Author Archives: Ngọc Anh

Kiểu tấn công mới nhằm vào giao thức mạng LTE

Nếu điện thoại của bạn đang sử dụng mạng LTE, hay còn gọi là mạng 4G, hãy cẩn thận bởi đường truyền mạng của bạn có thể bị chiếm quyền từ xa.

Một nhóm các nhà nghiên cứu vừa phát hiện một số lỗ hổng nghiêm trọng trong tiêu chuẩn dành cho các thiết bị di động LTE cho phép kẻ tấn công giả mạo do thám mạng di động của người dùng, chỉnh sửa nội dung truyền thông, và thậm chí có thể chuyển hướng người dùng đến các trang web độc hại.

LTE là tiêu chuẩn điện thoại di động mới nhất hiện được sử dụng bởi hàng tỷ người, được thiết kế để mang đến sự cải tiến về tính an toàn so với tiêu chuẩn tiền thân là GSM.

Tuy nhiên, một số lỗ hổng bảo mật đã được phát hiện trong vòng vài năm trở lại đây, cho phép kẻ tấn công chặn bắt đường truyền thông của người dùng, do thám tin nhắn và cuộc gọi, gửi các cảnh báo khẩn cấp giả mạo, giả mạo vị trí của thiết bị và làm cho thiết bị offline hoàn toàn.

Lỗ hổng trong mạng 4G LTE

Hiện tại, các nhà nghiên cứu từ trường Đại học Ruhr Bochum và trường Đại học New York Abu Dhabi đã phát triển ba cuộc tấn công trên lý thuyết nhằm vào công nghê LTE, cho phép họ lấy được thông tin của người dùng, theo dõi các trang web mà người dùng truy cập và chuyển hướng đến các trang web độc hại bằng cách giả mạo DNS lookups.

Cả ba kiểu tấn công đều được các nhà nghiên cứu mô tả tại đây, lợi dụng lớp data link trong mạng LTE.

Lớp data link nằm trên cùng của tầng vật lý, duy trì kết nối không dây giữa người dùng và mạng. Nó chịu trách nhiệm cho việc quản lý có bao nhiêu người dùng truy cập vào tài nguyên trên mạng, giúp sửa lỗi khi truyền tải, và bảo vệ dữ liệu bằng cách mã hóa.

Kiểu tấn công thu thập thông tin cá nhân người dùng và theo dõi trang web là các kiểu tấn công bị động, trong đó một chương trình gián điệp sẽ lắng nghe dữ liệu đang được truyền đi giữa trạm gốc và người dùng cuối qua sóng từ điện thoại của nạn nhân.

Tuy nhiên, kiểu tấn công giả mạo DNS, được đặt tên là “aLTEr” bởi nhóm nghiên cứu, là một kiểu tấn công chủ động, thực hiện tấn công man-in-the-middle để chặn bắt luồng truyền thông và chuyển hướng nạn nhân tới một trang web độc hại bằng cách giả mạo DNS.

Tấn công aLTEr

lte-network-hacking

Do lớp data link trong mạng LTE được mã hóa bởi AES-CTR nhưng không được bảo vệ toàn vẹn, kẻ tấn công có thể chỉnh sửa các bits trong một gói dữ liệu đã được mã hóa, khiến cho bản rõ sau khi giải mã sẽ bị sai lệch.

“Tấn công aLTEr khai thác việc dữ liệu người dùng được mã hóa trong chế độ truy cập (AES-CTR) nhưng không được bảo vệ toàn vẹn, cho phép chúng tôi chỉnh sửa payload của bản tin, và kẻ tấn công có thể chỉnh sửa bản mã thành một bản mã khác, sau đó sẽ giải mã ra một bản rõ tương ứng,” các nhà nghiên cứu cho biết.

Trong kiểu tấn công aLTEr, kẻ tấn công đóng giả làm một tháp di động thực đối với nạn nhân, và đóng giả làm nạn nhân đối với mạng thực, sau đó chặn bắt gói tin liên lạc giữa nạn nhân và mạng.

Video demo cuộc tấn công có thể xem tại đây.

Trong video, nhóm nghiên cứu chỉ ra kẻ tấn công có thể chuyển hướng yêu cầu DNS và thực hiện tấn công giả mạo DNS như thế nào, dẫn đến việc thiết bị di động của người dùng sử dụng một server DNS độc hại khiến cho người dùng truy cập vào các trang web giả mạo dưới dạng Hotmail.

Kiểu tấn công này rất nguy hiểm, tuy nhiên lại khó thực hiện trên thực tế. Nó yêu cầu các thiết bị chuyên dụng, giá trị khoảng $4000, để thực thi IMSI catchersStingray, hoặc DRTbox, và chỉ hoạt động trong bán kính khoảng 1.6 km xung quang kẻ tấn công.

Tuy nhiên, đối với cơ quan tình báo hoặc tin tặc có tay nghề cao, việc thực hiện kiểu tấn công này không phải là quá khó.

Lỗ hổng trên LTE cũng ảnh hưởng đến chuẩn 5G sắp tới

5g-network-hack

Các kiểu tấn công trên không chỉ ảnh hưởng đến 4G.

Mạng 5G sắp tới cũng có thể chứa các lỗ hổng này, như nhóm nghiên cứu cho biết, mặc dù 5G hỗ trợ mã hóa được xác thực, nhưng tính năng này không bắt buộc, vì thế hầu hết các nhà cung cấp không có ý định cài đặt tính năng này, làm cho 5G cũng trở nên dễ bị tổn thương.

“Việc sử dụng mã hóa được xác thực sẽ ngăn chặn tấn công aLTEr, bằng cách thêm các mã xác thực vào gói tin của người dùng,” các nhà nghiên cứu cho biết.

“Tuy nhiên, trong thông số kỹ thuật 5G hiện tại, tính năng này không bắt buộc mà là một tham số cấu hình tùy chọn.”

Lỗ hổng trong mạng LTE khó có thể vá được

Do các kiểu tấn công lợi dụng lỗ hổng trong thiết kế mạng LTE, nó không thể vá được bởi việc này yêu cầu phải xem xét lại toàn bộ giao thức LTE.

Chịu trách nhiệm về việc công bố lỗ hổng, nhóm bốn nhà nghiên cứu – David Rupprecht, Katharina Kohls, Thorsten Holz, và Christina Pöpper – đã thông báo cho Hiệp hội GSM và 3GPP (3rd Generation Partnership Project) cùng với các công ty viễn thông khác, trước khi công khai về phát hiện này.

Nhóm 3GPP đã đưa ra phản hổi về các kiểu tấn công này, rằng bản cập nhật cho thông số kỹ thuật 5G có thể rất phức tạp bởi các nhà cung cấp như Verizon và AT&T đã bắt đầu triển khai giao thức 5G.

Làm thế nào để chống lại các tấn công trên mạng LTE?

Cách đơn giản nhất để bảo vệ trước tấn công mạng LTE là kiểm tra HTTPS trên thanh địa chỉ.

Nhóm nghiên cứu gợi ý hai giải pháp ứng phó dành cho các nhà cung cấp:

  1. Cập nhật thông số kỹ thuật: Tất cả các nhà cung cấp cần phải hợp tác với nhau và cập nhật thông số kỹ thuật để dùng một giao thức mã hóa có xác thực như AES-GCM hoặc ChaCha20-Poly1305. Tuy nhiên, các nhà nghiên cứu tin rằng giải pháp này rất khó để thực hiện, bởi tất cả các thiết bị đã triển khai cũng phải thay đổi cho phù hợp, cần đến nỗ lực tài chính và tổ chức lớn, và hầu hết các nhà cung cấp sẽ không thể làm được.
  2. Cấu hình HTTPS chính xác: Một giải pháp khác là tất cả trang web phải thực hiện chính sách HSTS (HTTP Strict Transport Security), đóng vai trò là một lớp bảo vệ phụ, giúp ngăn chặn việc chuyển hướng người dùng đến một trang web độc hại.

Hãy thay đổi mật khẩu Twitter của bạn ngay lập tức!

twitter-password-hack

Twitter đang khuyến cáo 330 triệu người dùng đổi mật khẩu sau một sự cố phần mềm vô tình làm lộ mật khẩu của người dùng được lưu lại dưới dạng bản rõ trong hệ thống máy tính nội bộ.

