Gửi lúc: 17/07/2019 10:53:46
Bookmark and Share

Phát hiện chiến dịch tấn công khai thác lỗ hổng zero-day trên Windows

Theo thông tin từ hãng bảo mật ESET (có trụ sở tại Slovakia), một chiến dịch tấn công có chủ đích nhắm vào khu vực Đông Âu được cho là xuất phát từ nhóm tin tặc Buhtrap đã khai thác thành công lỗ hổng zero-day trong hệ điều hành Windows.

Ngay sau khi phát hiện, ESET đã báo cáo với Trung tâm ứng cứu an toàn của Microsoft để phát hành bản vá khẩn cấp khắc phục lỗ hổng này.

Theo Microsoft, đây là lỗ hổng cho phép leo thang đặc quyền tồn tại trong Windows, khi thành phần Win32k không xử lý đúng các đối tượng trong bộ nhớ. Lỗ hổng được dịnh danh CVE-2019-132. Nếu khai thác thành công lỗ hổng này, kẻ tấn công có thể thực thi mã tùy ý trong chế độ nhân (kernel), từ đó có thể cài đặt chương trình; xem, thay đổi hoặc xóa dữ liệu; tạo tài khoản với người dùng đặc quyền. Để thực hiện, kẻ tấn công cần đăng nhập thành công vào hệ thống và thực thi một ứng dụng tự tạo nhằm khai thác lỗ hổng và kiểm soát hệ thống bị ảnh hưởng.

Các nhà nghiên cứu cho rằng, các hành vi tấn công này xuất phát từ nhóm tội phạm mạng Buhtrap. Trong nhiều năm qua, nhóm tin tặc này được biết đến với các hoạt động gián điệp ở Đông Âu và Trung Á. Đây là lần đầu tiên, Buhtrap khai thác lỗ hổng zero-day sử dụng trong chiến dịch tấn công của nhóm. Hoạt động từ cuối năm 2015, Buhtrap nhắm mục tiêu vào các tổ chức tài chính và doanh nghiệp ở Nga. Tuy nhiên, trong thời gian gần đây, các nhà nghiên cứu đã phát hiện có sự thay đổi đáng kể về mục tiêu hoạt động của Buhtrap.

Ông Jean-Ian Boutin, Trưởng phòng Nghiên cứu mối đe dọa tại ESET cho rằng, việc tìm ra kẻ đứng sau một chiến dịch tấn công là điều khó khăn khi các công cụ khai thác của tin tặc ngày càng trở phổ biến và miễn phí trên Internet. Tuy nhiên, do sự thay đổi về mục tiêu trước khi mã nguồn bị rò rỉ, nên ESET chắc chắn rằng, Buhtrap đang nhắm mục tiêu tới các tổ chức chính phủ. Chưa rõ nguyên nhân vì sao nhóm tin tặc này lại thay đổi mục tiêu, nhưng đây chắc chắn là sự chuyển hướng trong tương lai.

An Dương (Theo Infosecurity)