Targeted attacks on businesses continue
19 January 2010, 12:42
Theo: http://www.h-online.com/security/news/item/Targeted-attacks-on-businesses-continue-907696.html
Bài được đưa lên Internet ngày: 19/01/2010
Lời người dịch: Sau khi bọn tin tặc sử dụng lỗi của Internet Explorer (IE) để tấn công Google, tiếp sau việc Văn phòng Liên bang Đức về An ninh Thông tin (BSI), bây giờ tới Pháp (CERTA) và Úc (CERT) cũng cảnh báo chống lại việc sử dụng trình duyệt của Microsoft và khuyến cáo sử dụng các sản phẩm thay thế khác. Một khai thác đối với chỗ bị tổn thương này bây giờ đang lưu thông một cách mở. Chỗ bị tổn thương này khai thác một lỗi trong thư viện của trình xem HTML mshtml.dll của Microsoft mà nó xảy ra khi xử lý các đối tượng sự kiện đặc biệt của JavaScript. Trong khi lỗi của Adobe Reader đã được sửa, thì lỗi của IE vẫn chưa có bản vá nào sẵn sàng. Không biết người sử dụng Việt Nam có được cảnh báo về việc không nên sử dụng IE trong lúc này hay không???
Chỗ bị tổn thương của Internet Explorer được sử dụng cho các cuộc tấn công vào Google có thể là câu chuyện của thành phố này ngay bây giờ, nhưng sự nguy hiểm còn hiện ra lù lù từ những hướng khác, ở dạng của các tệp PDF một cách đặc biệt. Dù Adobe đã tung ra một cập nhật cho bản Reader tự do vào tuần trước, thì bọn tội phạm và gián điệp đang tiếp tục lợi dụng thực tế là không phải tất cả những người sử dụng và các công ty đều đã cài đặt các bản cập nhật đó.
F-Secure đang báo cáo một cuộc tấn công vào một công ty Mỹ mà nó thực hiện các hợp đồng cho Bộ Quốc phòng. Những kẻ tấn công tuần trước, được tin tưởng là từ Đài Loan, đã gửi cho công ty này một tài liệu nhìn có vẻ dễ lầm lẫn là đích thực mà nó khai thác một chỗ bị tổn thương đã được biết (doc.meia.newPlayer) trong Adobe Reader để cài đặt một cửa hậu lên một máy tính cá nhân Windows. Bản cập nhật từ Adobe sửa chính xác chỗ bị tổn thương này.
Tuy nhiên, vẫn không có bản cập nhật nào sẵn sàng cho chỗ bị tổn thương trong Internet Explorer. Sau việc tư vấn từ Văn phòng Liên bang Đức về An ninh Thông tin (BSI), Pháp (CERTA) và Úc (CERT) bây giờ cũng cảnh báo chống lại việc sử dụng trình duyệt của Microsoft và khuyến cáo sử dụng các sản phẩm thay thế khác. Một khai thác đối với chỗ bị tổn thương này bây giờ đang lưu thông một cách mở. Chỗ bị tổn thương này khai thác một lỗi trong thư viện của trình xem HTML mshtml.dll của Microsoft mà nó xảy ra khi xử lý các đối tượng sự kiện đặc biệt của JavaScript.
Ví dụ, một số công ty Đức đã phản ứng bằng cách cấm các nhân viên lướt web bằng Internet Explorer. Dù Microsoft đã đưa ra cách khắc phục, như là việc cho phép ngăn ngừa thừa hành các dữ liệu (DEP) và vô hiệu hóa các scripting tích cực, thì người sử dụng trung bình hình như có những vấn đề sau các bước được yêu cầu này - giả thiết là họ còn nhận thức được về vấn đề này. Vẫn còn chưa có bất kỳ báo cáo nào của các website sẵn sàng nói chung khai thác chỗ bị tổn thương này.
The Internet Explorer vulnerability used for the attacks on Google may be the talk of the town right now, but danger also looms from other directions, in the form of specially crafted PDF files. Although Adobe released an update for its free Reader last week, criminals and spies are continuing to take advantage of the fact that not all users and companies have installed the updates.
F-Secure is reporting an attack on a US company which performs contracts for the US Department of Defence. Last week attackers, believed to be from Taiwan, sent the company a deceptively genuine-looking document which exploits a known vulnerability (doc.media.newPlayer) in Adobe Reader to install a back door on a Windows PC. The update from Adobe fixes precisely this vulnerability.
However, there is still no update available for the vulnerability in Internet Explorer. Following the advice from the German Federal Office for Information Security (BSI), the French (CERTA) and Australian CERTs are also now warning against using the Microsoft browser and recommend the use of alternative products. An exploit for the vulnerability is now openly circulating. The vulnerability exploits a bug in Microsoft's mshtml.dll HTML Viewer library which occurs when processing specific JavaScript event objects.
Some German companies, for example, have already reacted by banning staff from surfing with Internet Explorer. Although Microsoft has published workarounds, such as enabling data execution prevention (DEP) and disabling active scripting, the average user is likely to have problems following the steps required – assuming they are even aware of the problem. There have not yet been any reports of generally available websites exploiting the vulnerability.
Trong khi chờ đợi thì Google đang điều tra liệu các nhân viên từ hoạt động ở Trung Quốc của hãng liệu có liên quan hay không trong các cuộc tấn công này. Hãng này được báo cáo sẽ phân tích các mạng tại chi nhánh Trung Quốc của hãng để theo dõi trojan cửa hậu được sử dụng trong các cuộc tấn công. McAfee đã đưa ra phân tích đầu tiến về các cuộc tấn công của Aurora, đã gán tên cho phần mềm độc hại có liên quan là Exploit-Comele và Roarur.dr và đã đưa ra các chữ ký cho những mẩu phần mềm độc hại này. Các nhà cung cấp phần mềm chống virus khác (chỉ định các tên của riêng họ cho phần mềm độc hại này) cũng đã đưa ra các chữ ký cho việc dò tìm khai thác này.
Google is meanwhile investigating whether staff from its Chinese operation may have been involved in the attacks. The company is reported to be analysing the networks at its Chinese subsidiary for traces of the back door trojan used in the attacks. McAfee, which published the first analysis of the Aurora attacks, has dubbed the malware involved Exploit-Comele and Roarur.dr and released signatures for these pieces of malware. Other anti-virus vendors (assigning their own names to the malware) have also released signatures for detecting this exploit.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.