Thứ Tư, 10 tháng 8, 2011

Mũ đen: Các khai thác tài liệu tiếp tục gia tăng

Black Hat: Document Exploits Continue to Evolve

August 3, 2011, By Sean Michael Kerner

Theo: http://www.datamation.com/security/black-hat-document-exploits-continue-to-evolve.html

Bài được đưa lên Internet ngày: 03/08/2011

Lời người dịch: Cách đây không lâu, trên blog này đã từng đưa tin về chiến dịch Con chuột cống với kiểu Đe dọa Thường Trực Cao cấp APT, trong đó có nạn nhân Việt Nam. Bài viết này nói lên sự dễ dàng khai thác các lỗ hổng trong Word và Excel để tấn công theo dạng APT đó. “Nếu bạn đã cài đặt tất cả các bản vá của Microsoft Office và không có các chỗ bị tổn thương ngày số 0, thì liệu có an toàn để mở một tài liệu Word hoặc Excel hay không?... Câu trả lời là KHÔNG”. Bằng cách này, “một kẻ tấn công có thể tạo ra một cuộc tấn công có khả năng ăn cắp các cookies, các mật khẩu hoặc các thông tin khác của người sử dụng”. Có lẽ với Việt Nam, cách đơn giản nhất là loại bỏ các chuẩn .doc, .xls và .ppt ra khỏi danh mục tiêu chuẩn kỹ thuật về ứng dụng CNTT trong các cơ quan nhà nước như được đi kèm theo thông tư số 01/2011/TT-BTTTT ngày 04/01/2011 thì sẽ triệt để hơn nhiều để: (1) giải quyết vấn nạn này; (2) giải quyết luôn được vấn đề "2 chuẩn cùng tồn tại cùng một lúc có nghĩa là không có chuẩn nào cả" và (3) phù hợp với đường lối triển khai nguồn mở của chính phủ.

Las Vegas. Từng có thời khi mà các tài liệu Microsoft Office dễ dàng có thể bị các tin tặc khai thác, và những ngày đó có thể đang quay lại.

Theo một cặp các nhà nghiên cứu trình diễn tại hội nghị Mũ Đen hôm nay, Microsoft Office vẫn còn là thứ rủi ro, bất chấp nhiều biện pháp an ninh được Microsoft và những hãng khác thực hiện. Các nhà nghiên cứu Đài Loan Sung-ting Tsai (người cũng có tên là TT) và Ming-chieh Pan đã trình diễn nhiều kỹ thuật một cách sống động trước khán thính phòng Mũ Đen để chứng minh lý thuyết rằng họ có thể khai thác các tài liệu và sử dụng chúng như những nền tảng phổ biến các phần mềm độc hại.

TT đã lưu ý rằng gắn kèm tài liệu thường được sử dụng trong các cuộc tấn công kiểu Đe dọa Thường trực Cao cấp APT (Advanced Persistent Thread) khi sự khai thác được tùy biến.

Nếu bạn đã cài đặt tất cả các bản vá của Microsoft Office và không có các chỗ bị tổn thương ngày số 0, thì liệu có an toàn để mở một tài liệu Word hoặc Excel hay không?” TT đã hỏi khán thính phòng. “Câu trả lời là KHÔNG”.

Lý do vì sao câu trả lời là không là vì các kỹ thuật tấn công tài liệu hỗn hợp. TT đã giải thích rằng trong khai thác tài liệu hỗn hợp thì một tệp Flash được nhúng vào trong tài liệu Execl hoặc Word.

TT đã giải thích rằng chương trình Ngăn chặn Chạy Dữ liệu DEP (Data Execution Prevention) của Microsoft có thể bị vô hiệu hóa một cách tiềm tàng thông qua một tệp Flash độc hại. Ông đã lưu ý rằng DEP và Ngẫu nhiên Trình bày Không gian Địa chỉ ASLR (Address Space Layout Randomization) trong Microsoft Windows làm cho những người viết ra cuộc tấn công sự đau đầu.

TT cũng đã lưu ý rằng Microsoft đã tung ra Bộ công cụ Kinh nghiệm Giảm nhẹ Cao cấp EMET (Enhanced Mitigation Experience Toolkit) cũng làm cho khó khăn hơn để khai thác các tệp Office. Nhưng điều đó không có nghĩa là chúng không thể làm gì xung quanh những bảo vệ này được.

LAS VEGAS. There was a time when Microsoft Office documents were easily exploitable by attackers, and those days may be on the way back.

