Author Archives: Ngô Hoàng Hạnh Nhân

0-day trên Microsoft bị công khai trước khi kịp tung ra bản vá lỗi định kỳ

Tháng 8 vừa qua, một tài khoản Twitter có tên là SandboxEscaper đã công khai lỗ hổng leo thang đặc quyền trên Microsoft Windows Task Scheduler do lỗi trong quá trình xử lý của Advanced Local Procedure Call (ALPC). Lỗ hổng này đã được khai thác trong thực tế bởi hacker chỉ mới được xử lý trong bản vá bảo mật hồi tháng 9.

Tuy nhiên mới đây,  SandboxEscaper đã lại công khai PoC khai thác lỗ hổng 0-day của Microsoft thông qua Microsoft Data Sharing (dssvc.dll) service cho phép leo thang đặc quyền.

sandboxescaper

Thông qua PoC công khai này thì cho phép hacker với đặc quyền thấp có thể xóa các tập tin hệ thống quan trọng – điều mà chỉ có tài khoản quản trị mới có thể làm.

Các phiên bản bị ảnh hưởng là Windows 10 (dù đã cập nhật bản vá bảo mật mới nhất – tháng 10/2018), Server 2016 và Server 2019. Các phiên bản Windows cũ hơn như 7, 8.1 không bị ảnh hưởng.

Hiện người dùng đang phải nơm nớp lo sợ hacker tấn công trong khi chờ đợi bản vá bảo mật định kỳ tiếp theo của Microsoft vào ngày 13/11/2018.

 

Oracle thông báo bản vá bảo mật tháng 10

Mới đây Oracle đã phát hành bản vá bảo mật mới nhất fix 7 lỗ hổng bảo mật trên máy chủ Oracle Database:

  • 3 lỗ hổng trên Oracle Database Server. 2 trong số đó có thể bị khai thác từ xa mà không cần xác thực, tức là có thể bị khai thác trên mạng không cần user credentials. Chỉ các bản cài đặt server bị ảnh hưởng, các bản cài client không bị ảnh hưởng.
  • 1 lỗ hổng mới trên Oracle Big Data Graph: có thể bị khai thác từ xa mà không cần xác thực, tức là có thể bị khai thác trên mạng không cần user credentials.
  • 3 lỗ hổng trên Oracle GoldenGate: có thể bị khai thác từ xa mà không cần xác thực, tức là có thể bị khai thác trên mạng không cần user credentials.

Oracle Database Server Risk Matrix

oracle cve

Oracle Big Data Graph Risk Matrix

oracle cve 3

Oracle GoldenGate Risk Matrix

oracle cve 2

Nguồn: https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

 

VNPT và Microsoft phối hợp tổ chức Diễn đàn “Thách thức và Giải pháp công nghệ trong lĩnh vực An toàn thông tin”

backdrop-01

Nối tiếp sự thành công của cuộc thi VNPT Security Marathon 2018 dành cho sinh viên mà Tập đoàn VNPT phối hợp với các bên Học viện Công nghệ Bưu chính Viễn thông, Cục An toàn thông tin, Hiệp hội An toàn thông tin, VNCERT được tổ chức vào tháng 5/2018. Vào ngày 17/08/2018 vừa qua, Tập đoàn VNPT đã phối hợp với Microsoft Việt Nam tổ chức chương trình Diễn đàn “Thách thức và Giải pháp công nghệ trong lĩnh vực An toàn thông tin”.

Diễn đàn được sự quan tâm của các bạn sinh viên đến từ các trường đại học, học viện, cao đẳng trên địa bàn Hà Nội và các báo đài. Một số báo đài đã đưa tin về diễn đàn:

  • Truyền hình:
  1. VTV1 Chương trình Quốc gia số (từ 8:19 đến 8:50) https://vtv.vn/video/quoc-gia-so-18-8-2018-318099.htm
  2. VTV6 Bản Tin Thế hệ số (từ 3:42 đến 4:50) https://vtv.vn/video/quoc-gia-so-18-8-2018-318099.htm
  3. VTC1 Chương trình sống kết nối (từ 11:35 đến 12:45) http://vn.tvnet.gov.vn/video/133998/156990/ngay-1808
  • Báo chí
  1. Hà Nội Mới: http://hanoimoi.com.vn/Tin-tuc/Khoa-hoc/910333/vnpt-trang-bi-ky-nang-ve-an-toan-va-bao-mat-thong-tin-cho-sinh-vien
  2. Bưu điện/ictnews: http://ictnews.vn/cntt/bao-mat/sep-vnpt-dau-tu-manh-de-dam-bao-an-toan-thong-tin-cho-khach-hang-va-cho-quoc-gia-171285.ict
  3. Quân đội Nhân dân: http://www.qdnd.vn/khoa-hoc-cong-nghe/trong-nuoc/vnpt-phoi-hop-to-chuc-dien-dan-chuyen-sau-ve-an-toan-thong-tin-547100
  4. Pháp luật Việt Nam: http://baophapluat.vn/nhip-song-hom-nay/tap-huan-chuyen-sau-an-toan-thong-tin-cho-sinh-vien-407781.html
  5. Xã hội thông tin/VnMedia: http://xahoithongtin.com.vn/vien-thong-cntt/201808/vnpt-phoi-hop-to-chuc-dien-dan-chuyen-sau-ve-an-toan-thong-tin-612111/
  6. Báo Đầu tư: https://baodautu.vn/tap-huan-an-toan-thong-tin-cho-hang-tram-sinh-vien-d86500.html
  7. Báo Sài Gòn Giải phóng: http://www.sggp.org.vn/vnpt-tap-trung-cho-nguon-luc-an-toan-thong-tin-540108.html
  • Livestream chương trình diễn đàn tại:
  1. Talkshow: https://goo.gl/8JtD2v
  2. Demo giải pháp công nghệ: https://goo.gl/Z4ovmD

Trung tâm An toàn thông tin

 

 

[VNPT SecAthon] Chung kết cuộc thi An toàn thông tin dành cho sinh viên tại PTIT

photo_2018-05-21_13-57-03

Ngày 17/05/2018, chung kết cuộc thi đã được tổ chức thành công tại Học viện Công nghệ Bưu chính Viễn Thông với 40 đội đến từ 12 trường đại học trên cả nước. Kết quả chung cuộc 10 giải thưởng đã được trao cho các đội:

  • Giải nhất thuộc về đội đến từ trường Học Viện Kỹ Thuật Quân Sự
  • 02 giải nhì thuộc về các đội đến từ:
    • Đại Học Duy Tân Đà Nẵng
    • Đại Học Công Nghệ- Đại Học Quốc Gia Hà Nội
  • 03 giải ba thuộc về các đội đến từ:
    • Đại Học FPT;
    • Học Viện Bưu Chính Viễn Thông
    • Đại Học Bách Khoa TP. Hồ Chí Minh
  • 04 giải khuyến khích thuộc về các đội đến từ:
    • Đại Học Bách Khoa Hà Nội
    • Đại Học FPT (2 đội)
    • Đại Học Bách Khoa TP. Hồ Chí Minh

Cuộc thi nhận được sự quan tâm của các phương tiện báo chí như VTV, ictnews…

http://vtv.vn/truyen-hinh-truc-tuyen/vtv6/ban-tin-the-he-so-0.htm  (từ phút thứ 0:28 đến 0:41 và 4:07 đến 5:39)

http://ictnews.vn/cntt/bao-mat/sinh-vien-hoc-vien-ky-thuat-quan-su-doat-giai-nhat-cuoc-thi-vnpt-secathon-2018-167561.ict

http://www.xahoithongtin.com.vn/vien-thong-cntt/201805/vnpt-san-sang-ho-tro-cac-thi-sinh-tham-gia-cuoc-thi-an-toan-thong-tin-vnpt-secathon-2018-603253/

[VNPT SecAthon] Tập đoàn VNPT phát động Hội thi An toàn thông tin dành cho sinh viên tại PTIT

Hôm nay ngày 04/04/2018, Tập đoàn VNPT chính thức phát động Hội thi ATTT dành cho sinh viên năm 2018 tại Học viện Công nghệ Bưu Chính Viễn Thông.

anhQuocCuong

Hội thi ATTT – VNPT SecAthon 2018 được Tập đoàn VNPT phối hợp cùng Học viện Công nghệ Bưu chính Viễn thông, Cục An toàn thông tin – Bộ Thông tin và Truyền thông, Hiệp hội An toàn Thông tin tổ chức.

