Việc đột nhập tấn công lỗi số 0 đang hoạt động đối với những người sử dụng IE đe dọa 1/4 thị trường trình duyệt

Active 0 day attack hijacking IE users threatens a quarter of browser market

Còn chưa có sẵn sàng bản vá cho lỗi sống còn ảnh hưởng tới tất cả các phiên bản được hỗ trợ của IE

No patch available yet for critical bug affecting all supported versions of IE.

by Dan Goodin - Apr 28 2014, 6:00am ICT

Theo: http://arstechnica.com/security/2014/04/active-0day-attack-hijacking-ie-users-threatens-a-quarter-of-browser-market/

Bài được đưa lên Internet ngày: 28/04/2014

Lời người dịch: Các trích đoạn: “Lỗ hổng chạy được mã của lỗi ngày số 0 trong các phiên bản IE từ 6 tới 11 đại diện cho một mối đe dọa đáng kể đối với an ninh Internet vì hiện chưa có bản sửa cho lỗi nằm bên dưới, nó ảnh hưởng ước tính tới khoảng 26% tổng thị trường trình duyệt”. Cho tới ngày 28/04, “Còn chưa có sẵn sàng bản vá cho lỗi sống còn ảnh hưởng tới tất cả các phiên bản được hỗ trợ của IE”. “Những kẻ tấn công đang tích cực khai thác một chỗ bị tổn thương chưa được biết trước đó trong tất cả các phiên bản Internet Explorer mà cho phép chúng lén lút đột nhập vào các máy tính bị tổn thương, Microsoft đã cảnh báo hôm chủ nhật”. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer.

Những kẻ tấn công đang tích cực khai thác một chỗ bị tổn thương chưa được biết trước đó trong tất cả các phiên bản Internet Explorer mà cho phép chúng lén lút đột nhập vào các máy tính bị tổn thương, Microsoft đã cảnh báo hôm chủ nhật.

Lỗ hổng chạy được mã của lỗi ngày số 0 trong các phiên bản IE từ 6 tới 11 đại diện cho một mối đe dọa đáng kể đối với an ninh Internet vì hiện chưa có bản sửa cho lỗi nằm bên dưới, nó ảnh hưởng ước tính tới khoảng 26% tổng thị trường trình duyệt. Đây cũng là chỗ bị tổn thương nghiêm trọng đầu tiên ảnh hưởng tới những người sử dụng Windows XP kể từ khi Microsoft rút hỗ trợ cho hệ điều hành nhiều năm tuổi này hồi đầu tháng này. Những người sử dụng mà có lựa chọn sử dụng một trình duyệt lựa chọn thay thế tránh tất cả các sử dụng IE thời điểm hiện hành. Những người vẫn còn phục thuộc vào trình duyệt của Microsoft nên ngay lập tức cài đặt EMET, bộ công cụ sẵn có tự do của Microsoft mà mở rộng tốt cho an ninh các hệ thống Windows.

Chỗ bị tổn thương được đánh chỉ số chính thức như là CVE-2014-1776. Microsoft đã có các bài trên blog ở đây, ở đây, và ở đây đưa ra các chi tiết rõ ràng còn chưa được phát hiện ở giai đoạn sớm này trong điều tra của nó. Dù không có chỗ bị tổn thương bị khai thác trong Adobe Flash, thì việc vô hiệu hóa cài cắm bổ sung (add-on) của trình cuyệt cũng sẽ vô hiệu hóa được các cuộc tấn công, các nhà phân tích của hãng an ninh FireEye Research Labs đã viết trong một bài riêng biết trên blog được xuất bản hôm chủ nhật. Việc vô hiệu hóa hỗ trợ ngôn ngữ đánh dấu vector trong IE cũng làm giảm nhẹ các cuộc tấn công.

Một nhóm các tin tặc độc hại nổi tiếng đang khai thác rồi chỗ bị tổn thương sử dụng sau tự do được biết trước đó trong các cuộc tấn công có nhắm đích, các nhà nghiên cứu của FireEye nói. Các cuộc tấn công nở rộ mà các nhà nghiên cứu đã quan sát thấy nhằm vào các phiên bản IE 9, 10 và 11 và làm việc khi các nạn nhân tới thăm các website được đặt bẫy. Để vượt qua được sự ngẫu nhiên về hình thức của không gia địa chỉ và ngăn chặn thực thi dữ liệu - mà là những giảm nhẹ an ninh Microsoft đã thiết kế để làm cho khó khăn hơn cho các tin tặc thực thi ở xa các mã độc - các cuộc tấn công lạm dụng sự hiện diện của ngôn ngữ đánh dấu vector và Adobe Flash. Nhóm đó triển khai các cuộc tấn công được biết tới là đằng sau “các mối đe dọa thường trực cao cấp” (ATP) khác, chúng sử dụng một kho vũ khí của các cuộc tấn công lỗi ngày số 0 để thâm nhập các tập đoàn và các chính phủ đặc thù để lấy các dữ liệu sở hữu độc quyền và các thông tin nhạy cảm.

