Lỗ hổng được đặt tên là Kr00k với định danh CVE-2019-15126. Lỗ hổng này khiến các thiết bị sử dụng khóa mã là 0 để mã hóa một phần thông tin truyền tải kết nối của người dùng, cho phép kẻ tấn công giải mã các gói mạng không dây được truyền đi bởi các thiết bị bị ảnh hưởng.
Lỗ hổng này có liên quan đến tấn công cài đặt lại khóa KRACK nổi tiếng được phát hiện vào năm 2017. Lỗ hổng đã được các nhà nghiên cứu ESET phát hiện trong quá trình phân tích về KRACK.
Kr00k tác động đến các thiết bị sử dụng một số loại chip Wi-Fi do Broadcom và Cypress sản xuất. Lỗ hổng có thể ảnh hưởng đến điện thoại thông minh, máy tính bảng, máy tính xách tay, thiết bị IoT, bộ định tuyến và các điểm truy cập của các nhà sản xuất Amazon, Apple, Google, Samsung, Raspberry Pi Foundation, Xiaomi, Asus và Huawei.
ESET cũng đã thử nghiệm các thiết bị sử dụng chip Wi-Fi của Qualcomm, Ralink, Realtek và Mediatek, nhưng không thể tạo lập lại cuộc tấn công này. Tuy nhiên, hãng cũng cho biết, một số chip mà họ chưa thử nghiệm có thể cũng có nguy cơ bị ảnh hưởng từ lỗ hổng này.
Hãng đã báo cáo phát hiện của mình cho Broadcom và Cypress vào giữa năm 2019 và các nhà cung cấp này cũng đã phát hành bản vá. Nhiều thiết bị người dùng cuối bị ảnh hưởng cũng đã được phát hành bản vá. Trước khi các bản vá được phát hành, ESET ước tính rằng hơn một tỷ thiết bị có thể bị ảnh hưởng bởi lỗ hổng Kr00k.
Lỗ hổng Kr00k có thể bị kích hoạt khi bị ngắt liên kết – thiết bị ngắt kết nối với mạng Wi-Fi do nhiễu tín hiệu, chuyển đổi điểm truy cập hoặc vô hiệu hóa tính năng Wi-Fi trên thiết bị.
“Khi một phiên WLAN của thiết bị bị ngắt liên kết, khóa phiên (TK) được lưu trong chip Wi-Fi của Bộ điều khiển giao diện mạng không dây (WNIC) sẽ bị xóa trong bộ nhớ, tức là được đặt thành 0. Đây là hành vi có thể đoán trước, vì không có dữ liệu nào được cho là sẽ được truyền đi sau khi ngắt liên kết”, ESET giải thích. “Tuy nhiên, chúng tôi đã phát hiện ra rằng, tất cả các khung dữ liệu còn lại trong bộ đệm chip Tx (truyền) đã được truyền đi sau khi mã hóa bằng khóa mã hoàn toàn bằng 0 này".
Sau khi thiết bị được liên kết lại, kẻ tấn công trong phạm vi kết nối của Wi-Fi được nhắm mục tiêu có thể chặn bắt các khung dữ liệu này, ngay cả khi chúng không được kết nối với mạng WLAN được nhắm mục tiêu bằng cách sử dụng WNIC trong chế độ giám sát, sau đó là giải mã các khung dữ liệu này. Bằng cách này, chúng có thể thu thập được nhiều kilobyte thông tin có thể là nhạy cảm.
ESET cho biết, một kẻ tấn công có thể kích hoạt ngắt liên kết thủ công và liên kết lại để thu được nhiều khung dữ liệu hơn, từ đó tăng thêm cơ hội có trong tay các thông tin nhạy cảm. Hãng đã chỉ ra rằng, các kết nối được bảo vệ bởi TLS không thể khôi phục bằng cách sử dụng tấn công này. Hãng đã trình bày những phát hiện của mình trong Hội nghị RSA tại San Francisco.
T.U
Theo Security Week
10:00 | 25/02/2020
17:00 | 13/02/2020
22:00 | 26/01/2020
10:00 | 27/03/2020
10:00 | 03/04/2020
14:00 | 16/05/2022
14:00 | 20/01/2021
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024