Ngay sau khi phát hiện, ESET đã báo cáo với Trung tâm ứng cứu an toàn của Microsoft để phát hành bản vá khẩn cấp khắc phục lỗ hổng này.
Theo Microsoft, đây là lỗ hổng cho phép leo thang đặc quyền tồn tại trong Windows, khi thành phần Win32k không xử lý đúng các đối tượng trong bộ nhớ. Lỗ hổng được dịnh danh CVE-2019-132. Nếu khai thác thành công lỗ hổng này, kẻ tấn công có thể thực thi mã tùy ý trong chế độ nhân (kernel), từ đó có thể cài đặt chương trình; xem, thay đổi hoặc xóa dữ liệu; tạo tài khoản với người dùng đặc quyền. Để thực hiện, kẻ tấn công cần đăng nhập thành công vào hệ thống và thực thi một ứng dụng tự tạo nhằm khai thác lỗ hổng và kiểm soát hệ thống bị ảnh hưởng.
Các nhà nghiên cứu cho rằng, các hành vi tấn công này xuất phát từ nhóm tội phạm mạng Buhtrap. Trong nhiều năm qua, nhóm tin tặc này được biết đến với các hoạt động gián điệp ở Đông Âu và Trung Á. Đây là lần đầu tiên, Buhtrap khai thác lỗ hổng zero-day sử dụng trong chiến dịch tấn công của nhóm. Hoạt động từ cuối năm 2015, Buhtrap nhắm mục tiêu vào các tổ chức tài chính và doanh nghiệp ở Nga. Tuy nhiên, trong thời gian gần đây, các nhà nghiên cứu đã phát hiện có sự thay đổi đáng kể về mục tiêu hoạt động của Buhtrap.
Ông Jean-Ian Boutin, Trưởng phòng Nghiên cứu mối đe dọa tại ESET cho rằng, việc tìm ra kẻ đứng sau một chiến dịch tấn công là điều khó khăn khi các công cụ khai thác của tin tặc ngày càng trở phổ biến và miễn phí trên Internet. Tuy nhiên, do sự thay đổi về mục tiêu trước khi mã nguồn bị rò rỉ, nên ESET chắc chắn rằng, Buhtrap đang nhắm mục tiêu tới các tổ chức chính phủ. Chưa rõ nguyên nhân vì sao nhóm tin tặc này lại thay đổi mục tiêu, nhưng đây chắc chắn là sự chuyển hướng trong tương lai.
An Dương
Theo Infosecurity
08:00 | 26/03/2019
08:00 | 25/10/2018
14:00 | 05/02/2021
13:00 | 15/03/2021
10:00 | 07/08/2019
09:00 | 31/05/2018
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024