“Nhóm ATP có trách nhiệm về khai thác này từng là nhóm đầu tiên có sự truy cập tới một số lựa chọn các khai thác lỗi ngày số 0 dựa vào trình duyệt (như IE, Firefox và Flash) trong quá khứ”, các nhà phân tích của FireEye viết. “Chúng cực kỳ thành thạo trong sự chuyển động bên và khó theo dõi, khi chúng điển hình không sử dụng lại hạ tầng chỉ huy và kiểm soát. Chúng có một số cửa hậu bao gồm một cửa hậu được biết như là Pirpi mà chúng ta đã thảo luận trước đó ở đây. CVE-2010-3692, là khai thác ngày số 0 trong Internet Explorer 6, 7 và 8, đã bỏ tải Pirpi được thảo luận trong trường hợp trước đó này”. FireEye đang khấu trừ các chi tiết xa hơn về chiến dịch tấn công đó, giả thiết ngăn chặn được các cuộc tấn công sao chụp hoặc bảo vệ các bên bị ngắm đích.

Trong khi các cuộc tấn công hiện hành có giới hạn tới các cá nhân và tổ chức bị ngắm đích cực kỳ, thì không phải là không phổ biến đối với các chỗ bị tổn thương để trở thành bị khai thác rộng rãi hơn rất nhiều trong các giờ hoặc trong các ngày sau tiết lộ rộng rãi. Những người sử dụng đầu cuối nên thực thi lưu ý, ít nhất cho tới khi Microsoft và các nhà nghiên cứu bên thứ 3 khác có thời gian để tiến hành một sự điều tra tỉ mỉ hơn. Như đã nêu rồi, phòng thủ tốt nhất bây giờ là tránh sử dụng tất cả các trình duyệt IE ở bất kỳ nơi nào có thể. Ngăn chặn điều đó, những người sử dụng IE nên đảm bảo rằng EMET 4.1 hoặc 5.0 được cài đặt và tất cả những giảm nhẹ được xúc tác và rằng VML và Flash bị vô hiệu hóa.

Attackers are actively exploiting a previously unknown vulnerability in all supported versions of Internet Explorer that allows them to surreptitiously hijack vulnerable computers, Microsoft warned Sunday.

The zero-day code-execution hole in IE versions 6 through 11 represents a significant threat to the Internet security because there is currently no fix for the underlying bug, which affects an estimated 26 percent of the total browser market. It's also the first severe vulnerability to target affect Windows XP users since Microsoft withdrew support for that aging OS earlier this month. Users who have the option of using an alternate browser should avoid all use of IE for the time being. Those who remain dependent on the Microsoft browser should immediately install EMET, Microsoft's freely available toolkit that greatly extends the security of Windows systems.

The vulnerability is formally indexed as CVE-2014-1776. Microsoft has blog posts here, here, and here that lay out bare bones details uncovered at this early stage in its investigation. Although there is no exploited vulnerability in Adobe Flash, disabling the browser add-on will also neutralize attacks, analysts at security firm FireEye Research Labs wrote in a separate blog post published Sunday. Disabling vector markup language support in IE also mitigates attacks.

A known gang of malicious hackers is already exploiting the previously unknown use-after-free vulnerability in targeted attacks, FireEye researchers said. The in-the-wild attacks the researchers observed target IE versions 9, 10, and 11 and work when victims visit booby-trapped websites. To bypass address space layout randomization and data execution prevention—which are security mitigations Microsoft designed to make it harder for hackers to remotely execute malicious code—the attacks abuse the presence of the vector markup language and Adobe Flash. The group carrying out the attacks is known to be behind other "advanced persistent threats," which use an arsenal of zero-day attacks to penetrate specific corporations and governments to siphon proprietary data and sensitive information.

"The APT group responsible for this exploit has been the first group to have access to a select number of browser-based 0-day exploits (e.g. IE, Firefox, and Flash) in the past," the FireEye analysts wrote. "They are extremely proficient at lateral movement and are difficult to track, as they typically do not reuse command and control infrastructure. They have a number of backdoors including one known as Pirpi that we previously discussed here. CVE-2010-3692, then a 0-day exploit in Internet Explorer 6, 7, and 8, dropped the Pirpi payload discussed in this previous case."

FireEye is withholding further details of the attack campaign, presumably to prevent copycat attacks or protect the targeted parties.

While the current attacks are limited to extremely targeted individuals or organizations, it's not uncommon for vulnerabilities to become much more widely exploited in the hours or days following widespread disclosure. End users should exercise caution, at least until Microsoft and other third-party researchers have time to conduct a more thorough investigation. As already stated, the best defense for now is to avoid all use of IE whenever possible. Barring that, IE users should ensure EMET 4.1 or 5.0 is installed and that all mitigations are enabled and that VML and Flash are disabled.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com