According to a pair of researcher presenting at the Black Hat conference today, Microsoft Office is still at risk, despite multiple security measure taken by Microsoft and others. Taiwanese researchers Sung-ting Tsai (who also goes by the name TT) and Ming-chieh Pan demoed multiple techniques to a live Black Hat audience as proof of concept that they could exploit documents and use them as delivery platforms for malware.

TT noted that document attachment are often used in Advanced Persistent Threat (APT) attacks since the exploit can be customized.

"If you have installed all Microsoft Office patches and there are no 0 day vulnerabilities, will it be safe to open a Word or Excel doucment?" TT asked the audience. " The answer is no."

The reason why the answer is no is because of hybrid document attack techniques. TT explained that in the hybrid document exploit a Flash file is embedded in Excel or Word document.

TT explained that Microsoft's DEP (Data Execution Prevention) can potentially be disabled via a malicious Flash file. That said, he noted that DEP and ASLR (Address Space Layout Randomization) in Microsoft Windows does give attack writers a headache.

TT also noted that Microsoft has released EMET (Enhanced Mitigation Experience Toolkit) which also makes it harder to exploit Office files. But that doesn't mean they still can't get around those protections.

TT đã giải thích rằng với các kỹ thuật trinh thám cao cấp, những nhà nghiên cứu đang thấy những chỗ bị tổn thương mới có thể được thúc đẩy trong các cuộc tấn công hỗn hợp chống lại các tệp Office.

Adobe gần đây cũng đã tăng cường Flash với các khả năng hộp cát (sandboxing) để hạn chế khả năng của các tiến trình giả mạo tiềm tàng. TT đã giải thích rằng với hộp cát Flash thì ý tưởng cơ bản là nếu bạn có thể truy cập được vào mạng thì bạn cũng không thể truy cập được các tệp cục bộ. Và nếu bạn có được sự truy cập cục bộ thì đối tượng Flash sẽ được hạn chế cho sự truy cập mạng đó.

Có một cách để vượt qua được hộp cát Flash mà TT đã trình bày. Ông đã giải thích rằng có khả năng sử dụng một liên kết mms:// mà sẽ kích hoạt Windows để mở IE, tới lượt nó sẽ làm cho Windows Media Player mở. Sử dụng sự khắc phục đơn giản đó, TT nói rằng một kẻ tấn công có thể tạo ra một cuộc tấn công có khả năng ăn cắp các cookies, các mật khẩu hoặc các thông tin khác của người sử dụng.

Như một sự báo trước, ông đã chỉ ra rằng cuộc tấn công làm việc được một cách dễ dàng trong IE7. Với IE8 và IE9, những người sử dụng có một hộp đối thoại đầu tiên sẽ hỏi sự truy cập. TT bổ sung rằng ông có thể tạo ra một hộp đối thoại giả để đánh lừa những người sử dụng nháy OK.

Về việc làm dịu bới các cuộc tấn công tài liệu dạng APT, TT nói rằng chữ ký dựa vào chống virus không làm việc. Ông gợi ý rằng IPS (các hệ thống chống thâm nhập trái phép) có thể giúp giảm nhẹ rủi ro.

TT sau đó đã tiến hành trình diễn cách một số hệ thống IPS có thể đánh tắng được các cuộc tấn công tài liệu hỗn hợp.

Chúng tôi tin tưởng những kẻ tấn công đang làm việc cật lực về các chủ đề này”, TT nói. “Chúng ta muốn các nhà cung cấp an ninh sẽ làm việc về các giải pháp để đưa ra đối phó được với những kẻ tấn công”.

TT explained that with advanced fuzzing techniques, researchers are finding new Flash vulnerabilities that can then be leveraged in hybrid attacks agains Office files.

Adobe has also recently strengthened Flash with sandboxing capabilities to limit the ability of potential rogue processes. TT explained that with Flash sandboxing the basic idea is that if you can access the network then you cannot access local files. And if you have local access then the Flash object will be restricted for network access.

There is a way to get around the Flash sandboxing that TT demonstrated. He explained that it is possible to use an mms:// link that will trigger Windows to open IE, which in turn will cause Windows Media Player to open. Using that simple workaround, TT said that an attacker could create an attack that might be able to steal user's cookies, passwords or other information.

As a caveat, he showed that the attack worked easily in IE 7. With IE 8 and 9, users get a dialogue box that first asked for access. TT added that he could likely create a false dialogue box to trick users to click okay.

In terms of mitigating against APT document attacks, TT said that signature based anti-virus doesn't work. He suggest that IPS (intrusion prevention systems) could help to mitigate risk.

TT then proceed to demonstrate how some IPS systems could be defeated in order to enable the hybrid document attacks.

"We believe attackers are working hard on these topics," TT said. "We wish security vendors will work on solutions to come out ahead of the attackers."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.