Hình thức thi đấu:

Mỗi đội gồm 03 thí sinh. Thi đấu được tổ chức tập trung trong thời gian 6 tiếng với hình thức thi CTF.  Nội dung thi sẽ tập trung vào các chủ đề:

  • Khai thác lỗi phần mềm (Pwnable);
  • Các kỹ thuật tấn công vào ứng dụng web;
  • Kỹ năng dịch ngược mã nguồn phần mềm, unpack (Reverse engineering)
  • Kỹ thuật phân tích, điều tra truy vết (Forensic)…

Về giải thưởng:

1. Giấy khen của Ban Tổ chức;
2. Phần thưởng bằng tiền mặt:
— Một (01) Giải Nhất trị giá 20 triệu đồng.
— Hai (02) Giải Nhì trị giá mỗi giải 10 triệu đồng.
— Ba (03) Giải Ba trị giá mỗi giải 5 triệu đồng.
— Năm (05) Giải Khuyến khích mỗi giải 1 triệu đồng.

Về cách thức đăng ký dự thi: 

Theo BTC, thí sinh đăng ký dự thi tải form đăng ký tại ĐÂY.

  1. Điền các thông tin vào form đăng ký.
    • Các sinh viên đăng ký theo nhóm 03 người.
    • Các thông tin phải chính xác (BTC sẽ kiểm tra lại thông tin để xác định tư cách tham dự của sinh viên).
  2. Gửi form đăng ký dự thi dưới dạng file Word + file ảnh chân dung cỡ 3×4 về địa chỉ secathon@vnpt.vn trước ngày 05/05/2018.
  3. Sinh viên xin xác nhận của nhà trường để đảm bảo sinh viên hiện đang theo học tại trường.
  4. Ngày 09/05/2018, cả 03 sinh viên đến tham gia buổi Xác nhận tư cách dự thi tại Trung tâm An toàn thông tin – Tập đoàn Bưu chính Viễn thông Việt Nam, 57 Huỳnh Thúc Kháng, Đống Đa, Hà Nội. Khi đi mang theo hồ sơ bao gồm:
    • 01 bản đăng ký (bao gồm thông tin các thành viên + xác nhận của nhà trường).
    • 01 ảnh 3×4 của mỗi sinh viên.
    • CMND/CCCD để xác minh.

lichtrinh01-1-768x387

Thông tin chi tiết được cập nhật liên tục tại website chính thức của hội thi: https://secathon.vnpt.vn/

Trung tâm An toàn thông tin 

 

[Hướng dẫn] Kiểm tra trình duyệt của người dùng có đang rò rỉ thông tin nhạy cảm của họ?

Trước đây TT ATTT đã đề cập đến vấn đề sử dụng tính năng AutoFill trên các browser có thế khiến người dùng bị lộ các thông tin nhạy cảm, khuyến cáo và hướng dẫn người dùng tắt tính năng AutoFill trên trình duyệt.

Mới đây, các nhà nghiên cứu đã tạo ra một demo page để người dùng có thể kiểm tra xem liệu trình duyệt mình đang sử dụng () có đang gây rò rỉ thông tin username/password của mình?

Video hướng dẫn kiểm tra

Khuyến cáo: Tắt tính năng AutoFill và xóa dữ liệu AutoFill đang được lưu trên trình duyệt.

    • Tắt tính năng AutoFill: Click Settings –> “Show advanced Settings” –> ở phần Passwords and Forms lựa chọn Off cho tính năng AutoFill.
    • Xóa dữ liệu AutoFill: Click More Tools –> “Clear Browser Data” –> “Advanced” –> Click “Autofill form data”.
    • Tắt tính năng AutoFill: Click Options–> “Private & Security” –> ở phần History Firefox will chọn “Use custom settings for history” –> uncheck “Remember search and form history”.
    • Xóa dữ liệu AutoFill: Options–> “Private & Security” –> ở phần History uncheck Clear History when Firefox closes  –> History Settings –> check “Form & Search History“.
    • Tắt tính năng AutoFill: Click Settings –> “Internet Options –> Content tab –> Settings AutoComplete –> uncheck “Forms and Searches
    • Xóa dữ liệu AutoFill: Click Settings –> “Internet Options –> Content tab –> Settings AutoComplete –> click Delete AutoComplete history button –> check Form data Passwords –> Delete.

[CSRF-phpMyAdmin] DROP table chỉ với single click

logo-og

Lỗ hổng C

Kẻ tấn công cố gắng lừa quản trị viên click vào một URL đã được tạo sẵn. Một khi URL được click, kẻ tấn công có thể thực hiện hàng loạt các hành vi độc hại như:

Dưới đây là video chứng minh cách kẻ tấn công lợi dụng lỗ hổng trên để DROP một table:

Khuyến nghị:

  • Quản trị viên được khuyến cáo update chương trình.
  • Không click vào các URL đáng ngờ.

 

Tính năng mới của Facebook giúp người dùng chống lại tấn công lừa đảo Phishing attack

Khi người dùng nhận được một mail gửi từ “Facebook”, sẽ có lúc người dùng tự hỏi liệu đây có thực sự là mail được gửi từ Facebook, hay là một hình thức giả mạo của kẻ tấn công nhằm đánh cắp tài khoản người dùng?

Capture

Facebook vừa công bố một tính năng mới giúp người dùng Facebook có thể phát hiện ra các cuộc tấn công lừa đảo (phishing attacks).

Phishing là một phương thức lừa đảo nhằm giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến và các công ty thẻ tín dụng để lừa người dùng chia sẻ thông tin  tài chính như: tên đăng nhập, mật khẩu giao dịch, những thông tin nhạy cảm khác.

Để kiểm tra, người dùng có thể sử dụng tính năng mới của Facebook như sau:

Settings -> “Security and Login” -> “See recent emails from Facebook”.

Facebook-new-settings

Capture

Người dùng có thể xác minh rằng email mà họ vừa nhận được có thực sự được gửi bởi Facebook hay không. Nếu email đó không xuất hiện trong danh sách này, thì đó là email lừa đảo.

Tính năng này sẽ liệt kê tất cả các địa chỉ email gần đây mà Facebook đã gửi. Kết quả cho thấy, Facebook đã thực sự gửi mail này cho người dùng.

Facebook cho rằng, mặc dù họ đã sử dụng miền facebookmail.com để gửi thông báo qua email trong nhiều năm, người dùng vẫn thường hay nhầm lẫn với các email mạo danh khác.

Facebook khuyến cáo người dùng Facebook như sau:

If you’ve checked this tool and determined that an email you received is fake, we encourage you to report it to phish@facebook.com, and if you believe your account has been compromised due to a phishing attempt, you may attempt to regain access to your account at: facebook.com/hacked.

Nếu người dùng sử dụng tính năng này và xác nhận rằng email đã nhận được là giả mạo thì hãy báo cáo thông qua phish@facebook.com và nếu người dùng xác nhận rằng tài khoản của mình đã bị phishing, người dùng có thể lấy lại tài khoản của mình tại: facebook.com/hacked.

Người dùng bị lợi dụng đào bitcoin do dính phải mã độc đang được phát tán chóng mặt thông qua Facebook Messenger

Gần đây, rất nhiều người dùng facebook nhận được tin nhắn như hình dưới:

Capture

Kẻ tấn công sử dụng kỹ thuật social engineering để lừa nạn nhân nhấp vào liên kết video được gửi từ một trong những người bạn trên Facebook của họ, tin nhắn có dạng: video_”4 số ngẫu nhiên”.zip thông qua Facebook Messenger.

Theo phân tích sơ bộ, mã độc được phát tán là W32.FBCoinMiner.Worm. Mục đích là chiếm quyền điều khiển máy tính nạn nhân, lợi dụng để đào bitcoin, khiến máy tính nạn nhân bị giật lag và thậm chí là không thể sử dụng được.

