Attackers
actively exploit Windows bug that uses USB sticks to infect PCs
Trong
sự khai thác hoang dại làm gợi nhớ lại những điều
được sử dụng để mở xích cho sâu Stuxnet.
In-the-wild
exploit is reminiscent of those used to unleash Stuxnet worm.
by
Dan Goodin - Aug 12, 2015 12:00pm WIB
Bài
được đưa lên Internet ngày: 12/08/2015
Những
kẻ tấn công đang tích cực khai thác chỗ bị tổn thương
trong tất cả các phiên bản Windows được hỗ trợ mà
cho phép chúng thực thị mã độc khi các đích thiết lập
USB đặt bẫy trong các máy tính của họ, Microsoft đã
cảnh báo hôm thứ Ba trong một bản tin định kỳ thường
xuyên vá lỗi đó.
Trong
bản
tin ngày thứ Ba, các quan chức Microsoft đã viết:
Một chỗ bị tổn thương khi leo tháng quyền ưu tiên khi
thành phần Mount Manager xử lý không đúng các liên kết
biểu tượng. Một kẻ tấn công khai thác thành công chỗ
bị tổn thương này có thể viết một tệp nhị phân độc
hại vào đĩa và thực thi nó.
Để khai thác chỗ bị tổn thương đó, một kẻ tấn
công có thể chèn một thiết bị USB độc hại vào một
hệ thống đích. Bản cập nhật an toàn giải quyết chỗ
bị tổn thương này bằng việc loại bỏ mã bị tổn
thương khỏi thành phần đó.
Microsoft đã nhận được thông tin về chỗ bị tổn
thương này qua sự mở ra chỗ bị tổn thương được
phối hợp. Khi bản tin an toàn này đã được đưa ra,
Microsoft có lý do để tin tưởng rằng chỗ bị tổn
thương này đã được sử dụng trong các cuộc tấn công
có chủ đích chống lại các khách hàng.
Chỗ
bị tổn thương làm gợi nhớ lại về một lỗi
sống còn bị nhóm tin tặc có liên quan tới NSA và có tên
là Equation Group khai thác khoảng năm 2008 và sau này
những kẻ tạo ra sâu máy tính Stuxnet mà đã phá hỏng
chương trình hạt nhân của Iran, khai thác. Chỗ bị tổn
thương đó nằm trong các hàm xử lý các tệp .LNK mà
Windows sử dụng để hiển thị các biểu tượng khi một
đầu USB được cắm vào - đã cho phép những kẻ tấn
công thả ra một sâu máy tính mạnh lan truyền từ máy
tính này sang máy tính khác mỗi lần chúng tương tác với
ổ đĩa độc hại.
Khi
Microsoft và chỗ bị tổn thương .LNK vào năm 2010 với
MS10-046,
các quan chức của hãng đã phân loại chỗ bị tổn
thương đó như là “sống còn”, xếp hạng nghiêm trọng
cao nhất của hãng. Sự phân loại dường như phù hợp,
cân nhắc tới sự thành công các khai thác .LNK trong số
lượng lớn các máy tính bị ảnh hưởng. Vì các lý do
còn chưa rõ, chỗ bị tổn thương của ngày thứ Ba đã
được xếp hạng là “quan trọng”, xếp hạng nghiêm
trọng cao thứ 2 của Microsoft.
Cập
nhật: Như nhà nghiên cứu Martijn Grooten của Virus
Bulletin đã chỉ ra, chỗ
bị tổn thương .LNK đã bị khai thác từ ở xa, cho
phép nó lây nhiễm hàng triệu người. Ngược lại, lỗ
được vá ngày thứ Ba dường như yêu cầu một đầu
USB, một yêu cầu mà có thể hạn chế nhiều tới mức
độ của cuộc tấn công. Đó có khả năng là lý do cho
việc xếp hạng nghiêm trọng thấp hơn đó.