Mạng truyền thông xã hội này đã tiết lộ vấn đề trong một bài đăng trên blog chính thức và một loạt các tweet từ nhóm Twitter Support.

Theo Twitter CTO Parag Agrawal, Twitter sử dụng bcrypt để thay thế mật khẩu với một chuỗi số và ký tự ngẫu nhiên, sau đó lưu lại trong hệ thống.

Việc này cho phép công ty xác thực người dùng mà không cần mật khẩu thực sự của họ, đồng thời khiến cho nhân viên của Twitter cũng không thể nhìn thấy mật khẩu.

twitter-password-reset

Tuy nhiên, một lỗi phần mềm khiến cho mật khẩu được ghi lại trong log trước khi quá trình mã hóa hoàn thành – khiến cho mật khẩu bị lộ trong hệ thống nội bộ của công ty.

Parag cho biết Twitter đã tìm và khắc phục được lỗi trước khi mật khẩu bị đánh cắp hoặc bị lạm dụng bởi người bên trong.

Công ty vẫn đang khuyến cáo người dùng thay đổi mật khẩu, đồng thời sử dụng xác thực hai yếu tố để đảm bảo an toàn cho tài khoản của mình.

Theo: thehackernews.com

Bản vá lỗi khiến cho server Oracle đối mặt với nguy cơ bị tấn công

oracle-weblogic-server-deserialization-remote-command-execution

Vào đầu tháng 04, Oracle đã vá một lỗ hổng thực thi mã Java từ xa  nghiêm trọng trong thành phần WebLogic Server của Fusion Middleware, cho phép kẻ tấn công dễ dàng kiểm soát hoàn toàn server chứa lỗ hổng.

Tuy nhiên, một nhà nghiên cứu bảo mật thuộc nhóm bảo mật của Alibaba có tên trên Twitter là @pyn3rd, đã tìm ra một cách để bypass bản vá và khai thác lỗ hổng WebLogic một lần nữa.

WebLogic Server đóng vai trò như một tầng trung gian nằm giữa giao diện front end của người dùng và cơ sở dữ liệu backend của một ứng dụng doanh nghiệp đa tầng. Nó cung cấp một bộ dịch vụ hoàn chỉnh cho tất cả thành phần và xử lý các hành vi của ứng dụng một cách tự động.

Được phát hiện lần đầu vào Tháng 11 năm ngoái bởi Liao Xinxi thuộc nhóm bảo mật của NSFOCUS, lỗ hổng WebLogic Server (CVE-2018-2628) có thể được khai thác thông qua TCP cổng 7001.

Nếu khai thác thành công, lỗ hổng cho phép kẻ tấn công chiếm toàn quyền điều khiển Oracle WebLogic Server. Lỗ hổng ảnh hưởng tới các phiên bản 10.3.6.0, 12.1.3.0, 12.2.1.2 và 12.2.1.3.

PoC của lỗ hổng đã được công khai trên Github, kể cả bản vá cũng đã bị bypass, vì thế các dịch vụ của bạn lại một lần nữa gặp nguy hiểm.

Mặc dù @pyn3rd mới chỉ đưa ra một đoạn video ngắn thay vì công khai toàn bộ mã bypass hoặc bất kỳ thông tin kỹ thuật chi tiết nào, các hackers chuyên nghiệp có thể chỉ mất một vài ngày hoặc một vài giờ để tìm ra cách bypass tương tự.

Hiện tại, Oracle chưa có thông báo về bản cập nhật mới để giải quyết lỗ hổng CVE-2018-2628 triệt để.

Theo: thehackernews.com

Virus đào tiền ảo mới đang phát tán trên Facebook

facebook-malware-hacking

Hãy cân nhắc kỹ lưỡng trước khi click vào một đường link hoặc video được gửi qua Facebook, kể cả khi trông nó thú vị đến mức nào đi chăng nữa.

Các nhà nghiên cứu an toàn bảo mật tại Trend Micro đang cảnh báo người dùng về một trình tiện ích mở rộng độc hại trên Chrome, được phát tán thông qua Facebook Messenger và nhắm vào người dùng trên các sàn giao dịch tiền ảo để đánh cắp thông tin tài khoản của họ.

Được đặt tên là FacexWorm, kỹ thuật tấn công mà extension độc hại sử dụng xuất hiện lần đầu tiên hồi tháng 08 năm ngoái, tuy nhiên các nhà nghiên cứu nhận thấy rằng mã độc đã đóng gói lại một số tính năng mới vào đầu tháng 04 vừa qua.

Một số tính năng bao gồm đánh cắp tài khoản từ các websites, ví dụ Google hoặc các trang giao dịch tiền ảo, chuyển hướng nạn nhân đến các trang lừa đảo, chèn công cụ đào tiền ảo vào các trang web, và chuyển hướng nạn nhân tới các liên kết liên quan đến tiền ảo của kẻ tấn công.

Đây không phải là mã độc đầu tiên lợi dụng Facebook để tự phát tán chính nó.

Vào cuối năm ngoái, các nhà nghiên cứu tại Trend Micro đã phát hiện một bot đào tiền ảo Monero, được gọi là Digmine, được phát tán qua Facebook Messenger và nhắm vào người dùng Windows, cũng như Google Chrome để đào tiền ảo.

facebook-chrome-malware-hacking

Cũng như Digmine, FacexWorm hoạt động bằng cách gửi các đường dẫn social engineering qua Facebook Messenger cho bạn bè của các tài khoản bị nhiễm để chuyển hướng nạn nhân đến các trang web giả mạo, ví dụ YouTube.

Cần lưu ý rằng, FacexWorm được thiết kế để nhắm đến người dùng Chrome. Nếu người dùng sử dụng trình duyệt khác, nó sẽ chuyển hướng tới một trang quảng cáo vô hại.

FacexWorm hoạt động như thế nào

Nếu đường dẫn video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng người dùng tới một trang YouTube giả mạo, người dùng sẽ được thông báo tải về một extension trên Chrome để tiếp tục mở video.

Sau khi được cài đặt, FacexWorm sẽ tải về thêm một số modules từ máy chủ C&C để thực thi các tiến trình độc hại.

“FacexWorm là bản sao của một extension bình thường nhưng được chèn thêm một số đoạn mã ngắn để thực thi nhiệm vụ chính là tải về các đoạn mã JavaScript từ máy chủ C&C khi mở trình duyệt,” theo các nhà nghiên cứu.

“Mỗi khi người dùng mở một trang web mới, FacexWorm sẽ yêu cầu máy chủ C&C tìm và lấy về một đoạn mã JavaScript (lưu trữ trên Github) và thực thi trên trang web đó.

Do extension sẽ lấy toàn bộ quyền cần thiết khi cài đặt, mã độc có thể truy cập và sửa đổi dữ liệu bất kỳ website nào mà người dùng truy cập.

Dưới đây là danh sách một số hành vi mà FacexWorm có thể thực thi:

  • Để tự phát tán nó giống như worm, mã độc yêu cầu token truy cập OAuth vào tài khoản Facebook của nạn nhân, sau đó tự động lấy danh sách bạn bè và gửi đường dẫn YouTube giả mạo cho họ.
  • Đánh cắp thông tin đăng nhập của người dùng như Google, MyMonero và Coinhive, khi mã độc phát hiện người dùng login vào các trang này.
  • FacexWorm cũng chèn các trình đào tiền ảo vào các trang web mà người dùng truy cập, lợi dụng CPU của nạn nhân để đào tiền ảo cho kẻ tấn công.
  • FacexWorm thậm chí còn chiếm phiên giao dịch tiền ảo của người dùng bằng cách định vị địa chỉ được mã hóa của nạn nhân và thay thế với địa chỉ được cung cấp bởi kẻ tấn công.
  • Khi mã độc phát hiện người dùng truy cập một trong 52 sàn giao dịch tiền ảo hoặc gõ các từ khóa như “blockchain”, “eth-“, hoặc “ethereum”, FacexWorm sẽ chuyển hướng nạn nhân tới các trang web giả mạo để đánh cắp thông tin tài khoản của họ. Một số sàn giao dịch bị nhắm đến bao gồm: Poloniex, HitBTC, Bitfinex, Ethfinex, and Binance, và Blockchain.info.
  • Để tránh bị phát hiện hoặc gỡ bỏ, FacexWorm sẽ đóng các tab vừa được mở ngay khi nó phát hiện người dùng mở trang quản lý extension của Chrome.
  • Kẻ tấn công cũng nhận được thông báo mỗi khi nạn nhân đăng ký tài khoản trên Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in, hoặc HashFlare.

