Active
0 day attack hijacking IE users threatens a quarter of browser market
Còn
chưa có sẵn sàng bản vá cho lỗi sống còn ảnh hưởng
tới tất cả các phiên bản được hỗ trợ của IE
No
patch available yet for critical bug affecting all supported versions
of IE.
by Dan Goodin - Apr 28
2014, 6:00am ICT
Bài được đưa lên
Internet ngày: 28/04/2014
Lời
người dịch: Các trích đoạn: “Lỗ hổng chạy được
mã của lỗi ngày số 0 trong các phiên bản IE từ 6 tới
11 đại diện cho một mối đe dọa đáng kể đối với
an ninh Internet vì hiện chưa có bản sửa cho lỗi nằm bên
dưới, nó ảnh hưởng ước
tính tới khoảng 26% tổng thị trường trình duyệt”.
Cho tới ngày 28/04, “Còn chưa
có sẵn sàng bản vá cho lỗi sống còn ảnh hưởng tới
tất cả các phiên bản được hỗ trợ của IE”. “Những
kẻ tấn công đang tích cực khai thác một chỗ bị tổn
thương chưa được biết trước đó trong tất cả các
phiên bản Internet Explorer mà cho phép chúng lén lút đột
nhập vào các máy tính bị tổn thương, Microsoft đã cảnh
báo hôm chủ nhật”. Lưu ý:
Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014.
Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer.
Những kẻ tấn công
đang tích cực khai thác một chỗ bị tổn thương chưa
được biết trước đó trong tất cả các phiên bản
Internet Explorer mà cho phép chúng lén lút đột nhập vào
các máy tính bị tổn thương, Microsoft đã cảnh báo hôm
chủ nhật.
Lỗ
hổng chạy được mã của lỗi ngày số 0 trong các phiên
bản IE từ 6 tới 11 đại diện cho một mối đe dọa đáng
kể đối với an ninh Internet vì hiện chưa có bản sửa
cho lỗi nằm bên dưới, nó ảnh hưởng ước tính tới
khoảng 26% tổng thị trường trình duyệt. Đây cũng
là chỗ bị tổn thương nghiêm trọng đầu tiên ảnh
hưởng tới những người sử dụng Windows XP kể từ khi
Microsoft
rút hỗ trợ cho hệ điều hành nhiều năm tuổi này
hồi đầu tháng này. Những người sử dụng mà có lựa
chọn sử dụng một trình duyệt lựa chọn thay thế tránh
tất cả các sử dụng IE thời điểm hiện hành. Những
người vẫn còn phục thuộc vào trình duyệt của
Microsoft nên ngay lập tức cài đặt EMET,
bộ công cụ sẵn có tự do của Microsoft mà mở rộng tốt
cho an ninh các hệ thống Windows.
Chỗ
bị tổn thương được đánh chỉ số chính thức như là
CVE-2014-1776.
Microsoft đã có các bài trên blog ở
đây, ở
đây, và ở
đây đưa ra các chi tiết rõ ràng
còn chưa được phát hiện ở giai đoạn sớm này trong
điều tra của nó. Dù không có chỗ bị tổn thương bị
khai thác trong Adobe Flash, thì việc vô hiệu hóa cài cắm
bổ sung (add-on) của trình cuyệt cũng sẽ vô hiệu hóa
được các cuộc tấn công, các nhà phân tích của hãng
an ninh FireEye Research Labs đã viết trong một
bài riêng biết trên blog được xuất
bản hôm chủ nhật. Việc vô hiệu hóa hỗ trợ ngôn ngữ
đánh dấu vector trong IE cũng làm giảm nhẹ các cuộc tấn
công.
Một nhóm các tin tặc
độc hại nổi tiếng đang khai thác rồi chỗ bị tổn
thương sử dụng sau tự do được biết trước đó trong
các cuộc tấn công có nhắm đích, các nhà nghiên cứu
của FireEye nói. Các cuộc tấn công nở rộ mà các nhà
nghiên cứu đã quan sát thấy nhằm vào các phiên bản IE
9, 10 và 11 và làm việc khi các nạn nhân tới thăm các
website được đặt bẫy. Để vượt qua được sự ngẫu
nhiên về hình thức của không gia địa chỉ và ngăn chặn
thực thi dữ liệu - mà là những giảm nhẹ an ninh
Microsoft đã thiết kế để làm cho khó khăn hơn cho các
tin tặc thực thi ở xa các mã độc - các cuộc tấn công
lạm dụng sự hiện diện của ngôn ngữ đánh dấu vector
và Adobe Flash. Nhóm đó triển khai các cuộc tấn công được
biết tới là đằng sau “các mối đe dọa thường trực
cao cấp” (ATP) khác, chúng sử dụng một kho vũ khí của
các cuộc tấn công lỗi ngày số 0 để thâm nhập các
tập đoàn và các chính phủ đặc thù để lấy các dữ
liệu sở hữu độc quyền và các thông tin nhạy cảm.