Phân tích hành vi của mã độc:

Khi nhấp vào, người dùng sẽ được chuyển hướng đến các trang web giả mạo tùy vào trình duyệt và hệ điều hành đang sử dụng.

Đối với Mozilla Firefox, người dùng sẽ được yêu cầu cập nhật Flash Player. Ngược lại, nếu đang sử dụng trình duyệt Chrome, người dùng sẽ được chuyển hướng đến một trang web có giao diện tương tự như YouTube, hiển thị thông báo giả mạo và lừa nạn nhân cài đặt thêm các tiện ích mở rộng độc hại từ Chrome Store.

Mã độc này sẽ chiếm quyền điều khiển của máy tính, đồng thời giúp kẻ tấn công thực hiện đào tiền ảo.

Sau đó mã độc sẽ tiếp tục thực hiện các hành vi:

  • B1: Gửi truy vấn POST tới https://www.facebook.com/v2.8/dialog/oauth/ để lấy Access Token
  • B2: Sử dụng Acccess Token tạo truy vấn GET tới https://graph.facebook.com/ để lấy danh sách bạn bè và trạng thái online
  • B3: Tạo truy vấn GET tới 13.65.88.161 để lấy file độc hại với định dạng video+4 số ngẫu nhiên
  • B4: Tạo truy vấn POST tới https://upload.facebook.com/ajax/mercury/upload.php để tải tập tin đính kèm lên server của Facebook. Lúc này Facebook sẽ trả về tham số file_id
  • B5: Tạo truy vấn POST tới https://www.facebook.com/messaging/send/ để gửi tin nhắn cho bạn bè theo ID người dùng của họ đồng thời trỏ tham số đính kèm là file_id tới giá trị nhận được từ bước 4
  • B6: Tạo truy vấn GET tới 13.65.88.161 với chuỗi truy vấn (query string) là ID người dùng hiện tại, ID người vừa nhận tin nhắn
  • B7: Lặp lại bước 5 và 6 cho tới khi hết danh sách bạn bè của người dùng hiện tại

Khuyến cáo:

  • Tuyệt đối không tải về và mở những tập tin lạ được gửi đến thông qua Facebook Messenger.
  • Nếu có lỡ click và tải về máy tập tin chứa mã độc thì người dùng chỉ cần xóa nó đi. Trong trường hợp người dùng đã tải về tập tin và mở ra xem, hãy nhanh chóng ngắt kết nối với internet và sử dụng một phần mềm diệt virus phiên bản mới nhất.
  • Ngay lập tức đổi mật khẩu cho tài khoản đăng nhập trên trình duyệt của mình nếu đã lỡ mở file nén đính kèm.

Ban chỉ đạo ATTT – VNPT VinaPhone

 

ROBOT attack – Phá vỡ hoàn toàn sự bảo mật của TLS khi sử dụng mã hóa RSA

Untitled

Tấn công ROBOT (Return of Bleichenbacher’s Oracle Threat) là một biến thể của cuộc tấn công trên giao thức mã hóa RSA, cho phép kẻ tấn công có thể giải mã các mã hóa RSA và các hoạt động mã hóa trên các máy chủ TLS ảnh hưởng.

1. Cuộc tấn công Bleichenbacher

Được nhà nghiên cứu Daniel Bleichenbacher phát hiện vào năm 1998, Bleichenbacher là một cuộc tấn công padding oracle trên chuẩn mật mã RSA phiên bản 1.5 (PKCS#1 v1.5) được sử dụng trong SSLv2, cho phép kẻ tấn công xác định được rằng: Thông điệp được giải mã có được padding chính xác hay không?

Thông tin này cuối cùng sẽ giúp kẻ tấn công giải mã các bản mã hóa RSA mà không cần khóa private key, làm phá vỡ hoàn toàn sự bảo mật của TLS khi sử dụng mã hóa RSA.

Vào năm 1998, Bleichenbacher đã đề xuất TLS nâng cấp lược đồ mã hóa, nhưng họ đã giữ lại các chế độ mã hóa bị ảnh hưởng và thêm vào một loạt các biện pháp đối phó phức tạp để ngăn chặn.

2. Cuộc tấn công ROBOT

Giờ đây, một nhóm các nhà nghiên cứu của đã phát hiện ra rằng các biện pháp đối phó này không đầy đủ, họ đã phát hiện ra 27 subdomain trong số 100 domain được xếp hạng bởi Alexa bao gồm Facebook, Paypal bị ảnh hưởng bởi tấn công ROBOT.

Cuộc tấn công ROBOT xuất phát từ lỗi thực thi được đề cập ở trên, nó ảnh hưởng đến các chế độ mật mã TLS sử dụng mã hóa RSA, cho phép kẻ tấn công ghi lại lưu lượng và sau đó giải mã.

Các nhà nghiên cứu cho biết: “Đối với các máy chủ sử dụng forward secrecy, nhưng vẫn hỗ trợ RSA key exchange thì rủi ro phụ thuộc vào tốc độ tấn công của kẻ tấn công”.

3. Khuyến nghị

Các nhà nghiên cứu của đã tạo ra một trang web giải thích toàn bộ cuộc tấn công, các biện pháp giảm thiểu ảnh hưởng, danh sách các nhà cung cấp bị ảnh hưởng bởi cuộc tấn công (bao gồm danh sách các nhà cung cấp đã và chưa phát hành bản vá)…

Tấn công ROBOT chỉ ảnh hưởng đến các chế độ mật mã TLS sử dụng mã hoá RSA. Hầu hết các kết nối TLS hiện nay sử dụng Elliptic Curve Diffie Hellman key exchange và chỉ sử dụng RSA để ký số. Do đó chỉ cần vô hiệu hóa các mã hóa RSA (các mã hóa bắt đầu với TLS_RSA).

Tuy nhiên, các quản trị viên vẫn nên kiểm tra các máy chủ, bằng cách kiểm tra trực tiếp tại trang web mà  đã công khai cuộc tấn công, hoặc sử dụng công cụ python để kiểm tra các máy chủ HTTPS có bị ảnh hưởng bởi cuộc tấn công này hay không.

The Hacker News

 

[Ransomware] File Spider – Mã độc tống tiền mới đang được phát tán qua Mail Spam

1.File Spider Ransomware – Mã độc tống tiền

Spam mail với chủ đề là “Potrazivanje dugovanja” (Thư thu nợ) đang phát tán một ransomeware mới có tên là File Spider.

spam-emailMột Spam mail chứa File Spider

 Một tài liệu Word document chứa macro độc hại được đính kèm trong spam mail này.

malicious-word-docWord document độc hại

Nếu người dùng click vào Enable Editing, macro độc hại được nhúng trong document này sẽ tải về các tệp tin cài đặt ransomware.

malicious-word-doc-macroMacro độc hại

Macro độc hại trong Word document có chứa một PowerShell script được mã hóa Base64. Khi macro được thực thi nó sẽ tải xuống tệp tin enc.exe và dec.exe đã được mã hóa XOR tại:

http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js
http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js

PowerShell script sau đó sẽ thực thi cả enc.exe và dec.exe theo lệnh sau:

“%AppData%\Roaming\Spider\enc.exe” spider ktn 100
“%AppData%\Roaming\Spider\dec.exe” spider

Lúc này File Spider sẽ bắt đầu mã hóa máy tính nạn nhân.

2. Cách File Spider mã hóa máy tính nạn nhân

Dec.exe là trình giải mã và là GUI của ransomware, nó sẽ lặng lẽ chạy nền cho đến khi trình enc.exe mã hóa xong các tập tin trong máy tính nạn nhân.

Trong khi enc.exe được thực thi, nó sẽ scan cục bộ trên máy tính nạn nhân và mã hóa bất kỳ tập tin nào có phần mở rộng phù hợp rồi mã hóa AES 128 bit. AES key sau đó sẽ được mã hóa RSA và lưu lại.