Đến nay, các nhà nghiên cứu tại Trend Micro mới chỉ phát hiện một giao dịch Bitcoin bị FacexWorm can thiệp, tuy nhiên số tiền thu được từ việc đào các trang web thì chưa có số liệu cụ thể.

Một số đồng tiền mà FacexWorm nhắm đến bao gồm Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), và Monero (XMR).

Hiện tại FacexWorm mới chỉ được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Tuy nhiên do Facebook Messenger được sử dụng trên toàn thế giới, mã độc sẽ có nhiều cơ hội để lây lan trên toàn cầu.

Chrome Web Store đã gỡ bỏ rất nhiều extension độc hại tuy nhiên kẻ tấn công vẫn tiếp tục tải lên cửa hàng.

Facebook Messenger cũng có thể phát hiện các đường dẫn độc hại và block hành vi lây lan của các tài khoản bị ảnh hưởng, các nhà nghiên cứu cho biết.

Người dùng được khuyến cáo nên cân nhắc cẩn thận trước khi click vào các đường dẫn hoặc các file được gửi qua mạng xã hội.

Theo: thehackernews.com

Hơn 20 triệu người dùng cài đặt trình chặn quảng cáo độc hại từ cửa hàng Chrome

chrome-adblocker

Nếu bạn đã từng cài đặt một trong các trình Adblock dưới đây từ cửa hàng Chrome, rất có thể bạn đã bị hack.

Một nhà nghiên cứu an toàn bảo mật vừa chỉ ra năm trình Adblock độc hại nằm trên cửa hàng Google Chrome đã được cài đặt bởi ít nhất 20 triệu người dùng.

Các extensions độc hại trên trình duyệt không còn là điều mới mẻ. Chúng thường có quyền truy cập vào mọi thứ bạn làm trực tuyến và có thể cho phép người tạo ra chúng đánh cắp bất kỳ thông tin gì mà người dùng nhập vào các trang web, bao gồm mật khẩu, lịch sử duyệt web và thông tin thẻ tín dụng.

Được tìm ra bởi Andrey Meshkov, đồng sáng lập của Adguard, năm extensions độc hại này là phiên bản giả mạo của một số trình Adblock phổ biến.

Người tạo ra các extension này cũng sử dụng các từ khóa phổ biến trong phần tên và mô tả để đạt thứ hạng cao trong kết quả tìm kiếm.

“Tất cả extension được đánh dấu chỉ bao gồm một vài dòng code đơn giản được thêm bởi tác giả,” Meshkov cho biết.

malware-adblocker-chrome

Sau khi nhận được báo cáo của Meshkov vào thứ Ba, Google đã lập tức gỡ bỏ các tiện ích Adblock sau:

  • AdRemover for Google Chrome™ (10 million+ users)
  • uBlock Plus (8 million+ users)
  • [Fake] Adblock Pro (2 million+ users)
  • HD for YouTube™ (400,000+ users)
  • Webutation (30,000+ users)

Meshkov đã tải về và phân tích ‘AdRemover’, và tìm ra một đoạn mã độc hại được ẩn trong jQuery, gửi thông tìn các trang web mà người dùng truy cập tới máy chủ từ xa.

Sau đó tiện ích này nhận lệnh từ máy chủ, thực thi ngầm và có thể thay đổi hành vi của trình duyệt.

Để tránh bị phát hiện, các lệnh này được gửi bằng cách giấu trong một tệp ảnh nhìn-có-vẻ-vô-hại.

“Về cơ bản, đây là một mạng botnet bao gồm các trình duyệt cài đặt tiện ích Adblock giả mạo,” Meshkov cho biết. “Trình duyệt sẽ thực thi bất kỳ điều gì mà máy chủ yêu cầu.”

Vì thế, người dùng được khuyến cáo cài đặt càng ít extension càng tốt và chỉ cài đặt từ các công ty đáng tin cậy.

Theo: thehackernews.com

Lỗ hổng nghiêm trọng khiến cho hàng ngàn Cisco Switches có nguy cơ bị tấn công từ xa

cisco-network-switches-hacking

Các nhà nghiên cứu bảo mật tại Embedi vừa phát hiện một lỗ hổng nghiêm trọng trong Phần mềm Cisco IOS và Cisco IOS XE cho phép kẻ tấn công từ xa thực thi mã tùy ý một cách trái phép, chiếm được toàn quyền điều khiển hệ thống mạng và chặn bắt luồng dữ liệu.

Lỗ hổng dựa trên lỗi tràn bộ đệm (CVE-2018-0171) do việc xác thực thiếu chính xác của dữ liệu gói trong Smart Install Client, một tính năng cấu hình plug-and-play và quản lý image giúp quản trị viên triển khai chuyển mạch mạng một cách dễ dàng.

Embedi đã công bố chi tiết kỹ thuật và mã Proof-of-Concept (PoC) sau khi Cisco phát hành bản vá vào ngày 28/03 vừa qua. Lỗ hổng đạt 9.8 điểm CVSS (mức độ nghiêm trọng).

Các nhà nghiên cứu đã tìm thấy tổng cộng 8.5 triệu thiết bị mở cổng trên Internet, khiến cho khoảng 250,000 thiết bị chưa được sửa lỗi có nguy cơ bị tấn công.

Để khai thác lỗ hổng này, kẻ tấn công cần gửi một thông điệp Smart Install tự tạo tới thiết bị chứa lỗ hổng thông qua cổng 4786, được mở theo mặc định.

“Chính xác hơn thì lỗi tràn bộ đệm nằm trong function smi_ibc_handle_ibd_init_discovery_msg” và “do kích thước của dữ liệu được sao chép vào bộ đệm có kích thước cố định không được kiểm tra, dữ liệu được lấy trực tiếp từ gói tin mạng và được điều khiển bởi kẻ tấn công”, Cisco giải thích.

Lỗ hổng có thể dẫn đến khả năng bị DoS bằng cách kích hoạt vòng lặp vô hạn trên thiết bị bị ảnh hưởng.

Video demo cuộc tấn công:

Trong video đầu tiên, các nhà nghiên cứu nhắm vào switch Cisco Catalyst 2960 để thay đổi/đặt lại mật khẩu và lấy quyền thực thi mã tùy ý:

Trong video demo thứ hai, các nhà nghiên cứu đã khai thác lỗ hổng để chặn bắt luồng dữ liệu giữa các thiết bị kết nối tới switch và Internet.

Phần cứng và phần mềm bị ảnh hưởng:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Cisco đã khắc phục lỗ hổng trên tất cả sản phẩm vào ngày 28/03/2018, và Embedi công bố chi tiết về lỗ hổng vào ngày 29/03. Vì thế, các quản trị viên được khuyến cáo cài đặt bản cập nhật càng sớm càng tốt.

Theo: thehackernews.com

Lỗ hổng trong Apple macOS làm lộ mật khẩu của hệ thống file mã hóa APFS dưới dạng bản rõ

macos-high-sierra-apfs-encryption-password-min

Một lỗi lập trình nghiêm trọng đã được tìm thấy trong hệ thống file APFS dành cho hệ điều hành macOS High Sierra làm lộ mật khẩu của các ổ đĩa ngoài đã được mã hóa đưới dạng bản rõ.

Ra mắt vào hai năm trước, APFS (Apple File System) là một hệ thống file được tối ưu hóa cho các giải pháp lưu trữ flash và SSD chạy macOS, iOS, tvOS hoặc watchOS, và hứa hẹn khả năng mã hóa mạnh cùng với hiệu năng tối ưu.