Bổ
sung thêm vào việc sửa lỗi, Microsoft cũng đang phát hành
phần mềm cho phép các máy tính được vá ghi
lưu ký để khai thác lỗi đó. Điều đó sẽ làm dễ
dàng hơn cho mọi người biết liệu họ có phải là đích
của những kẻ tấn công hay không.
Một
cách riêng rẽ, một từ cảnh báo: cài
đặt các gói ngôn ngữ của Windows sẽ đòi
hỏi bản vá ngày thứ Ba được cài đặt lại. Một
cách tương ứng, trước khi chạy bản cập nhật, những
người sử dụng nên chắc chắn họ cài đặt bất kỳ
gói ngồn ngữ nào họ nghĩ họ cần trong tương lai.
Sự
sửa lỗi cho chỗ bị tổn thương USB từng là một trong
số 14 bản tin các bản vá mà Microsoft đã xuất bản hôm
thứ ba như là một phần của vòng cập nhật hàng tháng
của hãng. Microsoft thường nhận diện theo tên người
hoặc nhóm báo cáo các chỗ bị tổn thương được sửa.
Tuy nhiên, trong trường hợp này, hãng đã không làm tỉ
mỉ ngoài việc nói thông báo đi “qua sự mở ra chỗ bị
tổn thương được phối hợp”.
Attackers
are actively exploiting a vulnerability in all supported versions of
Windows that allows them to execute malicious code when targets mount
a booby-trapped USB on their computers, Microsoft warned Tuesday in a
regularly scheduled bulletin that patches the flaw.
In
Tuesday's
bulletin, Microsoft officials wrote:
An elevation of privilege
vulnerability exists when the Mount Manager component improperly
processes symbolic links. An attacker who successfully exploited this
vulnerability could write a malicious binary to disk and execute it.
To exploit the vulnerability, an
attacker would have insert a malicious USB device into a target
system. The security update addresses this vulnerability by removing
the vulnerable code from the component.
Microsoft received information
about this vulnerability through coordinated vulnerability
disclosure. When this security bulletin was issued, Microsoft has
reason to believe that this vulnerability has been used in targeted
attacks against customers.
The
vulnerability is reminiscent of a critical
flaw exploited around 2008 by an NSA-tied hacking group dubbed
Equation Group and later by the creators of the Stuxnet computer
worm that disrupted Iran's nuclear program. The vulnerability—which
resided in functions that process so-called .LNK files Windows uses
to display icons when a USB stick is plugged in—allowed the
attackers to unleash a powerful computer worm that spread from
computer to computer each time they interacted with a malicious
drive.
When
Microsoft patched the .LNK vulnerability in 2010 with MS10-046,
company officials classified the vulnerability as "critical,"
the company's highest severity rating. The classification seemed
appropriate, considering the success of the .LNK exploits in
infecting large numbers of air-gapped computers. For reasons that
aren't clear, Tuesday's vulnerability has been rated "important,"
Microsoft's second-highest severity rating.
Update:
As Virus Bulletin researcher Martijn Grooten pointed out, the .LNK
vulnerability was remotely exploitable, allowing it to infect
millions of people. By contrast, the bug patched Tuesday appears to
require a USB stick, a requirement that would greatly limit the scale
of attacks. That's the likely reason for the lower severity rating.
In
addition to fixing the bug, Microsoft is also releasing software that
allows patched computers to log
attempts to exploit the bug. That will make it easier for people
to know if they were targeted by attackers.
Separately,
a word of caution: the installation
of Windows language packs will require
Tuesday's patch to be reinstalled. Accordingly, before running
the update, users should make sure they install any language packs
they expect to need in the future.
The
fix for the USB vulnerability was one of 14 patch bulletins Microsoft
published on Tuesday as part of its monthly update cycle. Microsoft
typically identifies by name the person or group reporting the
vulnerabilities that get fixed. In this case, however, the company
didn't elaborate beyond saying notification came "through
coordinated vulnerability disclosure."
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.