“Nhóm ATP có trách
nhiệm về khai thác này từng là nhóm đầu tiên có sự
truy cập tới một số lựa chọn các khai thác lỗi ngày
số 0 dựa vào trình duyệt (như IE, Firefox và Flash) trong
quá khứ”, các nhà phân tích của FireEye viết. “Chúng
cực kỳ thành thạo trong sự chuyển động bên và khó
theo dõi, khi chúng điển hình không sử dụng lại hạ
tầng chỉ huy và kiểm soát. Chúng có một số cửa hậu
bao gồm một cửa hậu được biết như là Pirpi mà chúng
ta đã thảo luận trước đó ở
đây. CVE-2010-3692, là khai thác ngày số 0 trong Internet
Explorer 6, 7 và 8, đã bỏ tải Pirpi được thảo luận
trong trường hợp trước đó này”. FireEye đang khấu trừ
các chi tiết xa hơn về chiến dịch tấn công đó, giả
thiết ngăn chặn được các cuộc tấn công sao chụp hoặc
bảo vệ các bên bị ngắm đích.
Trong khi các cuộc tấn
công hiện hành có giới hạn tới các cá nhân và tổ
chức bị ngắm đích cực kỳ, thì không phải là không
phổ biến đối với các chỗ bị tổn thương để trở
thành bị khai thác rộng rãi hơn rất nhiều trong các giờ
hoặc trong các ngày sau tiết lộ rộng rãi. Những người
sử dụng đầu cuối nên thực thi lưu ý, ít nhất cho tới
khi Microsoft và các nhà nghiên cứu bên thứ 3 khác có thời
gian để tiến hành một sự điều tra tỉ mỉ hơn. Như
đã nêu rồi, phòng thủ tốt nhất bây giờ là tránh sử
dụng tất cả các trình duyệt IE ở bất kỳ nơi nào có
thể. Ngăn chặn điều đó, những người sử dụng IE nên
đảm bảo rằng EMET 4.1 hoặc 5.0 được cài đặt và tất
cả những giảm nhẹ được xúc tác và rằng VML và Flash
bị vô hiệu hóa.
Attackers
are actively exploiting a previously unknown vulnerability in all
supported versions of Internet Explorer that allows them to
surreptitiously hijack vulnerable computers, Microsoft warned Sunday.
The
zero-day code-execution hole in IE versions 6 through 11 represents a
significant threat to the Internet security because there is
currently no fix for the underlying bug, which affects an estimated
26 percent of the total browser market. It's also the first severe
vulnerability to target
affect Windows XP users since Microsoft
withdrew support for that aging OS earlier this month. Users who
have the option of using an alternate browser should avoid all use of
IE for the time being. Those who remain dependent on the Microsoft
browser should immediately install EMET,
Microsoft's freely available toolkit that greatly extends the
security of Windows systems.
The
vulnerability is formally indexed as CVE-2014-1776.
Microsoft has blog posts here,
here,
and here
that lay out bare bones details uncovered at this early stage in its
investigation. Although there is no exploited vulnerability in Adobe
Flash, disabling the browser add-on will also neutralize attacks,
analysts at security firm FireEye Research Labs wrote in a separate
blog post published Sunday. Disabling vector markup language
support in IE also mitigates attacks.
A
known gang of malicious hackers is already exploiting the previously
unknown use-after-free vulnerability in targeted attacks, FireEye
researchers said. The in-the-wild attacks the researchers observed
target IE versions 9, 10, and 11 and work when victims visit
booby-trapped websites. To bypass address space layout randomization
and data execution prevention—which are security mitigations
Microsoft designed to make it harder for hackers to remotely execute
malicious code—the attacks abuse the presence of the vector markup
language and Adobe Flash. The group carrying out the attacks is known
to be behind other "advanced persistent threats," which use
an arsenal of zero-day attacks to penetrate specific corporations and
governments to siphon proprietary data and sensitive information.
"The
APT group responsible for this exploit has been the first group to
have access to a select number of browser-based 0-day exploits (e.g.
IE, Firefox, and Flash) in the past," the FireEye analysts
wrote. "They are extremely proficient at lateral movement and
are difficult to track, as they typically do not reuse command and
control infrastructure. They have a number of backdoors including one
known as Pirpi that we previously discussed here.
CVE-2010-3692, then a 0-day exploit in Internet Explorer 6, 7, and 8,
dropped the Pirpi payload discussed in this previous case."
FireEye
is withholding further details of the attack campaign, presumably to
prevent copycat attacks or protect the targeted parties.
While
the current attacks are limited to extremely targeted individuals or
organizations, it's not uncommon for vulnerabilities to become much
more widely exploited in the hours or days following widespread
disclosure. End users should exercise caution, at least until
Microsoft and other third-party researchers have time to conduct a
more thorough investigation. As already stated, the best defense for
now is to avoid all use of IE whenever possible. Barring that, IE
users should ensure EMET 4.1 or 5.0 is installed and that all
mitigations are enabled and that VML and Flash are disabled.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.