Được phát hiện bởi nhà phân tích điều tra số Sarah Edwards, khi tạo một ổ đĩa APFS mới hoặc mã hóa một ổ đĩa đã có, lỗ hổng khiến cho mật khẩu mã hóa bị ghi lại trong log dưới dạng bản rõ.

“Tại sao vấn đề này lại nghiêm trọng? Bất kỳ ai cũng có thể đọc được mật khẩu, và mã độc có thể thu thập các files log và gửi đến ai đó có ý đồ xấu”, Edwards cho biết.

macos-high-sierra-apfs-encryption-password

Có thể dễ dàng lấy được mật khẩu mã hóa của các ổ đĩa APFS bằng câu lệnh đơn giản sau:

log stream –info –predicate ‘eventMessage contains “newfs_”‘

Cũng cần lưu ý rằng mật khẩu sẽ không được lưu dưới dạng bản rõ khi chuyển đổi một ổ đĩa không phải APFS sang APFS và mã hóa ổ đĩa đó.

Edwards đã kiểm tra và cho biết lỗi này chỉ ảnh hưởng đến macOS 10.13 và 10.13.1, ngoài ra các phiên bản khác của macOS High Sierra đã khắc phục được lỗi này.

Theo: thehackernews.com

Bản vá Meltdown của Microsoft khiến cho Windows 7 càng thiếu an toàn

intel-min

Microsoft, bằng một cách nào đó, đã làm cho lỗ hổng Meltdown càng trở nên tồi tệ hơn trên Windows 7, cho phép bất kỳ ứng dụng mức người dùng, không có đặc quyền được phép đọc và ghi dữ liệu lên bộ nhớ nhân của hệ điều hành.

Spectre và Meltdown là hai lỗ hổng nằm trong bộ vi xử lý của Intel, ARM, và AMD, khiến cho hầu hết máy tính cá nhân, máy chủ, và điện thoại di động đối mặt với nguy cơ bị đánh cắp dữ liệu.

Ngay sau khi các nhà nghiên cứu tiết lộ mã khai thác hai lỗ hổng này, các nhà cung cấp phần mềm bắt đầu phát hành các bản vá cho các hệ thống chứa lỗ hổng.

Tuy nhiên, Ulf Frisk, một nhà nghiên cứu người Thụy Điển, nhận thấy rằng bản vá của Microsoft dành cho Windows 7 cho phép kẻ tấn công đọc bộ nhớ nhân với tốc độ lên tới Gbps, khiến cho vấn đề càng trở nên nghiêm trọng hơn đối với các máy tính cá nhân sử dụng Windows 7 và Server 2008 R2.

Ngoài ra, một số bản vá Meltdown và Spectre khác cũng không hoàn chỉnh, khiến cho các máy tính bị ảnh hưởng tự khởi động hoặc có một số hành vi hệ thống không lường trước được.

Frisk cho biết, vấn đề của bản vá nằm ở bit đơn (bit điều khiển quyền truy cập vào bộ nhớ nhân) vô tình bị đổi từ supervisor-only thành any-user trong bộ chuyển đổi từ bộ nhớ ảo thành bộ nhớ vật lý – PLM4 – cho phép ứng dụng chế độ người dùng bất kỳ truy cập vào bộ nhớ nhân.

PML4 là một hệ thống bảng trang bộ nhớ trong 4 cấp được Đơn vị Quản lý Bộ nhớ CPU (MMU) của Intel dùng để dịch các địa chỉ bộ nhớ ảo của một tiến trình thành địa chỉ bộ nhớ vật lý trên RAM.

Thông thường, bit được cấu hình đúng sẽ đảm bảo nhân có truy cập độc quyền tới các bảng này.

Frisk đã cung cấp thông tin chi tiết và bằng chứng khai thác để chứng minh tuyên bố của mình. Lỗi này chỉ ảnh hưởng đến Windows 7 64-bit và Windows Server 2008 R2, và yêu cầu kẻ tấn công phải có quyền truy cập vật lý tới hệ thống mục tiêu.

Bản vá bị lỗi cho phép đọc hàng Gigabytes dữ liệu chỉ trong vòng một giây

Do các bảng trang PML4 được đặt tại một địa chỉ bộ nhớ cố định trong Windows 7 nên không cần các kỹ thuật phức tạp để khai thác được lỗ hổng Meltdown.

Một khi lấy được quyền đọc/ghi vào các bảng trang, việc lấy được quyền truy cập toàn bộ bộ nhớ vật lý là cực kỳ dễ dàng, “trừ khi nó được bảo vệ bởi Các bảng trang mở rộng (Extended Page Tables – EPTs) dùng cho việc ảo hóa”, Frisk cho biết.

Kẻ tấn công chỉ cần ghi Danh mục bảng trang (Page Table Entries – PTEs) của chúng vào các bảng trang để lấy quyền truy cập vào bộ nhớ vật lý tùy ý.

Lỗi trong bản vá Meltdown của Microsoft đã được hãng này khắc phục trong March Patch Tuesday, vì vậy tất cả người dùng và quản trị viên đang sử dụng Windows 7 và Windows 2008 R2 được khuyến cáo cập nhật hệ thống càng sớm càng tốt.

Theo: thehackernews.com

 

Lỗ hổng trong chức năng đọc mã QR của iOS 11

qr-code-hacking-min

Một lỗ hổng mới được phát hiện trong iOS Camera App cho phép kẻ tấn công chuyển hướng người dùng đến website độc hại mà người dùng không hề hay biết.

Lỗ hổng ảnh hưởng đến hệ điều hành iOS 11 dành cho các thiết bị iPhone, iPad, iPod Touch; nằm trong chức năng đọc mã QR.

Trong phiên bản iOS 11, Apple đã đưa ra một chức năng mới là đọc trực tiếp mã QR thông qua ứng dụng camera mà không cần bất kỳ phần mềm thứ ba nào.

Bạn chỉ cần hướng camera trên iPhone hoặc iPad về phía mã QR. Nếu mã này chứa URL, một thông báo về đường dẫn hiện ra, yêu cầu bạn mở bằng trình duyệt Safari.

Tuy nhiên, nhà nghiên cứu bảo mật Roman Mueller đã phát hiện ra đường dẫn mà bạn nhìn thấy với website mà nó trỏ tới có thể không giống nhau.

Theo Mueller, lỗ hổng nằm trong trình parse URL của chức năng đọc mã QR, cho phép kẻ tấn công hiển thị đường dẫn khác với đường dẫn thực tế, lừa người dùng truy cập vào website độc hại.

Mueller đã tạo ra một mã QR với URL như sau:

https://xxx\@facebook.com:443@infosec.rm-it.de/

Khi quét mã QR bằng ứng dụng camera, thông báo hiển thị:

Tuy nhiên, khi bạn chọn mở thì trang web thực tế mà bạn sẽ vào là https://infosec.rm-it.de/:

Vấn đề ở đây là, trình parse URL trong ứng dụng camera đã nhận diện sai tên máy chủ nằm trong URL.

Phần “xxx\” được nhận diện là username gửi tới “facebook.com:443”. Tuy nhiên Safari lại hiểu cả chuỗi “xxx\@facebook.com” là username và “443” là mật khẩu gửi tới infosec.rm-it.de.

Mã QR là một phương tiện nhanh chóng và tiện lợi dùng để chia sẻ thông tin, vì thế lỗ hổng này dần trở nên nguy hiểm khi người dùng sử dụng mã QR để thực hiện các giao dịch trực tuyến.

Lỗ hổng đã được báo cáo cho Apple vào ngày 23/12/2017. Tuy nhiên đến nay lỗ hổng vẫn chưa được khắc phục.

Theo: thehackernews.com

Facebook thu thập dữ liệu tin nhắn và lịch sử cuộc gọi của người dùng

facebook-privacy-min

Không có gì ngạc nhiên khi Facebook biết những thứ bạn thích và không thích.

Nhưng bạn có biết rằng, nếu bạn đã cài đặt ứng dụng Facebook Messenger trên thiết bị Android, rất có thể các thông tin về danh bạ, tin nhắn SMS và lịch sử cuộc gọi trong ít nhất một năm đã bị công ty này thu thập.