Khi scan, nó sẽ bỏ qua các tập tin ở các thư mục sau:

tmp
Videos
winnt
Application Data
Spider
PrefLogs
Program Files (x86)
Program Files
ProgramData
Temp
Recycle
System Volume Information
Boot
Windows

Khi các tập tin được mã hóa, nó sẽ lưu lại các tập tin gốc tại %UserProfile%\AppData\Roaming\Spider\files.txt và thêm phần mở rộng .spider phía sau. Ví dụ: một tập tin test.jpg sẽ được mã hóa và đổi tên thành test.jpg.spider.

encrypted-files

Các tập tin được mã hóa

Tại mỗi thư mục có các tập tin được mã hóa cũng sẽ bao gồm một tập tin có tên là HOW TO DECRYPT FILES.url, khi người dùng click vào sẽ mở ra một video hướng dẫn tại đường dẫn: https://vid.me/embedded/CGyDc?autoplay=1&stats=1 và một tập tin trên Desktop có tên là DECRYPTER.url.

Sau khi hoàn thành, enc.exe sẽ tạo một tập tin %UserProfile%\AppData\Roaming\Spider\5p1d3r và kết thúc. Khi tiến trình dec.exe xác nhận tập tin 5p1d3r được tạo ra, nó sẽ hiển thị GUI giải mã như dưới đây:

file-spider-start-page  file-spider-visit-sitefile-spider-victim-id-code  decrypter-page

Nạn nhân được yêu cầu truy cập đến trang thanh toán ẩn danh tại http://spiderwjzbmsmu7y.onion.
Khi người dùng đến trang ẩn danh đó, họ sẽ sử dụng ID được tìm thấy trong GUI giải mã để đăng nhập. Một khi login vào, họ sẽ thấy một trang hướng dẫn sử dụng .00726 bitcoins, khoảng $123.25 vào thời điểm bài viết này, để nhận được khóa giải mã khôi phục các tập tin mã hóa.
3. Cách bảo vệ khỏi File SPider Ransomware
– Luôn backup dữ liệu
– Sử dụng các phần mềm bảo mật kết hợp phát hiện hành vi độc hại chống lại ransomeware.
– Không mở các tập tin đính kèm mail mà không biết ai là người gửi chúng.
– Không mở các tập tin đính kèm mail cho đến khi thực sự xác nhận rằng người gửi đã gửi cho mình.
– Scan các tập đính kèm trước khi mở chúng ra, ví dụ sử dụng Virus Total.
– Cập nhật các bản Windows Update ngay khi xuất hiện và đảm bảo cập nhật các chương trình như Java, Flash, Adobe Reader…
– Sử dụng mật khẩu mạnh và không bao giờ sử dụng cùng một mật khẩu cho nhiều trang web.
– Sử dụng VPN để kết nối tới máy chủ từ xa.

Bleeping Computer

Phân tích chi tiết về mã độc:
http://www.sdkhere.com/2017/12/analysis-of-file-spider-ransomware.html

Danh sách phần mở rộng của các file mà là mục tiêu của File Spider:

lnk, url, contact, 1cd, dbf, dt, cf, cfu, mxl, epf, kdbx, erf, vrp, grs, geo, st, conf, pff, mft, efd, 3dm, 
3ds, rib, ma, sldasm, sldprt, max, blend, lwo, lws, m3d, mb, obj, x, x3d, movie, byu, c4d, fbx, dgn, dwg, 
4db, 4dl, 4mp, abs, accdb, accdc, accde, accdr, accdt, accdw, accft, adn, a3d, adp, aft, ahd, alf, ask, 
awdb, azz, bdb, bib, bnd, bok, btr, bak, backup, cdb, ckp, clkw, cma, crd, daconnections, dacpac, dad, 
dadiagrams, daf, daschema, db, db-shm, db-wal, db2, db3, dbc, dbk, dbs, dbt, dbv, dbx, dcb, dct, dcx, 
ddl, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dxl, eco, ecx, edb, emd, eql, fcd, fdb, fic, fid, 
fil, fm5, fmp, fmp12, fmpsl, fol, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, 
ihx, itdb, itw, jtx, kdb, lgc, maq, mdb, mdbhtml, mdf, mdn, mdt, mrg, mud, mwb, s3m, myd, ndf, ns2, 
ns3, ns4, nsf, nv2, nyf, oce, odb, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm, phm, pnz, pth, 
pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, sql, sqlite, sqlite3, sqlitedb, str, 
tcx, tdt, te, teacher, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, 
ppt, pptx, 1st, abw, act, aim, ans, apt, asc, ascii, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bna, 
boc, btd, bzabw, chart, chord, cnm, crwl, cyi, dca, dgs, diz, dne, doc, docm, docx, docxml, docz, dot, dotm, 
dotx, dsv, dvi, dx, eio, eit, email, emlx, epp, err, etf, etx, euc, fadein, faq, fb2, fbl, fcf, fdf, fdr, fds, 
fdt, fdx, fdxt, fes, fft, flr, fodt, fountain, gtp, frt, fwdn, fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht, 
hs, htc, hwp, hz, idx, iil, ipf, jarvis, jis, joe, jp1, jrtf, kes, klg, knt, kon, kwd, latex, lbt, lis, lit, 
lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lxfml, lyt, lyx, man, map, mbox, md5txt, me, mell, min, mnt, msg, 
mwp, nfo, njx, notes, now, nwctxt, nzb, ocr, odm, odo, odt, ofl, oft, openbsd, ort, ott, p7s, pages, pfs, pfx, 
pjt, plantuml, prt, psw, pu, pvj, pvm, pwi, pwr, qdl, rad, readme, rft, ris, rng, rpt, rst, rt, rtd, rtf, rtx, 
run, rzk, rzn, saf, safetext, sam, scc, scm, scriv, scrivx, sct, scw, sdm, sdoc, sdw, sgm, sig, skcard, sla, 
slagz, sls, smf, sms, ssa, strings, stw, sty, sub, sxg, sxw, tab, tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc, 
trelby, tvj, txt, u3d, u3i, unauth, unx, uof, uot, upd, utf8, unity, utxt, vct, vnt, vw, wbk, wcf, webdoc, wgz, 
wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xbdoc, xbplate, xdl, xlf, 
xps, xwp, xy3, xyp, xyw, ybk, yml, zabw, zw, 2bp, 036, 3fr, 0411, 73i, 8xi, 9png, abm, afx, agif, agp, aic, 
albm, apd, apm, apng, aps, apx, art, artwork, arw, asw, avatar, bay, blkrt, bm2, bmp, bmx, bmz, brk, brn, brt, 
bss, bti, c4, cal, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, 
dds, dgt, dib, dicom, djv, djvu, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dvl, ecw, eip, exr, fal, fax, fpos, 
fpx, g3, gcdp, gfb, gfie, ggr, gif, gih, gim, gmbck, gmspr, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, 
icon, icpr, iiq, info, int, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jng, jp2, 
jpe, jpeg, jpg, jpg2, jps, jpx, jtf, jwl, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, 
mpo, mrxs, myl, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, ai, asy, cdmm, cdmt, cdmtz, cdmz, 
cdt, cgm, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, design, dhs, dpp, drw, dxb, dxf, egc, emf, 
ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, 
gdraw, gem, glox, hpg, hpgl, hpl, idea, igt, igx, imd, vbox, vdi, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, 
mmat, mat, otg, ovp, ovr, pcs, pfd, pfv, pl, plt, pm, vrml, pmg, pobj, ps, psid, rdl, scv, sk1, sk2, slddrt, 
snagitstamps, snagstyles, ssk, stn, svf, svg, svgz, sxd, tlc, tne, ufr, vbr, vec, vml, vsd, vsdm, vsdx, vstm, 
stm, vstx, wmf, wpg, vsm, vault, xar, xmind, xmmap, yal, orf, ota, oti, ozb, ozj, ozt, pal, pano, pap, pbm, pc1, 
pc2, pc3, pcd, pcx, pdd, pdn, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, png, pni, 
pnm, pntg, pop, pp4, pp5, ppm, prw, psd, psdx, pse, psp, pspbrush, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, 
z3d, qmg, ras, rcu, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rwl, s2mv, sai, sci, sep, 
sfc, sfera, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, ste, sumo, sva, save, ssfn, t2b, tb0, tbn, 
tfc, tg4, thm, thumb, tif, tiff, tjp, tm2, tn, tpi, ufo, uga, usertile-ms, vda, vff, vpe, vst, wb1, wbc, wbd, 
wbm, wbmp, wbz, wdp, webp, wpb, wpe, wvl, x3f, y, ysp, zif, cdr4, cdr6, cdrw, pdf, pbd, pbl, ddoc, css, pptm, 
raw, cpt, tga, xpm, ani, flc, fb3, fli, mng, smil, mobi, swf, html, xls, xlsx, csv, xlsm, ods, xhtm, 7z, m2, rb, 
rar, wmo, mcmeta, m4a, itm, vfs0, indd, sb, mpqge, fos, p7c, wmv, mcgame, db0, p7b, vdf, DayZProfile, p12, 
d3dbsp, ztmp, rofl, sc2save, sis, hkx, pem, dbfv, sie, sid, bar, crt, sum, ncf, upk, cer, wb2, ibank, menu, das, 
der, t13, layout, t12, dmp, litemod, dxg, qdf, blob, asset, xf, esm, forge, tax, 001, r3d, pst, pkpass, vtf, bsa,
 bc6, dazip, apk, bc7, fpk, re4, bkp, mlx, sav, raf, qic, kf, lbf, bkf, iwd, slm, xlk, sidn, vpk, bik, mrwref,
 xlsb, sidd, tor, epk, mddata, psk, rgss3a, itl, rim, pak, w3x, big, icxs, fsh, unity3d, hvpl, ntl, wotreplay,
 crw, hplg, arch00, xxx, hkdb, lvl, desc, mdbackup, snx, py, srf, odc, syncdb, cfr, m3u, gho, ff, odp, cas, 
vpp_pc, js, dng, lrf, c, cpp, cs, h, bat, ps1, php, asp, java, jar, class, aaf, aep, aepx, plb, prel, prproj,
 aet, ppj, indl, indt, indb, inx, idml, pmd, xqx, fla, as3, as, docb, xlt, xlm, xltx, xltm, xla, xlam, xll, 
xlw, pot, pps, potx, potm, ppam, ppsx, ppsm, sldx, sldm, aif, iff, m4u, mid, mpa, ra, 3gp, 3g2, asf, asx, vob,
 m3u8, mkv, dat, efx, vcf, xml, ses, zip, 7zip, mp4, 3gp, webm, wmv

