Lỗ hổng CVE-2018-0950 cho phép kẻ xấu đánh cắp thông tin nhạy cảm, bao gồm cả thông tin đăng nhập Windows của người dùng, chỉ bằng cách lừa họ mở/xem một thư điện tử trong Microsoft Outlook (mà không cần thực hiện bất cứ một thao tác nào khác). Khi Outlook hiển thị nội dung OLD nằm ở xa của một bức thư định dạng Rich Text Format (RTF), ứng dụng sẽ tự động khởi tạo kết nối SMB. Kẻ xấu có thể lợi dụng điều đó bằng cách gửi một bức thư với định dạng RTF, trong đó chứa một hình ảnh (đối tượng OLE) nằm ở máy chủ SMB do chúng kiểm soát. Vì Microsoft Outlook tự động hiển thị nội dung OLE, nó sẽ tự động khởi tạo bước xác thực với máy chủ (do kẻ xấu kiểm soát) bằng giao thức SMB, với hình thức đăng nhập một lần (SSO) – tức là gửi tên người dùng và giá trị băm NTLMv2 của mật khẩu.
Nếu mật khẩu không đủ phức tạp, kẻ xấu có thể dò được mật khẩu từ giá trị băm trong một thời gian ngắn. Hình ảnh dưới đây mô tả cách Windows tự động gửi thông tin đăng nhập của người dùng tới máy chủ của kẻ xấu.
Dormann đã báo cáo về lỗ hổng này cho Microsoft vào tháng 11/2016 và đến tháng 4/2018, Microsoft mới đưa ra bản vá. Tuy nhiên, bản vá chỉ chặn Outlook tự động thiết lập kết nối SMB khi xem trước thư có định dạng RTF email. Nếu người dùng vẫn nhấn vào liên kết dạng UNC trong thư (có dạng \\), thì kết nối SMB vẫn được khởi tạo. Điều đó có nghĩa là bản vá của Microsoft không bảo vệ người dùng 100% (tin tặc vẫn có thể lợi dụng).
Vì thế, người dùng Windows, đặc biệt là những người quản trị hệ thống, được khuyến cáo thực hiện các công việc sau để ngăn chặn việc lợi dụng lỗ hổng:
Nguyễn Anh Tuấn
Theo The Hacker News
09:00 | 23/05/2018
13:00 | 28/06/2018
07:00 | 24/05/2021
08:00 | 20/08/2018
10:00 | 11/09/2018
10:00 | 04/07/2019
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024