MS knew of Aurora exploit four months before Google attacks
Trung Quốc rọi sáng vấn đề
China light on the matter
By John Leyden • Get more from this author
Posted in Enterprise Security, 22nd January 2010 16:46 GMT
Theo: http://www.theregister.co.uk/2010/01/22/aurora_exploit_known_months/
Bài được đưa lên Internet ngày: 22/01/2010
Lời người dịch: Aurora, lỗi mà các tin tặc đã lợi dụng để tấn công vào Google và khoảng 30 hãng khác của Mỹ đã từng được một hãng an ninh của Israel thông báo từ 4 tháng trước cho Microsoft. “Thông tin của BugSec nói rằng hãng đã báo lỗi này cho người khổng lồ về phần mềm vào ngày 26/08. Lỗi này đã ảnh hưởng tới IE 6, IE 7 và IE 8 (bản mới nhất), nhưng các cuộc tấn công của tin tặc chống lại Google và những hãng khác đã nhắm vào IE 6, một trình duyệt lần đầu được tung ra vào năm 2001. Những khai thác này đã lừa những người sử dụng đối với các trình duyệt bị tổn thương tới thăm các website đánh bẫy. Những site này đã tải về Trojan cửa hậu Hydraq và các thành phần độc hại khác vào các máy tính cá nhân bị lây nhiễm”.
Microsoft lần đầu tiên biết về lỗi được sử dụng trong Chiến dịch bỉ ổi Aurora khai thác IE từ tháng 08, 4 tháng trước khi chỗ bị tổn thương này đã được sử dụng trong các khai thác chống lại Google và các hãng công nghệ cao khác vào tháng 12, điều đã được nổi lên.
Người lùn về an ninh Redmond cuối cùng đã đưa ra bản vá khai thác này hôm thứ ba. Tư vấn của Microsoft đi kèm cập nhật tích lũy của hãng cho IE được thừa nhận bởi Meron Sellem của hãng BugSec của Israel cho việc báo cáo chỗ Bị tổn thương làm Hỏng Bộ nhớ Đối tượng HTML (CVE-2010-0249), chỗ bị tổn thương ngày số 0 được sử dụng hiện nay trong các cuộc tấn công bỉ ổi.
Thông tin của BugSec nói rằng hãng đã báo lỗi này cho người khổng lồ về phần mềm vào ngày 26/08. Lỗi này đã ảnh hưởng tới IE 6, IE 7 và IE 8 (bản mới nhất), nhưng các cuộc tấn công của tin tặc chống lại Google và những hãng khác đã nhắm vào IE 6, một trình duyệt lần đầu được tung ra vào năm 2001. Những khai thác này đã lừa những người sử dụng đối với các trình duyệt bị tổn thương tới thăm các website đánh bẫy. Những site này đã tải về Trojan cửa hậu Hydraq và các thành phần độc hại khác vào các máy tính cá nhân bị lây nhiễm.
ThreatPost, một dịch vụ thông tin của Kaspersky Labs, nói rằng một bản vá chống lại lỗi này đã được dự kiến đưa ra vào tháng 2. Điều này đã được nêu trước đó để trả lời cho một dãy các thừa nhận ngạc nhiên của Google tuần trước, rằng lỗi này đã bị khai thác trong các cuộc tấn công gián điệp không gian mạng hướng vào hãng và các hãng công nghệ khác.
Các nhà cung cấp phần mềm thường mất nhiều tháng để phát triển các phần sửa lỗi an ninh, một quá trình mà nó thường liên quan tới rất nhiều công việc thử nghiệm. Một loại các sự kiện không may làm cho lỗi cụ thể này đã trở thành một trong những thứ bỉ ổi nhất trong năm. Ngay cả bây giờ chúng ta biết được các chi tiết, thì sự hiệu nghiệm trong tương lai của lỗi này còn lâu mới có thể thấy ngay được.
Một tìm kiếm nhanh trong cơ sở dữ liệu của Secunia, thông qua công cụ vá PSI của mình, hé lộ một vấn đề với một kiểm soát ActiveX còn chưa được vá mà nó coi là tồi tệ, như một ví dụ.
Thảo luận nhiều hơn về việc liệu bản vá của Microsoft có là trễ muộn hay không, và vai trò của tính có thể bị tổn thương trong các cuộc tấn công của Chiến dịch Aurora (có lẽ là vật trung gian duy nhất), có thể thấy trên một bài viết trên blog của Graham Cluley của Sophos ở đây.
Microsoft first knew of the bug used in the infamous Operation Aurora IE exploits as long ago as August, four months before the vulnerability was used in exploits against Google and other hi-tech firms in December, it has emerged.
Redmond's security gnomes finally got around to patching the exploit on Thursday. Microsoft's advisory accompanying its cumulative update for IE credited Meron Sellem of Israeli firm BugSec for reporting the HTML Object Memory Corruption Vulnerability (CVE-2010-0249), the zero-day vulnerability used in the now infamous attacks.
BugSec's bulletin states that it reported the bug to the software giant on 26 August. The bug affected IE 6, IE 7 and IE 8 (the latest version), but the hack attacks against Google et al targeted IE 6, a browser first released in 2001. Exploits involved tricking users of vulnerable browsers into visiting booby-trapped websites. These sites downloaded the Hydraq backdoor Trojan and other malicious components onto compromised PCs.
ThreatPost, a Kaspersky Labs news service, reports that a patch against the flaw was lined up for release in February. It was published early in response to the row that followed Google's surprise admission last week, that the bug was being exploited in cyber-espionage attacks targeting it and other hi-tech firms.
Software vendors in general often take months to develop security fixes, a process that often involves a great deal of testing work. An unfortunate set of events meant that this particular bug became one of the most infamous in years. Even now we know the details, the future potency of the bug is far from immediately apparent.
A quick search of Secunia's database, via its PSI patching tool, reveals a problem with an unpatched ActiveX control that looks just as bad, for example.
More discussion on whether Microsoft's patch was tardy or not, and the role of the vulnerability in the Operation Aurora attacks (it may not have been the only vector), can be found in a blog entry by Graham Cluley of Sophos here. ®
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.