[Hướng dẫn] Kiểm tra laptop HP có đang bị Synaptics Keylogger và cách loại bỏ chúng

Một trong những sự kiện an toàn bảo mật đáng nói trong tuần qua có thể kể tới vụ việc Keylogger được tìm thấy trên hơn 460 dòng laptop HP.

 

Chuyên gia bảo mật có nickname là ZwClose đã công bố phát hiện của mình về Keylogger được cài đặt trên rất nhiều các dòng laptop HP cho phép kẻ tấn công thu thập dữ liệu từ bàn phím, và ăn cắp các dữ liệu nhạy cảm như mật khẩu, tài khoản ngân hàng, thẻ tín dụng,… Keylogger được xác nhận là được nhúng trong tập tin SynTP.sys, là một phần của driver Synaptics Touchpad được cài sẵn trong các sản phẩm HP notebook.

Dưới đây là một cách để kiểm tra xem liệu máy tính HP của người dùng có bị Synaptics Keylogger không và cách để loại bỏ nó.
Để kiểm tra driver có bị ảnh hưởng hay không, đi đến thư mục C:\Windows\System32\drivers và xem thông tin của SynTP.sys Properties.
syntp_sys-properties
Nếu giá trị Product version là 19.3.11.37Aug16, thì driver đã cài đặt có chứa tính năng keylogger/debug trace. Do đó, người dùng cần phải cập nhật driver mới nhất của HP đã được phát hành ngày 7-12-2017.

hpkeylogger

Hoặc ngay cả khi phiên bản mà người dùng đang sử dụng không phải là 19.3.11.37Aug16 thì người dùng vẫn nên cập nhật bởi có thể các phiên bản khác cũng bị ảnh hưởng.

Một khi update, phiên bản SynTP.sys driver mới sẽ không chứa tính năng keylogger và debug trace.

bleepingcomputer

Process Doppelgänging – hoạt động trên tất cả các phiên bản Windows và bypass các antivirus

Một kỹ thuật mới – Process Doppelgänging – có thể bypass hầu hết các chương trình antivirus và các công cụ điều tra số hiện nay

Mimikatz-malware-hacking
Các nhà nghiên cứu bảo mật của Ensilo, Tal Liberman và Eugene Kogan, đã phát hiện ra cuộc tấn công Process Doppelgänging và trình bày những phát hiện của họ tại Black Hat 2017 Security London.

1. Process Doppelgänging

Process Doppelgänging là một kỹ thuật fileless attack mới ảnh hưởng đến tất cả các phiên bản của hệ điều hành Microsoft Windows, bắt đầu từ Windows Vista đến phiên bản mới nhất của Windows 10.

Theo Tal Liberman, kỹ thuật này tương tự như kỹ thuật Process Hollowing.

  • Theo kỹ thuật Process Hollowing, kẻ tấn công sẽ thay thế bộ nhớ của một tiến trình hợp pháp bằng mã độc hại, và thực thi tiến trình được thay thế này thay vì tiến trình ban đầu. Mục đích để lừa các chương trình giám sát và antivirus để tin tưởng rằng tiến trình gốc đang được thực thi.
  • Vì tất cả các chương trình antivirus và sản phẩm bảo mật hiện nay đã được nâng cấp để phát hiện các cuộc tấn công Process Hollowing nên việc sử dụng kỹ thuật này không phải là một ý tưởng tuyệt vời nữa.

Mặt khác, Process Doppelgänging có một cách tiếp cận hoàn toàn khác bằng cách lạm dụng:

  • Windows NTFS Transaction (một tính năng của Windows, cho phép tạo ra, chỉnh sửa, đổi tên và xóa nguyên bản các tập tin và thư mục)
  • Windows process loader cũ (process loader ban đầu được thiết kế cho Windows XP, nhưng được sử dụng trên tất cả các phiên bản Windows mới hơn)

2. Cách hoạt động của Doppelgänging Attack

Theo các nhà bảo mật, Process Doppelgänging là một kỹ thuật tấn công fileless attack và hoạt động theo bốn bước chính như sau:

  1. Transact – quá trình thực thi hợp pháp bên trong NTFS Transaction và sau đó ghi đè lên với một tập tin độc hại.
  2. Load – tạo một phần bộ nhớ từ tập tin đã được sửa đổi (độc hại và không bao giờ lưu vào đĩa).
  3. Rollback – rollback transaction, để loại bỏ tất cả những thay đổi trong các thực thi hợp pháp (khiến nó giống như không tồn tại).
  4. Animate – Sử dụng Windows process loader cũ và phần bộ nhớ được tạo ra trước đó (trong bước 2) để tạo ra một tiến trình (làm cho nó trở nên vô hình đối với hầu hết các công cụ ghi log như EDR).

3. Doppelgänging Attack bypass được hầu hết Antivirus

malware-evasion-technique

Liberman nói rằng họ đã thử nghiệm tấn công đối với các sản phẩm bảo mật như Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda và thậm chí cả các công cụ điều tra số.

4. Process Doppelgänging hoạt động trên tất cả các phiên bản Windows

Process Doppelgänging hoạt động trên cả phiên bản mới nhất của Windows 10, trừ Windows Update Redstone và Fall Creators Update, được phát hành đầu năm nay. Nhưng do một lỗi khác trong Windows 10 Redstone và Fall Creators Update, sử dụng Process Doppelgänging gây ra lỗi BSOD (màn hình xanh chết chóc), làm treo máy tính của người dùng.

Trớ trêu thay, các bản vá bởi Microsoft trong các bản cập nhật sau này, cho phép Process Doppelgänging có ảnh hưởng trên cả các phiên bản mới nhất của Windows 10.

5. Khuyến nghị

  • Chờ đợi các công ty antivirus nâng cấp sản phẩm của họ để phát hiện chương trình độc hại này và hãy cập nhật ngay khi có thể.
  • Nếu người dùng đang không dùng bản update mới nhất của Microsoft (November 30, 2017—KB4051963 (OS Build 16299.98)) thì hãy khoan update, nên chờ bản vá của Microsoft cho lỗ hổng này và update sau đó.