Dylan McKay, lập trình viên gốc New Zealand, đã đăng trên Twitter về việc tìm thấy dữ liệu – bao gồm ghi chép về các cuộc gọi và tin nhắn SMS – trong một file ZIP tải về từ Facebook.

Trước đó, việc Facebook thu thập dữ liệu đã được báo cáo trên các phương tiện truyền thông vào năm ngoái, tuy nhiên thông tin này không được chú ý nhiều vào thời điểm đó.

Từ khi Facebook bị vướng vào vụ bê bối chia sẻ dữ liệu người dùng với công ty Cambridge Analytica vào tuần trước, các bài tweets của McKay nhanh chóng được chia sẻ và làm dấy lên cuộc tranh luận không hồi kết về việc xâm phạm quyền riêng tư của người dùng.

Một phát ngôn viên của Facebook giải thích, do hầu hết các trang mạng xã hội đều được thiết kế để người dùng có thể dễ dàng kết nối với gia đình và bạn bè của họ, Facebook cũng tải lên các danh bạ của người dùng nhằm hướng đến mục đích này.

Bạn có thể kiểm tra xem Facebook thu thập những dữ liệu gì bằng cách vào phần Cài đặt của Facebook → Tải bản sao dữ liệu Facebook (Download a copy of your Facebook data) → Start My Archive.

Nếu bạn không muốn Facebook lưu trữ hoặc tải dữ liệu của bạn lên máy chủ của họ, bạn có thể tắt chức năng tải lên trong ứng dụng Messenger. Khi đó tất cả danh bạ mà bạn đã tải lên cũng sẽ bị xóa.

Theo: thehackernews.com

Tin tặc khai thác Windows Remote Assistance để đánh cắp dữ liệu nhạy cảm

Windows-Remote-Assistance-hacking

Bạn luôn nhận được cảnh báo về việc không nên chia sẻ quyền truy nhập máy tính từ xa cho người lạ, hoặc những người không đáng tin cậy, đúng chứ?

Thế còn những lời mời truy nhập vào máy tính từ người khác thì sao?

Một lỗ hổng nghiêm trọng trong Windows Remote Assistance (Quick Assist) vừa được phát hiện đang ảnh hưởng đến tất cả các phiên bản Windows, bao gồm Windows 10, 8.1, RT 8.1, và 7, cho phép kẻ tấn công từ xa đánh cắp các dữ liệu nhạy cảm trên máy tính nạn nhân.

Windows Remote Assistance là một công cụ cho phép người khác truy nhập vào máy tính của bạn (hoặc cho phép bạn điều khiển máy tính của người khác) để giải quyết một vấn đề nào đó từ bất kỳ đâu.

Tính năng này sử dụng giao thức Remote Desktop (RDP) để thiết lập một kết nối an toàn giữa hai máy tính.

Tuy nhiên, Nabeel Ahmed thuộc công ty Trend Micro Zero Day Initiative đã phát hiện và báo cáo về một lỗ hổng trong Windows Remote Assistance (CVE-2018-0878), cho phép tin tặc thu thập các dữ liệu nhạy cảm trên máy nạn nhân để làm tiền đề cho các cuộc tấn công sau này.

Lỗ hổng nằm trong cách Windows Remote Assistance xử lý các đối tượng XML bên ngoài (XML External Entities – XXE).

Lỗ hổng ảnh hưởng đến Microsoft Windows Server 2016, Windows Server 2012 và R2, Windows Server 2008 SP2 và R2 SP1, Windows 10 (cả bản 32 và 64-bit), Windows 8.1 (cả bản 32 và 64-bit) và RT 8.1, và Windows 7 (cả bản 32 và 64-bit).

Khai thác Windows Remote Assistance để đánh cắp dữ liệu

Windows-Remote-Assistance

Do bản vá cho lỗ hổng này đã được cập nhật nên các nhà nghiên cứu đã công bố thông tin chi tiết và mã khai thác của lỗ hổng này.

Để khai thác lỗ hổng (nằm trong trình phân tích cú pháp MSXML3 – MSXML3 parser), kẻ tấn công cần phải sử dụng kỹ thuật “Out-of-Band Data Retrieval” (Truy xuất dữ liệu out-of-band) bằng cách mời nạn nhân truy nhập vào máy tính của hắn thông qua Windows Remote Assistance.

Khi thiết lập Windows Remote Assistance, sẽ có hai lựa chọn cho người dùng – Mời ai đó giúp bạn và Phản hồi lại lời mời của ai đó.

Lựa chọn đầu tiên sẽ sinh ra một thư mời, ví dụ ‘invitation.msrcincident’, chứa dữ liệu XML với các tham số dùng để xác thực

Windows Remote Assistance Exploit

Kẻ tấn công có thể dễ dàng gửi một thư mời Remote Assistance giả mạo, bởi trình phân tích cú pháp không xác thực được nội dung bên trong một cách chính xác. Thư mời này chứa một payload độc hại, lừa nạn nhân gửi nội dung của một số file đặc biệt đến máy chủ được điều khiển bởi kẻ tấn công.

“Thông tin bị đánh cắp có thể được gửi kèm như một phần của URL trong HTTP request tới tin tặc. Trong tất cả các trường hợp, kẻ tấn công không thể bắt người dùng làm theo mà phải thuyết phục họ truy nhập vào máy tính của tin tặc,” Microsoft đưa ra lời giải thích.

“Lỗ hổng XXE này có thể bị lợi dụng trong các cuộc tấn công lừa đảo lớn nhắm vào các cá nhân tin rằng họ đang thực sự giúp đỡ người khác. Không thể ngờ rằng thư mời lại có thể dẫn đến nguy cơ bị đánh cắp các thông tin nhạy cảm,” ông Ahmed cảnh báo.

Bên cạnh việc cập nhật bản vá các lỗ hổng nghiêm trọng được đưa ra trong tháng này, người dùng Windows được khuyến nghị cài đặt phiên bản mới nhất của Windows Remote Assistance càng sớm càng tốt.

Theo: thehackernews.com

Lỗ hổng CredSSP trong giao thức Remote Desktop ảnh hưởng đến mọi phiên bản Windows

g4xujn831cpgwpgsa8yy

Một lỗ hổng nghiêm trọng vừa được phát hiện trong giao thức Credential Security Support Provider (CredSSP) ảnh hưởng đến mọi phiên bản Windows tính đến hiện tại và cho phép kẻ tấn công từ xa khai thác RDP và WinRM để đánh cắp dữ liệu và thực thi các mã độc hại.

Giao thức CredSSP được thiết kế dành cho RDP (Remote Desktop Protocol) và Windows Management (WinRM) để quản lý các tài khoản được mã hóa khi gửi từ Windows client tới máy chủ để xác thực từ xa.

Được phát hiện bởi các nhà nghiên cứu tại công ty Preempt Security, CVE-2018-0886 nằm trong lỗ hổng mã hóa của CredSSP, có thể bị khai thác bởi kẻ tấn công man-in-the-middle thông qua WiFi hoặc truy cập vật lý vào mạng dây để đánh cắp dữ liệu xác thực phiên và thực hiện tấn công Remote Procedure Call.

Khi client và server xác thực thông qua các giao thức truyền thông RDP và WinRM, kẻ tấn công man-in-the-middle có thể thực thi các câu lệnh từ xa để xâm nhập vào mạng của doanh nghiệp.

“Khi kẻ tấn công đánh cắp phiên từ một người dùng có đủ đặc quyền, hắn có thể thực thi các lệnh với quyền admin. Điều này đặc biệt nghiêm trọng đối với các bộ điều khiển miền, do hầu hết các Lời gọi thủ tục từ xa (Remote Procedure Calls – DCE/RPC) đều được bật theo mặc định,” theo Yaron Zinar, trưởng nhóm nghiên cứu bảo mật tại Preempt.

“Điều này có thể khiến cho các doanh nghiệp phải đối mặt với nhiều nguy cơ, bao gồm chuyển hướng và xâm nhập các máy chủ quan trọng hoặc các bộ điều khiển miền.”

Lỗ hổng khiến cho các hệ thống mạng doanh nghiệp gặp nguy cơ lớn bởi hầu hết khách hàng và nhân viên đều sử dụng RDP để đăng nhập từ xa.

