Phương thức tấn công khởi động nguội mới cho phép đánh cắp khóa mã hóa và các thông tin nhạy cảm

09:00 | 12/10/2018 | HACKER / MALWARE

Các nhà nghiên cứu của công ty an ninh mạng F-Secure (Phần Lan) đã phát triển một công cụ mới để thực hiện phương thức tấn công khởi động nguội. Công cụ này cho phép tin tặc đánh cắp được khóa mã hóa và các thông tin nhạy cảm khác từ thiết bị của nạn nhân khi đang trong chế độ nghỉ (sleep mode).

Phương thức tấn công khởi động nguội mới cho phép đánh cắp khóa mã hóa và các thông tin nhạy cảm

Olle Segerdahl - cố vấn an ninh chính của F-Secure và cộng sự Pasi Saarinen đã phát triển một loại tấn công có thể vượt qua cơ chế hạn chế lỗi BIOS, bằng việc khai thác một số điểm yếu trong cách bảo vệ phần mềm cho phần cứng máy tính (firmware) của một số hãng như Apple, Dell, Lenovo và các dòng máy tính được sản xuất trong 10 năm trở lại đây.

Lỗ hổng xảy ra khi một máy tính được khởi động lại hoặc tắt đi không đúng tiến trình. Khi đó, các thông tin quan trọng vẫn còn nằm trong bộ nhớ RAM sau khi thiết bị tắt. Phương pháp tấn công này cũng vượt qua một số cơ chế hạn chế tấn công khởi động nguội hiện có trên máy tính.

Các chuyên gia đã tìm ra cách vô hiệu hóa tính năng ghi đè thông qua việc xử lý phần cứng của máy tính. Bằng một công cụ đơn giản, các chuyên gia có thể viết lại chip bộ nhớ điện tĩnh (bộ nhớ bất biến - non-volatile memory) có chứa các cài đặt, vô hiệu hóa ghi đè bộ nhớ và cho phép khởi động từ thiết bị bên ngoài. Phương thức tấn công khởi động nguội được thực hiện bằng cách khởi động một chương trình đặc biệt qua USB.

Segerdahl cho rằng, chế độ nghỉ của máy tính là chế độ dễ bị tấn công, vì tin tặc với quyền tiếp cận trực tiếp với thiết bị có thể cài đặt lại phần mềm cho phần cứng máy tính một cách đơn giản. Các chuyên gia đã thực hiện cuộc tấn công bằng cách sử dụng một chiếc USB được chế tạo đặc biệt để kết xuất thông tin từ bộ nhớ pre-boot, từ đó có thể lấy được mật khẩu máy tính và truy cập được vào thiết bị.

Kiểu tấn công này không đơn giản để thực hiện và yêu cầu quyền tiếp cận vật lý mới có thể làm được. Tuy nhiên, các nhà nghiên cứu khuyến cáo rằng, vì kỹ thuật tấn công này được tin tặc biết đến và có thể thực hiện trên hầu hết các loại máy tính hiện đại, nên các công ty cần đề phòng và chú ý.

Để ngăn chặn mối đe dọa này, các nhà nghiên cứu khuyến cáo, các công ty nên sử dụng mã PIN để truy cập vào phần khôi phục, khởi động, tắt, nghỉ, ngủ đông máy tính, giữ an toàn về mặt vật lý cho máy tính, báo cáo các thiết bị mất tích và có kế hoạch ứng phó khẩn cấp để xử lý các thiết bị mất tích đó.

Theo Segerdahl, thông thường, các tổ chức không chuẩn bị trước để bảo vệ mình khỏi những kẻ tấn công có quyền sử dụng trực tiếp máy tính của công ty. Khi gặp phải sự cố bảo mật trong các thiết bị từ những nhà cung cấp máy tính lớn, như lỗ hổng mà các chuyên gia đã tìm được để khai thác, người dùng cần hiểu rằng rất nhiều công ty còn tồn tại liên kết yếu trong bộ phận an ninh mà họ không phát hiện được và chuẩn bị để khắc phục.

Các nhà nghiên cứu đã chia sẻ nghiên cứu của họ với Microsoft, Intel, Apple và cả ba công ty này đều đang tìm kiếm các chiến lược để khắc phục lỗ hổng.

Toàn Thắng

Theo SC

‹ › ×

Tin liên quan

5 thách thức trong việc phát hiện tấn công bằng mã độc không dùng tệp

11:00 | 17/09/2018

Áp dụng một cách đơn giản các phỏng đoán và các công cụ dùng tệp (file-based tools) đối với tấn công không dùng tệp (fileless attack) là một chiến lược không hiệu quả. Bài viết này trình bày 05 thách thức trong việc phát hiện tấn công bằng mã độc không dùng tệp.

Kiểu tấn công Man-in-the-Disk nhắm vào hệ điều hành Android

16:00 | 10/09/2018

Các nhà nghiên cứu tại hãng công nghệ phần mềm Check Point (trụ sở chính tại Israel) vừa phát hiện một kiểu tấn công mới nhắm vào hệ điều hành Android, có thể cho phép kẻ xấu âm thầm lây lan ứng dụng độc hại vào điện thoại di động hoặc thực hiện các cuộc tấn công từ chối dịch vụ.

Tấn công kênh kề mới vào bộ xử lý của Intel, ARM, IBM và AMD

14:00 | 29/10/2020

Nguyên nhân của một số cuộc tấn công thực hành suy đoán (speculative execution) trước đây như Meltdown và Foreshadow để chống lại các bộ xử lý hiện đại, bị hiểu sai là do hiệu ứng tìm nạp trước (prefetching effect), dẫn đến việc các nhà cung cấp phần cứng phát hành các bản vá và biện pháp đối phó không hoàn chỉnh.

Các hình thức tấn công Social Engineering phổ biến

08:00 | 19/09/2018

Sự phát triển của công nghệ, đặc biệt là Internet đã giúp cuộc sống của con người trở nên thuận tiện và dễ dàng hơn. Tuy nhiên kéo theo đó là sự gia tăng nhiều hình thức lừa đảo công nghệ cao nhằm chiếm đoạt thông tin, tài sản cá nhân. Các hình thức lừa đảo này được biết đến như là các biểu hiện khác nhau của phương thức tấn công Social Engineering. Mặc dù, đây không phải là kỹ thuật tấn công mới, nhưng nhiều cá nhân và tổ chức vẫn trở thành mục tiêu của tin tặc. Bài báo này giới thiệu về các hình thức tấng công Social Engineering phổ biến và đưa ra một số khuyến nghị về các biện pháp phòng tránh.

Tin cùng chuyên mục

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN

16:00 | 15/04/2024

Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.

Biến thể mới của kỹ thuật tấn công DLL vượt qua các biện pháp bảo vệ của Windows 10, 11

08:00 | 19/01/2024

Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.

Hãng viễn thông lớn nhất Ukraine bị tấn công mạng

15:00 | 18/12/2023

Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.