Theo: The Hacker News

[Hướng dẫn] Lập trình an toàn ứng dụng web

web-application-security-600-2x

Ở bài viết trước, TT ATTT đã đưa ra một số đầu mục cần có trong checklist kiểm thử bảo mật của mỗi quản trị viên hệ thống nhằm đảm bảo an toàn cho hệ thống CNTT nói chung. Và trong bài viết này sẽ đưa ra một số đầu mục cần chú ý dành cho các lập trình viên nói riêng khi lập trình các website, để mỗi website được tạo ra đều đảm bảo an toàn chống lại được các cuộc tấn công của hacker.

1. Cập nhật thư viện (Lib) bản vá cho web Framework

  • Nguy cơ: Các ứng dụng web thường được phát triển bằng các framework (Struts, ADempiere, ZK…), các thư viện trong các framework version cũ có nhiều lỗ hổng về ATTT đã được public, kẻ tấn công có thể lợi dụng để khai thác tấn công hệ thống (VD: lỗ hổng Struts2 Remote Command Execution…).
  • Khắc phục: Thực hiện cập nhật các thư viện mới nhất, cập nhật bản vá bảo mật cho các thư viện, framework được sử dụng

2. Kiểm soát các truy vấn cơ sở dữ liệu để tránh tấn công SQL Injection

  • Nguy cơ: Khi truy vấn tới cơ sử dữ liệu, lập trình viên thường sử dụng cách cộng xâu Input từ người dùng, các câu truy vấn này có thể bị mắc lỗi SQL Injection hoặc HQL Injection (nếu sử dụng Hibernate). Bằng việc lợi dụng các lỗi này, kẻ tấn công có thể xem, thêm, sửa, xóa dữ liệu trong database từ đó chiếm được tài khoản admin, lấy cắp thông tin người dùng…
  • Khắc phục:
    • Truy vấn SQL phải dùng PrepareStatement, tất cả tham số phải được add bằng hàm (setParam..), không được xử dụng cách cộng xâu trong truy vấn.
    • Với một số trường hợp sử dụng ORDER BY không thể dùng được hàm setParam thì có thể định nghĩa một mảng chứa toàn bộ các column (field) cần ORDER BY gọi là whitelist. Mỗi khi cần ORDER BY thì kiểm tra lại xem column (field) đó có thuộc mảng whitelist đã định nghĩa không.

3. Xử lý dữ liệu đầu vào để tránh lỗ hổng XSS

  • Nguy cơ: Kết quả server trả về cho người dùng chủ yếu dưới dạng HTML. Nội dung trả về thường bao gồm cả những giá trị mà người dùng nhập vào hệ thống có thể bị mắc lỗi XSS nếu không kiểm soát dữ liệu đầu vào.
  • Khắc phục: Encode dưới dạng HTML các ký tự đặc biệt do client gửi đến bao gồm: <, >, &, ’, ”, / trong các trường hợp:
    • Dữ liệu client gửi lên máy chủ
    • Dữ liệu lấy ra từ database khi trả về cho client

4. Sử dụng Token để tránh lỗ hổng CSRF

  • Nguy cơ: CSRF(Cross – site request forgery) là phương pháp mượn quyền của người dùng khác để thực hiện một hành động không cho phép. Ví dụ: Để có thể xóa một bài viết trên diễn đàn một member có thể mượn tay của một admin để làm việc đó vì member không đủ đặc quyền nhưng admin thì có.Kẻ tấn công lừa admin truy cập vào trang web có chứa đoạn mã xóa bài viết trên diễn đàn (Admin đang đăng nhập vào diễn đàn) như vậy admin đã gửi yêu cầu xóa bài viết trên diễn đàn mà không hề biết.
  • Khắc phục: Đối với các yêu cầu gây ảnh hưởng tới dữ liệu, quá trình hoạt động và có khả năng làm mất an toàn thông tin của hệ thống. VD: yêu cầu đọc, ghi, sửa, xóa thông tin, dữ liệu hệ thống phải sử dụng thêm token. Trên server sẽ kiểm tra token trong yêu cầu gửi lên từ client, nếu token không hợp lệ thì yêu cầu sẽ không được thực hiện.

5. Kiểm soát file trên hệ thống

  • Nguy cơ: Các thao tác với file thường sử dụng tên file, đường dẫn file được gửi lên từ client, nếu ứng dụng không kiểm soát tốt các giá trị này (việc kiểm soát phải được thực hiện phía server) có thể dẫn đến việc download hoặc upload các file không hợp lệ.
  • Khắc phục: Kiểm soát tên file, đường dẫn file được gửi lên từ client, phần mở rộng của file (chỉ cho phép thực hiện với các file có định dạng theo yêu cầu). Không bắt buộc phải kiểm tra nội dung file.
    • Các hàm liên quan đọc ghi file, biến đường dẫn file phải được lọc /, \và kí tự null.
    • Phần file name ban đầu người dùng upload lên server phải bỏ đi, dùng 1 chuỗi mới ngẫu nhiên thay thế cho tên file. Tên này được sinh ra ngẫu nhiên không được dùng các thuật toán md5, sha256… Thay vào đó có thể sử dụng các hàm sinh chuỗi ngẫu nhiên có sẵn trong ngôn ngữ lập trình để sinh ra tên file.

6. Mã hóa dữ liệu nhạy cảm

  • Nguy cơ: Khi hệ thống bị tấn công và kẻ tấn công lấy được thông tin trong cơ sở dữ liệu, các dữ liệu nhạy cảm sẽ bị lộ nếu không được mã hóa hoặc mã hóa không an toàn. Note: Các thông tin sau được cho là nhạy cảm: Thông tin về tài khoản/mật khẩu, thẻ ngân hàng, thông tin về tiền…
  • Khắc phục: Mã hóa các dữ liệu nhạy cảm trong cơ sở dữ liệu. Các hàm mã hóa 1 chiều phải có thêm salt. Chú ý: salt phải đảm bảo tính ngẫu nhiên. Salt được sinh ngẫu nhiên cho từng user, và được lưu trong CSDL

7. Kiểm tra quyền truy cập người dùng

  • Nguy cơ: Trong các hệ thống có phân quyền, mỗi người dùng chỉ được phép truy cập các chức năng, các dữ liệu mà mình được phép. Tuy nhiên, nếu việc kiểm tra quyền không được kiểm soát tốt thì người dùng có thể truy cập được các chức năng, các dữ liệu không được quyền.
  • Khắc phục: Kiểm tra quyền trong từng request gửi lên server.Việc kiểm tra quyền gồm 2 nội dung kiểm tra là:
    • Người dùng có được phép thực thi chức năng theo request hay không?
    • Nếu người dùng được phép thực thi chức năng thì kiểm tra tiếp người dùng có được phép thao tác chức năng đó trên dữ liệu trong request hay không?

8. User enumeration

  • Nguy cơ: Trường hợp thông báo lỗi trên trang đăng nhập phân biệt giữa nhập sai tên đăng nhập và sai mật khẩu -> Dựa vào đó hacker có thể thử và tìm ra các user có trên hệ thống. Với các chức năng phải thông báo tên user nhập vào là đúng hay sai như các chức năng reset password, forgot password, chức năng đăng ký thì hacker có thể thử và tìm ra các user có trên hệ thống.
  • Khắc phục: Sử dụng chung thông báo lỗi cho cả 2 trường hợp nhập sai tên đăng nhập và mật khẩu trên trang đăng nhập vào hệ thống. Sử dụng captcha cho các chức năng đăng ký, reset, forgot mật khẩu để tránh các công cụ tự động khai thác lỗi user enumeration.

9. Session fixation

  • Nguy cơ: Kỹ thuật tấn công cho phép hacker mạo danh người dùng hợp lệ bằng cách gửi một session ID hợp lệ đến người dùng, sau khi người dùng đăng nhập vào hệ thống thành công, hacker sẽ dùng lại session ID đó và nghiễm nhiêm trở thành người dùng hợp lệ.
  • Khắc phục:
    • Biện pháp 1: Chống việc đăng nhập với một session ID có sẵn: Ứng dụng phải hủy bỏ session ID được cung cấp bởi trình duyệt của người dùng khi đăng nhập và luôn tạo một session ID mới khi người dùng đăng nhập thành công.
    • Biện pháp 2: Giới hạn phạm vi ứng dụng của session ID.
      • Kết hợp session ID với địa chỉ của trình duyệt. Chú ý trường hợp mạng client có sử dụng NAT để truy cập vào server ứng dụng sẽ không dùng được phương pháp này.
      • Xóa bỏ session ID khi người dùng thoát khỏi hệ thống hay hết hiệu lực, có thể thực hiện trên trình máy chủ.
      • Thiết lập thời gian hết hiệu lực cho session, tránh trường hợp hacker có thể duy trì session và sử dụng nó lâu dài.

10. Sử dụng cookie an toàn

  • Nguy cơ: Khi người dùng không thiết lập thuộc tính “HTTPOnly” cho session cookie, hacker có thể sử dụng mã javascript để đánh cắp session cookie của người dùng.
  • Khắc phục: Yêu cầu thiết lập thuộc tính “HTTP Only” cho session cookie.

11. Chuyển hướng và chuyển tiếp thiếu thẩm tra (Unvalidated Redirects and Forwards)

  • Nguy cơ: Hacker có thể lừa người dùng chuyển hướng đến URI có nhiễm mã độc để cài phần mềm độc hại, hoặc lừa nạn nhân khai báo mật khẩu, hoặc những thông tin nhạy cảm khác. Ví dụ:  http://www.example.com/redirect.jsp?url=evil.com , ở đây evil.com chính là trang hacker muốn lừa người dùng chuyển đến.
  • Khắc phục:
    • Hạn chế sử dụng việc chuyển hướng và chuyển tiếp đến URI khác.
    • Nếu sử dụng thì nên hạn chế truyền tham số là trang sẽ chuyển hướng đến, mà nên thiết lập trang mặc định sẽ được tham chiếu đến.
    • Nếu yêu cầu bắt buộc phải truyền tham số trang redirect thì tham số cần phải được kiểm tra tính hợp lệ của nó thông qua whitelist các trang hợp lệ.

12. Để lộ dữ liệu của hệ thống

  • Nguy cơ: Trên hệ thống thường tồn tại các chức năng cho phép kết xuất dữ liệu truy vấn, kết quả cho ra file dưới dạng các file excel, tuy nhiên chức năng này có các lỗi sau có thể làm lộ dữ liệu của hệ thống:
    • File excel được lưu trữ trong thư mục con của thư mục ứng dụng.
    • File excel sau khi được người dùng tải về không được xóa.
    • Cho phép truy cập trực tiếp vào các file excel này mà không qua xác thực.
    • Ví dụ: Những đường link sau sẽ cho phép tải một file excel mà hệ thống đã xuất ra trước đó về mà không cần qua các bước xác thực: http://victim.com:8080/ams/share/report_out/expDMHangHoa20121022090909.xls
  • Khắc phục: Các dữ liệu này lưu trong thư mục bên ngoài thư mục cài đặt web server, việc thực hiện download các dữ liệu này phải qua bước xác thực và tham số phải mã hóa.

13. Thất thoát thông tin do kiểm soát lỗi và ngoại lệ không tốt

  • Nguy cơ: Các ứng dụng hiển thị chi tiết và quá nhiều thông tin lỗi khi xử lý, các thông tin này rất có ích cho hacker. Hacker có thể dựa vào các thông tin này để đoán biết hệ thống cũng như tiếp cận, khai thác lỗ hổng ứng dụng.
  • Khắc phục: Yêu cầu tất cả các ngoại lệ đều phải được xử lý, và được lưu vào trong hệ thống log để được xử lý sau này. Hạn chế hiện thị chi tiết miêu tả lỗi ra phía người dùng cuối, chỉ nên thông báo lỗi đơn giản nhất có thể.

14. Sử dụng captcha an toàn

  • Nguy cơ: Với các chức năng quan trọng, hacker có thể sử dụng công cụ tự động cố gắng thực thi chức năng đó nhiều lần với các tham số khác nhau cho đến khi đạt được ý đồ của hacker.
  • Khắc phục: Sử dụng captcha an toàn và việc kiểm tra captcha của 1 chức năng phải thực hiện trước khi phần chính của chức năng thực thi. Captcha có thể không sử dụng ngay khi thực hiện chức năng mà kích hoạt sau khi có dấu hiệu nghi ngờ có tác động do công cụ tự động. Ví dụ như: Chức năng đăng nhập thực hiện thất bại 5 lần liên tiếp, có khả năng bị bruteforce mật khẩu, lúc đó hệ thống sẽ yêu cầu người dùng cần nhập captcha.

15. File inclusion (Dành cho dự án dùng ngôn ngữ PHP)

  • Nguy cơ: Khi lập trình PHP, có thể từ file hiện tại gọi đến file khác thông qua các lệnh như include, require, require_once, include_once. Từ đó dẫn đến nguy cơ nếu không kiểm soát tốt file được gọi đến thì hacker có thể chuyển hướng lời gọi đến các file chứa lệnh độc hại, khi đó ứng dụng sẽ gọi đến và chạy các lệnh hacker mong muốn. Hoặc hacker có thể lợi dụng để đọc các file bất kỳ của ứng dụng.
  • Khắc phục: Thiết lập websever an toàn bằng cách phân quyền cho các thư mục hợp lý, tránh ứng dụng có thể truy cập vào các file không cần thiết.
    • Không cho phép include remote file nếu không cần thiết bằng cách thiết lập cấu hình trong file php.ini như sau: allow_url_fopen=Off
    • Hạn chế cho phép người dùng điều khiển file include. Nếu phải thực hiện thì sử dụng đường dẫn tuyệt đối khi include file, nên có whitelist chứa danh sách các file được phép include.

16. Command injection

  • Nguy cơ: Khi ứng dụng cho phép người dùng đưa dữ liệu vào các câu lệnh thực thi trên hệ điều hành, hacker có thể lợi dụng để chèn các ký tự đặc biệt cho phép nối, thực thi nhiều câu lệnh khác của hệ điều hành.
  • Khắc phụcValidate chặt chẽ dữ liệu người dùng gửi vào, tránh các ký tự cho phép nối thêm các câu lệnh thực thi của hệ điều hành. Sử dụng whitelist là danh sách chứa các ký tự được phép xuất hiện trong dữ liệu, để so sánh, đối chiếu loại bỏ các ký tự không nằm trong danh sách đó.

17. Xml/Xpath injection

  • Nguy cơ: Khi dữ liệu từ người dùng đưa vào để phân tích, xử lý xml có nguy cơ bị hacker đưa vào các dữ liệu có chứa các thẻ xml gây ra mất tính đúng đắn của dữ liệu. Khi dùng xpath để thao tác dữ liệu xml, lập trình viên thường sử dụng cách cộng xâu Input từ người dùng, các câu truy vấn này có thể bị mắc lỗi Xpath Injection, bằng việc lợi dụng lỗi này, kẻ tấn công có thể xem, thêm, sửa, xóa dữ liệu trong file xml, từ đó chiếm được thông tin người dùng, ứng dụng, …
  • Khắc phục:
    • Escape hoặc encode XML dữ liệu trước khi đưa vào file dữ liệu dạng XML, để tránh hacker có thể chèn dữ liệu có chứa thẻ xml gây ra sai lệch dữ liệu trong file xml.
    • Dữ liệu input từ người dùng phải được tham số hóa trước khi đưa vào thư viện xử lý Xpath.

18. Các lỗi liên quan đến luồng xử lý nghiệp vụ

  • Nguy cơ: Khi lập trình viên không xử lý đúng luồng nghiệp vụ của ứng dụng, xử lý sai về logic, có thể gây ra các lỗi mà kẻ tấn công có thể lợi dụng khái thác, tấn công chiếm quyền điều khiển ứng dụng. Ví dụ: khi xử lý sai luồng nghiệp vụ logic, kẻ tấn công có thể lợi dụng tấn công (spam SMS, viết chương trình tự động đăng ký dịch vụ, tài khoản…)
  • Khắc phục: Lập trình viên khi xây dựng, phát triển ứng dụng cần lắm rõ luồng nghiệp vụ, logic của ứng dụng, xử lý các trường hợp mà kẻ tấn công có thể lợi dụng thực hiện viết chương trình tự động để thực hiện.

 

VNPT Software

[Giải pháp WPA2] Hạn chế ảnh hưởng bởi tấn công KRACK với người dùng cuối

Capture

Vài ngày trước, Trung tâm An toàn thông tin đã cảnh báo người dùng về lỗ hổng bảo mật mới nhất ảnh hưởng đến hàng loạt các hệ thống Wifi sử dụng giao thức WPA2 của các hãng sản xuất lớn như Google, Arch Linux, Cisco,…

Lỗ hổng đã được nhà nghiên cứu bảo mật Mathy Vanhoef của imec-DistriNet, KU Leuven phát hiện ra. PoC của lỗ hổng được đăng trên: https://www.krackattacks.com/

Với ảnh hưởng lớn như vậy của lỗ hổng, một số khuyến cáo mà người dùng cần áp dụng để tự bảo vệ mình như sau:

  1. Cập nhật tất cả các thiết bị không dây mà người dùng hiện sở hữu: Cần cập nhật tất cả thiết bị: Router, Wifi, các thiết bị sử dụng Wifi (máy tính xách tay, điện thoại, máy tính bảng …) bằng các bản vá bảo mật mới nhất. Và bật chế độ tự động cập nhật các bản update mới nhất trong tương lai.
    firmware-update2-1030x379
  2. Update firmware cho router: Thông tin về các dòng sản phẩm của các hãng sản xuất bị ảnh hưởng được CERT thu thập tại: https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4 (hiện xác định 44 hãng bị ảnh hưởng)
  3. Sử dụng mạng dây
    Ehternet-cable-Jill-Ferry-Photography-Getty--57c54ccd3df78cc16e5243b1
  4. Sử dụng dữ liệu di động trên điện thoại di động
    turn-off-cellular-data-iphone-610x421
  5. Sử dụng HTTPS Everywhere extension cho trình duyệt: Nếu người dùng đang sử dụng Google Chrome, Firefox hoặc Opera, hãy sử dụng tiện ích này.
    Capture

[Cảnh báo] Lỗ hổng trên các hệ thống Wifi sử dụng WPA & WPA2

PoC của lỗ hổng: https://www.krackattacks.com/

Capture

Bằng cách tận dụng lỗ hổng trong 4-way handshake của giao thức WPA, thông qua Key Reinstallation attacks (KRACK), các kết nối mạng không dây có thể bị giải mã hay thay đổi dữ liệu.

  • Lỗ hổng nằm trong chuẩn của WPA, do vậy, hầu như tất cả các sản phẩm từ máy trạm, thiết bị IoT, cho đến AP nếu hỗ trợ kết nối không dây chuẩn WPA2 đều bị ảnh hưởng.
  • Giao thức WPA1 và WPA2, cá nhân hay doanh nghiệp (WPA-Personal/Enterprise), dùng WPA-TKIP, AES-CCMP hay GCMP đều bị ảnh hưởng bởi dạng tấn công này (Giao thức AES-CCMP khó khai thác hơn WPA-TKIP & GCMP).
  • Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, và các loại thiết bị không dây khác đều có thể bị ảnh hưởng.
  • Android & Linux với wpa_supplicant 2.4 trở lên do cơ chế xóa encryption-key về zero sau khi khởi tạo khiến cho các thiết bị trở nên rất dễ dàng bị khai thác bởi dạng tấn công này. 
  • Tấn công này chủ yếu nhắm đến các client. Các lỗ hổng này có thể được vá ở phía các client (trong khi các client vẫn có thể kết nối đến các Access Point chưa được vá lỗi). Do đó người dùng hãy theo dõi bản vá từ các hãng để cập nhật thiết bị của mình (OpenBSD, Linux đã có bản vá).

Việc tấn công thiết bị dùng Windows 7, Windows 10, iOS cũng không dễ thực hiện. Cần vá hết thiết bị Android với IoT hỗ trợ wifi.

Khuyến nghị: Cập nhật các bản vá lỗi, update sớm nhất có thể.

Video demo khai thác:

Danh sách các mã lỗi CVEs:
CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Apache Tomcat phát hành phiên bản khắc phục lỗ hổng RCE (CVE-2017-12617)

apache-tomcat-rce-exploit

Apache Tomcat là một Java Servlet được phát triển bởi Apache Software Foundation (ASF). Tomcat thực thi các ứng dụng Java Servlet và JavaServer Pages (JSP) từ Sun Microsystems, và cung cấp một máy chủ HTTP cho ngôn ngữ Java thuần túy.

Lỗ hổng RCE (CVE-2017-12617) được phát hiện trong Apache Tomcat là do phần mềm không thẩm định đầy đủ những thông tin mà người dùng nhập vào.

Các phiên bản Tomcat trước 9.0.1 (Beta), 8.5.23, 8.0.47 và 7.0.82 bị ảnh hưởng bởi lỗ hổng này nếu:

  • Default servlet thiết lập tham số readonlyfalse + kẻ tấn công có thể thực hiện HTTP PUT request lên server
  • WebDAV servlet được kích hoạt với tham số readonlyfalse + kẻ tấn công có thể thực hiện HTTP PUT request lên server

Để khai thác lỗ hổng này, kẻ tấn công cần phải upload một file JSP độc hại lên server chứa phiên bản Apache Tomcat bị ảnh hưởng, và khi kẻ tấn công request đến file JSP độc hại đó thì mã code được chứa trong file JSP sẽ thực thi nhiệm vụ ngay lập tức.

apache-tomcat-remote-code-execution-exploit

apache-tomcat-rce

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Apache Tomcat:

  • 9.0.0.M1 đến 9.0.0,
  • 8.5.0 đến 8.5.22,
  • 8.0.0.RC1 đến 8.0.46
  • 7.0.0 đến 7.0.81.

Hiện nhà phát triển Apache Tomcat đã phát hành phiên bản 9.0.1 (Beta), 8.5.23, 8.0.47 và 7.0.82 khắc phục lỗ hổng này.

Ngoài ra, phiên bản 7.0.81 đã khắc phục lỗ hổng CVE-2017-12615 Tomcat 7 trên Windows.

Khuyến nghị các quản trị viên update các phiên bản càng sớm càng tốt, kiểm soát truy cập người dùng cũng như giám sát các hệ thống bị ảnh hưởng.

Theo: THN

Qualys xác nhận lỗ hổng CVE-2017-1000253 từ 2 năm trước hiện leo thang đặc quyền trên tất cả các phiên bản Linux

linux-kernel-hacking

Lỗ hổng CVE-2017-1000253 được phát hiện bởi nhà nghiên cứu Michael Davidson của Google hồi tháng 4 năm 2015, vào thời điểm đó nó không được coi là một lỗ hổng nghiêm trọng dẫn đến leo thang đặc quyền cục bộ (Local Privilege Escalation) và không có bản vá nào cho lỗ hổng này.

Tuy nhiên, các nhà nghiên cứu tại Qualys Research Labs đã vừa phát hiện ra rằng lỗ hổng này có thể bị khai thác leo thang đặc quyền và nó ảnh hưởng đến tất cả các bản phân phối Linux chính, bao gồm Red Hat, Debian, và CentOS.

  • Tất cả các phiên bản CentOS 7 trước 1708 (phát hành vào ngày 13 tháng 9 năm 2017),
  • Tất cả các phiên bản Red Hat Enterprise Linux 7 trước 7.4 (phát hành vào ngày 1 tháng 8 năm 2017)
  • Tất cả các phiên bản CentOS 6 và Red Hat Enterprise Linux 6 đều có thể khai thác.

CVSS v3.0 xếp hạng mức độ nghiêm trọng của lỗ hổng này lên các phiên bản Linux mức: 7.8->10 (high -> critical).

Các bản phân phối Linux, bao gồm Red Hat, Debian, và CentOS đã có các bản cập nhật để giải quyết lỗ hổng này, do đó người dùng nên cập nhật sớm nhất có thể.

Theo: THN

PoC chi tiết của Qualys:

https://www.qualys.com/2017/09/26/cve-2017-1000253/cve-2017-1000253.txt