Để bảo vệ bản thân và tổ chức khỏi các khai thác CredSSP, người dùng được khuyến cáo cập nhật bản vá mới nhất từ Microsoft.

Mặc dù các nhà nghiên cứu cũng cảnh báo rằng chỉ cập nhật bản vá là chưa đủ để phòng chống dạng tấn công này, các chuyên gia IT cần phải thực hiện cấu hình hệ thống để áp dụng bản vá một cách tối ưu nhất.

Chặn các cổng liên quan bao gồm RDP và DCE/RPC cũng có thể ngăn chặn cuộc tấn công, nhưng các nhà nghiên cứu cho biết vẫn có thể thực hiện dạng tấn công này theo nhiều cách khác, sử dụng các giao thức khác.

Vì thế, để bảo vệ mạng của bạn một cách tốt nhất, hãy giảm các đặc quyền của người dùng xuống càng thấp càng tốt và thay vào đó, hãy dùng các tài khoản không được cấp quyền khi có thể.

Theo: thehackernews.com

[Cảnh báo] 3 dịch vụ VPN phổ biến đang làm rò rỉ địa chỉ IP của bạn

secure-vpn-service-leak-ip-address

Các nhà nghiên cứu vừa phát hiện lỗ hổng nghiêm trọng trong ba dịch vụ VPN phổ biến có thể làm rò rỉ địa chỉ IP thực và các thông tin nhạy cảm của người dùng.

VPN (Virtual Private Network – Mạng riêng ảo) là một cách tuyệt vời để bảo vệ các hoạt động trực tuyến hàng ngày của bạn bằng cách mã hóa dữ liệu và tăng cường an ninh, cũng như che giấu IP thực sự của bạn.

Trong khi một số người sử dụng VPN để ẩn danh và đảm bảo an toàn cho dữ liệu, lý do chính mà người dùng sử dụng VPN là để giấu IP thực của họ nhằm qua mặt ISP để truy cập vào các website bị chặn.

Nhưng chuyện gì sẽ xảy ra nếu VPN mà bạn nghĩ là đang bảo vệ bạn lại đang làm rò rỉ dữ liệu nhạy cảm và vị trí của bạn?

Một nhóm tin tặc được thuê bởi công ty tư vấn về quyền riêng tư VPN Mentor đã phát hiện ba nhà cung cấp dịch vụ VPN phổ biến – HotSpot Shield, PureVPN, và Zenmate – chứa lỗ hổng có thể dẫn đến việc vi phạm quyền riêng tư của người dùng.

PureVPN là công ty đưa ra chính sách “không log”, tuy nhiên khoảng vài tháng trước đã giúp FBI bắt giữ một tội phạm ở Massachusetts bằng cách đưa ra log về người này.

Về hậu quả đối với người dùng cuối, VPN Mentor giải thích rằng lỗ hổng có thể “cho phép chính phủ, các tổ chức thù địch, hoặc các cá nhân xác định được địa chỉ IP của người dùng, kể cả khi người đó sử dụng VPN.”

Nhóm đã tìm ra ba lỗ hổng trong Hotspot Shield của AnchorFree, ba lỗ hổng này đã được vá bởi công ty:

  • Chiếm tất cả lưu lượng truy cập (CVE-2018-7879) – lỗ hổng này nằm trong phần mở rộng Chrome của Hotspot Shield và có thể cho phép kẻ tấn công chiếm và chuyển hướng nạn nhân đến một trang web độc hại.
  • Rò rỉ DNS (CVE-2018-7878) – lỗ hổng rò rỉ DNS trong Hotspot Shield làm lộ địa chỉ IP của người dùng và máy chủ DNS, cho phép ISP giám sát và lưu lại các hoạt động trực tuyến của người dùng.
  • Rò rỉ địa chỉ IP thực (CVE-2018-7880) – lỗ hổng này đe dọa đến chính sách riêng tư của người dùng bởi tin tặc có thể theo dõi vị trí thực của người dùng và ISP. Nguyên nhân là do phần mở rộng chứa một danh sách trắng cho “kết nối trực tiếp”. Các nhà nghiên cứu phát hiện ra bất kỳ tên miền nào có chứa localhost, vd. localhost.foo.bar.com, và ‘type=a1fproxyspeedtest’ trong URL có thể vượt qua proxy và làm lộ địa chỉ IP thực.

Lưu ý rằng cả ba lỗ hổng trên đều nằm trong phần mở rộng Chrome của Hotspot Shield, chứ không phải trong ứng dụng máy tính hoặc di động.

Các nhà nghiên cứu cũng báo cáo về các lỗ hổng tương tự trong Zenmate và PureVPN, nhưng tính đến hiện tại, thông tin về lỗ hổng vẫn đang được giữ kín bởi các công ty này vẫn chưa có bản vá. Họ cũng tin rằng hầu hết các dịch vụ VPN khác đều có các lỗ hổng tương tự.

Theo: thehackernews.com

 

Mã độc cài đặt sẵn được phát hiện trên hơn 5 triệu điện thoại Android phổ biến

android-botnet-malware

Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch phát tán mã độc trên diện rộng đã lây nhiễm đến gần 5 triệu thiết bị di động trên toàn thế giới.

Được gọi là RottenSys, mã độc cải trang là một ứng dụng ‘dịch vụ Wi-Fi hệ thống’ (System Wi-Fi service) được cài đặt sẵn trên hàng triệu thiết bị thuộc các hãng sản xuất như Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE.

Tất cả các thiết bị này đều được vận chuyển bởi Tian Pai, nhà phân phối điện thoại di động ở Hàng Châu, nhưng các nhà nghiên cứu chưa khẳng định được liệu công ty này có liên quan trực tiếp đến chiến dịch này không.

Theo nhóm bảo mật di động Check Point, nhóm phát hiện ra chiến dịch này, RottenSys là một loại mã độc tiên tiến có khả năng lấy các quyền nhạy cảm trong Android để thực hiện các hành vi độc hại của nó.

“Theo như những gì chúng tôi tìm được, mã độc RottenSys bắt đầu lây lan từ tháng 09/2016. Đến ngày 12/03/2018, có 4,964,460 thiết bị bị ảnh hưởng bởi RottenSys,” các nhà nghiên cứu cho biết.

Để tránh bị phát hiện, ứng dụng giả mạo không chứa các thành phần độc hại và cũng không thực thi bất kỳ hành vi độc hại nào ngay lập tức.

Thay vào đó, RottenSys kết nối đến máy chủ C&C để lấy danh sách các thành phần cần thiết, trong đó có cả mã thực thi độc hại. RottenSys sẽ tải về và cài đặt các thành phần này, với quyền “DOWNLOAD_WITHOUT_NOTIFICATION” mà không cần dùng phải tương tác.

Tin tặc thu được $115,000 chỉ trong 10 ngày

android-hacking-software

Tại thời điểm này, mã độc đã tải về một thành phần adware tới tất cả thiết bị bị lây nhiễm để hiển thị quảng cáo lên màn hình chính của thiết bị, cũng như các cửa sổ pop-up để tạo ra doanh thu từ quảng cáo giả mạo.

“RottenSys là một mạng quảng cáo mạnh mẽ. Chỉ trong vòng 10 ngày, nó đã hiển thị quảng cáo 13,250,756 lần (một con số đáng kinh ngạc trong ngành quảng cáo),” các nhà nghiên cứu cho biết.

Theo các nhà nghiên cứu CheckPoint, mã độc đã thu về cho tác giả của nó hơn $115,000 chỉ trong vòng 10 ngày, tuy nhiên những kẻ tấn công đang nhắm đến một cái gì đó “gây ra nhiều thiệt hại hơn là chỉ hiển thị các quảng cáo không mong muốn.”

Do RottenSys được thiết kế để tải và cài đặt bất kỳ thành phần nào từ máy chủ C&C, kẻ tấn công có thể dễ dàng vũ khí hóa hoặc chiếm toàn quyền điều khiển trên toàn bộ các thiết bị bị lây nhiễm.

Đây không phải là lần đầu tiên các nhà nghiên cứu CheckPoint phát hiện cuộc tấn công trên chuỗi cung ứng. Năm ngoái, công ty này đã phát hiện các thiết bị smartphone thuộc Samsung, LG, Xiaomi, Asus, Nexus, Oppo, và Lenovo bị lây nhiễm hai loại mã độc cài sẵn là Loki Trojan và ransomware SLocker được dùng để do thám người dùng.

Phát hiện và gỡ bỏ mã độc trên Android

Để kiểm tra thiết bị của bạn có bị dính mã độc này hay không, hãy vào phần Cài đặt hệ thống → Quản lý ứng dụng, tìm xem có ứng dụng nào có tên gói như sau không:

  • com.android.yellowcalendarz (每日黄历)
  • com.changmi.launcher (畅米桌面)
  • com.android.services.securewifi (系统WIFI服务)
  • com.system.service.zdsgt

Nếu có, chỉ cần gỡ cài đặt các ứng dụng này là được.

Theo: thehackernews.com

Nhóm tin tặc APT cài mã độc do thám Slingshot vào bộ định tuyến

hacking-group

Các nhà nghiên cứu tại Kaspersky vừa xác định được một nhóm tin tặc APT hoạt động từ năm 2012 mà không hề bị phát hiện nhờ vào các kỹ thuật thông minh và phức tạp của chúng.

Nhóm tin tặc sử dụng một phần của mã độc tiên tiến – Slingshot – để lây nhiễm cho hàng trăm ngàn nạn nhân ở Trung Đông và Châu Phi bằng cách xâm nhập vào bộ định tuyến của họ.

Theo bản báo cáo dài 25 trang của Kaspersky [PDF], nhóm này đã khai thác lỗ hổng chưa biết trong bộ định tuyến được cung cấp bởi Mikrotik (Latvia) – bước đầu trong kế hoạch phát tán spyware vào máy tính nạn nhân.

Mặc dù chưa rõ làm thế nào nhóm tin tặc này có thể khai thác được bộ định tuyến, Kaspersky đang nghi ngờ có liên quan đến khai thác ChimayRed, được công bố trên GitHub.

Khi bộ định tuyến bị xâm nhập, tin tặc thay thế thư viện DLL (dynamic link libraries) bằng một file độc hại, file này sẽ load trực tiếp đến bộ nhớ của máy tính nạn nhân khi nạn nhân sử dụng phần mềm Winbox Loader.

Slingshot-apt-malware

Winbox Loader là một công cụ quản lý được thiết kế bởi Mikrotik cho người dùng Windows. Người dùng có thể dễ dàng cấu hình bộ định tuyến của họ để tải về các file DLL và khởi chạy trên hệ thống.

Khi đó các file DLL độc hại sẽ chạy trên máy nạn nhân và kết nối đến máy chủ từ xa để tải xuống payload tấn công, ví dụ mã độc Slingshot.

Mã độc Slingshot bao gồm hai module – Cahnadr (module chế độ nhân) và GollumApp (module chế độ người dùng), được xây dựng để thu thập thông tin, do thám và lọc dữ liệu.

Module Cahnadr, còn được biết đến như NDriver, quản lý các chức năng chống gỡ rối (anti-debugging), rootkit, nghe lén, lây nhiễm vào các thành phần khác của hệ thống và kết nối mạng – cơ bản là đáp ứng các yêu cầu của module chế độ người dùng.

“[Cahdnadr là một] chương trình chế độ nhân có khả năng thực thi mã độc hại mà không gây ra ngừng hệ thống hoặc màn hình xanh,” Kaspersky chỉ ra trong bài viết.

“Được viết bởi ngôn ngữ C thuần, Cahnadr/NDriver cung cấp toàn bộ quyền truy nhập tới ổ cứng và bộ nhớ, và có khả năng điều khiển rất nhiều thành phần của hệ thống để tránh bị phát hiện bởi các trình gỡ rối.”

GollumApp là một module giả mạo chứa các chức năng do thám, cho phép tin tặc chụp ảnh màn hình, thu thập các thông tin về mạng, mật khẩu được lưu trong trình duyệt, các phím được bấm và duy trì kết nối với máy chủ điều khiển từ xa (C&C server).

Slingshot-malware

Khi GollumApp chạy trong chế độ nhân và có thể bắt đầu tiến trình mới bằng quyền SYSTEM, mã độc cho phép tin tặc có toàn quyền điều khiển hệ thống bị tấn công.

“Slingshot rất phức tạp, và các nhà phát triển đằng sau nó đã dành một khoảng thời gian và tiền bạc lớn để xây dựng nó. Vector lây nhiễm của rất đáng chú ý – và, theo chúng tôi biết, là độc nhất,” – theo các nhà nghiên cứu.

Nạn nhân của Slingshot bao gồm các cá nhân và một số tổ chức chính phủ ở các nước bao gồm Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, Cộng hòa Dân chủ Congo, Turkey, Sudan và các tiểu vương quốc Ả Rập thống nhất.

Theo: thehackernews.com

Sử dụng Kali Linux trực tiếp trên Windows 10

kali-linux-windows

Hiện tại người dùng đã có thể tải về và cài đặt trực tiếp Kali Linux từ Microsoft App Store trên Windows 10 giống như bất kỳ ứng dụng nào khác.

Kali Linux, hệ điều hành dựa trên Linux được sử dụng để hack và pen-test hiện đã có mặt trên Windows 10, không cần máy ảo hoặc cài đặt song song cùng hệ điều hành

Trên Windows 10, Microsoft cung cấp một tính năng gọi là “Windows Subsystem for Linux” (WSL), cho phép người dùng chạy các ứng dụng Linux trực tiếp trên Windows.

Tải về và cài đặt Kali Linux trên Windows 10

Windows-Subsystem-for-Linux

Nếu đây là lần đầu tiên sử dụng WSL, bạn cần bật tính năng này trước khi tải về Kali Linux:

  • Mở cửa sổ Control Panel → “Apps and features”
  • Chọn “Programs and Features” ở cột bên phải
  • Click “Turn Windows features on or off” ở menu bên trái
  • Chọn “Windows Subsystem for Linux” và lưu lại
  • Khởi động lại máy

Một cách khác là mở cửa sổ Command Line (cmd) bằng quyền Administrator và thực thi dòng lệnh sau, sau đó khởi động lại máy:

Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux

Sau khi hoàn tất, tìm kiếm Kali Linux trên Windows Store, click vào nút “Get”, Kali sẽ được cài đặt tự động và khởi chạy trên cửa sổ console.

Kali Linux trên Windows không đi kèm với các công cụ hack hoặc pen-test nào cả, tuy nhiên người dùng có thể dễ dàng cài đặt được sau. Ngoài ra, các phần mềm diệt virus hoặc Windows defender có thể đưa ra cảnh báo về các công cụ khai thác.

Theo: thehackernews.com

Mã khai thác Memcached DDoS và danh sách 17,000 máy chủ chứa lỗ hổng

Hai mã khai thác tấn công khuếch đại Memcached vừa được công bố trên mạng cho phép người bình thường có thể thực hiện tấn công DDoS một cách dễ dàng.

Công cụ DDoS đầu tiên được viết bằng ngôn ngữ C và hoạt động với một danh sách các máy chủ chứa lỗ hổng được soạn sẵn. Trong phần mô tả bao gồm danh sách 17,000 máy chủ Memcached chứa lỗ hổng.

Công cụ tấn công thứ hai được viết bằng python và sử dụng Shodan API để tìm kiếm các máy chủ Memcached chứa lỗ hổng, sau đó gửi các gói tin UDP giả mạo đến các máy chủ này.

Từ khi Memcached trở thành một vector trong tấn công khuếch đại, một số nhóm tin tặc bắt đầu khai thác các máy chủ Memcached không an toàn.

Việc công bố mã khai thác càng làm cho tình hình trở nên nghiêm trọng hơn khi cho phép tất cả mọi người có thể thực thi tấn công DDoS. Hơn nữa, các nhóm tội phạm mạng đã bắt đầu vũ khí hóa kỹ thuật tấn công mới này để đe dọa tống tiền các trang web lớn.

Sau cuộc tấn công GitHub vào tuần trước, Akamai báo cáo rằng khách hàng của họ đã nhận được các tin nhắn tống tiền cùng với các payloads tấn công, yêu cầu họ phải trả 50 XMR (đồng Monero), tương đương với 15,000 USD.

Theo: thehackernews.com

Cuộc tấn công DDoS lớn chưa từng có nhắm vào GitHub

largest-ddos-attack

Vào thứ tư, 28/02/2018, GitHub đã hứng chịu cuộc tấn công DDoS lớn nhất từ trước đến nay với đỉnh điểm là 1.35 Tps.

Điều thú vị là, kẻ tấn công không sử dụng bất kỳ mạng botnet nào, mà khuếch đại tấn công DDoS thông qua máy chủ Memcached.

Được đặt tên là Memcrashed, tấn công khuếch đại DDoS hoạt động bằng cách gửi một yêu cầu giả mạo đến máy chủ bị Memcrashed trên cổng 11211 bằng IP giả mạo IP của nạn nhân.

Yêu cầu có thể chỉ lớn vài bytes nhưng kết quả trả về có thể lớn gấp mười nghìn lần.

“Cuộc tấn công này là cuộc tấn công lớn nhất hiện nay được phát hiện bởi Akamai, gấp hai lần các cuộc tấn công từ Mirai botnet vào tháng 9/2016 và có thể là cuộc tấn công lớn nhất trong lịch sử từng được phát hiện,” theo Akamai, công ty điện toán đám mây đã giúp GitHub vượt qua cuộc tấn công.

Trong một bài viết trên trang blog của họ, GitHub nói rằng, “Cuộc tấn công bắt nguồn từ hơn một nghìn hệ thống tự trị (ASNs) thông qua hơn mười nghìn điểm cuối. Nó là cuộc tấn công khuếch đại thông qua máy chủ Memcached, với đỉnh điểm là 1.35 Tps, tương đương với 126.9 triệu gói tin mỗi giây.”

Theo: thehackernews.com

 

Các cuộc tấn công khuếch đại DDoS nhắm đến các máy chủ Memcached

memcached-amplification-ddos-attack

Các tội phạm mạng vừa tìm ra cách tấn công DDoS vào các máy chủ Memcached, khiến cho một số hạ tầng Internet và nhiều trang web bị đánh sập.

Trong thời gian gần đây, các nhà nghiên cứu an toàn bảo mật tại Cloudflare, Arbor Networks, và công ty bảo mật Trung Quốc Qihoo 360 đã đưa ra thông báo về việc các tin tặc đang nhắm vào “Memcached” để khuếch đại các cuộc tấn công DDoS của chúng bằng số lượng lớn chưa từng thấy – 51.200 lần.

Memcached là một hệ thống caching phân tán mã nguồn mở phổ biến và dễ cài đặt, cho phép các đối tượng được lưu trữ trong bộ nhớ và được thiết kế chịu được số lượng lớn kết nối đến. Máy chủ Memcached chạy trên TCP hoặc UDP cổng 11211.

Ứng dụng Memcached được thiết kế để tăng tốc độ các ứng dụng web động bằng cách giảm tải trên cơ sở dữ liệu, giúp người quản trị tăng hiệu năng và cân đối ứng dụng web. Nó được sử dụng rộng rãi bởi hàng ngàn trang web, bao gồm Facebook, Flickr, Twitter, Reddit, Youtube và Github.

Được đặt tên là Memcrashed bởi Cloudflare, cuộc tấn công nhắm đến các server Memcached không được bảo vệ có sử dụng UDP để phát tán các cuộc tấn công DDoS gấp 51.200 lần khả năng xử lý của máy chủ, làm cho nó trở thành phương thức khuếch đại mạnh nhất trong lịch sử tính đến hiện tại.

Memcrashed hoạt động như thế nào?

memcached-amplification-ddos-attack (1)

Giống các phương thức khuếch đại khác, tin tặc chỉ gửi một số lượng request nhỏ từ một địa chỉ IP giả mạo để nhận lại số lượng response lớn hơn nhiều, tấn công khuếch đại Memcrashed cũng hoạt động bằng cách gửi một request giả mạo đến máy chủ mục tiêu (máy chủ UDP có lỗ hổng) trên cổng 11211 với địa chỉ IP giả mạo trùng với địa chỉ IP của nạn nhân.

Theo các nhà nghiên cứu, một request chỉ vài bytes gửi tới server chứa lỗ hổng có thể trả về response lớn hơn gấp 10.000 lần.

” Request 15 bytes tương ứng với response 134KB. Tác nhân khuếch đại tới 10.000 lần! Trên thực tế, chúng tôi đã từng thấy request 15 bytes có response trả về 750KB (khuếch đại 51.200 lần),” theo Cloudflare.

Hầu hết các máy chủ Memcached bị tấn công được đặt tại OVH, Digital Ocean, Sakura và một số nhà cung cấp nhỏ khác.

Tổng cộng có khoảng 5.729 địa chỉ IP nguồn kết hợp với các máy chủ Memcached, nhưng trong tương lai có thể xảy ra nhiều cuộc tấn công hơn, theo báo cáo của trang Shodan, hiện có 88.000 máy chủ Memcached đang mở.

Arbor Networks lưu ý rằng các truy vấn Memcached được sử dụng trong các cuộc tấn công này cũng có thể trỏ tới TCP cổng 11211 trên các máy chủ Memcached không an toàn.

Tuy nhiên các vector khuếch đại trên TCP không được coi là nguy cơ cao bởi các truy vấn TCP không thể bị giả mạo.

Khắc phục

Cách đơn giản nhất để bảo vệ máy chủ Memcached khỏi tấn công là tường lửa, chặn hoặc giới hạn UDP trên cổng 11211.

Nếu không sử dụng đến UDP, người quản trị được khuyến cáo nên tắt chức năng này.

Các nhà cung cấp dịch vụ Internet (ISP) cũng khó có thể chống lại tấn công này bởi việc giả mạo IP là được chấp nhận trên Internet.

Theo: thehackernews.com

 

Khắc phục lỗ hổng DOS trên WordPress: CVE-2018-6389

wordpress-dos-attack-hackingl

Một nhà nghiên cứu an toàn bảo mật người Israel, Barak Tawily, đã phát hiện một cuộc tấn công DoS (Tấn công từ chối dịch vụ) ảnh hưởng tới WordPress phiên bản 3.x-4.x vào ngày 05/02.

Lỗ hổng dựa trên tính năng tăng hiệu năng trên WordPress cho phép các file Javascript và CSS tải về hàng loạt chỉ bằng một request. Cuộc tấn công không ảnh hưởng đến nền tảng Akamai, nhưng ảnh hưởng tới tất cả người dùng WordPress không sử dụng các biện pháp bảo mật phù hợp.

Lỗ hổng được tìm thấy trong ‘load-scripts.php’, một script trong mã nguồn của WordPress dùng để xử lý các yêu cầu của người dùng. Theo quan sát của Akamai SIRT, lỗ hổng cũng được tìm thấy trong ‘load-styles.php’, tuy nhiên việc khai thác file này chưa được xác nhận.

Hai file script này được dùng để tải nội dung trang web bằng cách tìm kiếm tên các file được liệt kê và chúng được ngăn cách với nhau bởi dấu phẩy, ví dụ:

https://example.com/wp-admin/load-scripts.php?c=1&load[]=jquery-ui-core&ver=4.9.1

Trong đó, file .js được tải về là jquery-ui-core. Có tất cả 181 file .js được định nghĩa trong script-loader.php và tất cả file này có thể được tải về chỉ bằng một request. Việc này không yêu cầu phải xác thực và trong khi một request có thể không gây quá tải cho máy chủ, nhưng nếu request nhiều lần mỗi giây thì có thể.

Khắc phục

  • Akamai khuyến cáo sử dụng tính năng kiểm soát của họ để chặn nhiều request từ cùng một địa chỉ IP. Người dùng cũng có thể tạo rule để giới hạn số lượng tham số được truyền vào các file script này.
  • Cách khắc phục trên mã nguồn:
  1. Tải file bash script sau về và upload lên thư mục gốc của wordpress: https://raw.githubusercontent.com/Quitten/WordPress/master/wp-dos-patch.sh
  2. Thực thi file đó và chờ tới khi nhận được thông báo: Successfuly patched.