adobe đưa ra bản vá khẩn cấp cho lỗ hổng zero-day trên Flash Player đã bị tin tặc khai thác trên thực tế. Lỗ hổng CVE-2015-3113 có thể cho phép tin tặc chiếm quyền kiểm soát hệ thống.
Trong cảnh báo an ninh của mình, Adobe cho biết có một số báo cáo về việc lỗ hổng đã bị khai thác trong các cuộc tấn công có chủ đích. Các hệ thống sử dụng trình duyệt Internet Explorer trên nền tảng Windows 7 và các phiên bản trước đó, cũng như trình duyệt Firefox trên Windows XP đều bị ảnh hưởng từ lỗ hổng.
Các chuyên gia phát hiện lỗ hổng vào đầu tháng 6/2015 trong chiến dịch phishing có tên Operation Clandestine Wolf, sau đó đã báo lại Adobe để vá lỗ hổng.
Operation Clandestine Wolf được cho là có liên quan đến nhóm tin tặc Trung Quốc APT3, nhóm này đã thực hiện một số cuộc tấn công trong tháng 4, qua khai thác các lỗ hổng zero-day chưa được biết đến trước đó trên trình duyệt Internet Microsoft.
Theo các chuyên gia, lỗ hổng CVE-2015-2013 tồn tại trong cách thức Flash Player phân tách các file Flash Video (FLV). Flash và các hệ điều hành dựa trên Windows của Microsoft mà flash chạy trên đó được áp dụng một số biện pháp bảo vệ để phòng thủ trước các cuộc tấn công. Tuy nhiên, khi khai thác lỗ hổng CVE-2015-3113, tin tặc có thể qua mặt toàn bộ các biện pháp này.
Việc khai thác lỗ hổng dựa trên các kỹ thuật làm sai vector để qua mặt Address Space Layout Randomization (ASLR) và sử dụng Return-Oriented Programming (ROP) để qua mặt Data Execution Prevention (DEP).
Trong chiến dịch phishing Operation Clandestine Wolf, các chuyên gia phát hiện các email giống nhau và chứa một liên kết để lừa người dùng click vào. Liên kết này chuyển hướng trực tiếp nạn nhân đến một server web bị đã bị xâm nhập trước đó để tải về file Flash độc hại. Quá trình kết thúc bằng việc cài backdoor SHOTPUT vào hệ thống nạn nhân.
Sau khi khai thác thành công host, tin tặc sẽ nhanh chóng lấy dữ liệu cá nhân, chuyển đến các host bổ sung và cài đặt backdoor vào hệ thống máy người dùng. Hạ tầng C&C của APT3 rất khó để theo dõi do không sử dụng lại trong các chiến dịch.
Lỗ hổng zero-day mới nhất trên Adobe Flash bổ sung vào danh sách ngày càng nhiều lỗ hổng của sản phẩm này trong năm qua. Adobe đã vá một số lỗ hổng zero-day vào tháng 2/2015. Vào tháng 4, các chuyên gia an ninh mạng cũng cho biết chiến dịch Operation RussianDoll đã khai thác ít nhất một lỗ hổng zero-day của Flash để tấn công người dùng.
Có vẻ như nền tảng để tạo đoạn mã độc là dựa trên lỗ hổng an ninh CVE-2015-3043, được Adobe vá vào tháng 4, cũng đã bị khai thác trên thực tế trước khi hãng này đưa ra bản vá.
Theo các chuyên gia, hai lỗ hổng có cùng nguyên nhân và bản vá CVE-2015-3043 vào tháng 4 không khắc phục hoàn toàn lỗ hổng.
Theo Softpedia
Ngày 23/6, Adobe đưa ra bản vá khẩn cấp cho lỗ hổng zero-day trên Flash Player đã bị tin tặc khai thác trên thực tế. Lỗ hổng CVE-2015-3113 có thể cho phép tin tặc chiếm quyền kiểm soát hệ thống.
Trong cảnh báo an ninh của mình, Adobe cho biết có một số báo cáo về việc lỗ hổng đã bị khai thác trong các cuộc tấn công có chủ đích. Các hệ thống sử dụng trình duyệt Internet Explorer trên nền tảng Windows 7 và các phiên bản trước đó, cũng như trình duyệt Firefox trên Windows XP đều bị ảnh hưởng từ lỗ hổng.
Các chuyên gia phát hiện lỗ hổng vào đầu tháng 6/2015 trong chiến dịch phishing có tên Operation Clandestine Wolf, sau đó đã báo lại Adobe để vá lỗ hổng.
Operation Clandestine Wolf được cho là có liên quan đến nhóm tin tặc Trung Quốc APT3, nhóm này đã thực hiện một số cuộc tấn công trong tháng 4, qua khai thác các lỗ hổng zero-day chưa được biết đến trước đó trên trình duyệt Internet Microsoft.
Theo các chuyên gia, lỗ hổng CVE-2015-2013 tồn tại trong cách thức Flash Player phân tách các file Flash Video (FLV). Flash và các hệ điều hành dựa trên Windows của Microsoft mà flash chạy trên đó được áp dụng một số biện pháp bảo vệ để phòng thủ trước các cuộc tấn công. Tuy nhiên, khi khai thác lỗ hổng CVE-2015-3113, tin tặc có thể qua mặt toàn bộ các biện pháp này.
Việc khai thác lỗ hổng dựa trên các kỹ thuật làm sai vector để qua mặt Address Space Layout Randomization (ASLR) và sử dụng Return-Oriented Programming (ROP) để qua mặt Data Execution Prevention (DEP).
Trong chiến dịch phishing Operation Clandestine Wolf, các chuyên gia phát hiện các email giống nhau và chứa một liên kết để lừa người dùng click vào. Liên kết này chuyển hướng trực tiếp nạn nhân đến một server web bị đã bị xâm nhập trước đó để tải về file Flash độc hại. Quá trình kết thúc bằng việc cài backdoor SHOTPUT vào hệ thống nạn nhân.
Sau khi khai thác thành công host, tin tặc sẽ nhanh chóng lấy dữ liệu cá nhân, chuyển đến các host bổ sung và cài đặt backdoor vào hệ thống máy người dùng. Hạ tầng C&C của APT3 rất khó để theo dõi do không sử dụng lại trong các chiến dịch.
Lỗ hổng zero-day mới nhất trên Adobe Flash bổ sung vào danh sách ngày càng nhiều lỗ hổng của sản phẩm này trong năm qua. Adobe đã vá một số lỗ hổng zero-day vào tháng 2/2015. Vào tháng 4, các chuyên gia an ninh mạng cũng cho biết chiến dịch Operation RussianDoll đã khai thác ít nhất một lỗ hổng zero-day của Flash để tấn công người dùng.
Nguồn: eWeek
Chỉnh sửa lần cuối bởi người điều hành: