Một nhà nghiên cứu đã phát hành một mã khai thác cho CVE-2021-31166, một lỗ hổng nghiêm trọng dạng use-after-free trong chồng giao thức HTTP (http.sys), có thể dẫn đến thực thi mã từ xa (Remote Code Execution - RCE) và sử dụng để tấn công trên diện rộng.
Microsoft đã phát hiện ra lỗ hổng và phát hành một bản vá trong bản cập nhật patch tuesday tháng 5/2021. Đây là lỗ hổng nghiêm trọng xảy ra trên http.sys, không yêu cầu xác thực cũng như tương tác của người dùng để khai thác. Việc khai thác sẽ cho phép RCE với các đặc quyền cao nhất hoặc một cuộc tấn công từ chối dịch vụ (DoS).
Thư viện http.sys cho phép Windows và các ứng dụng giao tiếp với các thiết bị khác. Nó có thể được chạy độc lập hoặc kết hợp với dịch vụ thông tin Internet (IIS). Theo một tweet từ Justin Campbell của Microsoft, lỗ hổng bảo mật được tìm thấy bởi @_mxms và @ fzzyhd1.
Do lỗ hổng bảo mật có thể bị lợi dụng để tấn công diện rộng, Microsoft khuyến nghị nên ưu tiên vá các máy chủ bị ảnh hưởng. Chuyên gia của công ty bảo mật McAfee, Povolny giải thích rằng vấn đề nằm ở cách Windows theo dõi các bản ghi con trỏ không đúng cách trong khi xử lý các đối tượng trong gói mạng chứa các yêu cầu HTTP. Lỗ hổng này chỉ ảnh hưởng đến các phiên bản mới nhất của Windows 10 và Windows Server, có nghĩa là phạm vi ảnh hưởng đã hạn chế hơn rất nhiều và chúng ta sẽ không phải chịu thiệt hại lớn như WannaCry lần thứ hai.
Nhà nghiên cứu Axel Souchet, người từng làm việc cho Microsoft, đã công bố mã khai thác lên GitHub và lưu ý rằng lỗi xảy ra trong http! UlpParseContentCoding, nơi có hàm LIST_ENTRY và gắn một mục vào nó.
Đây không phải là mã khai thác đầu tiên cho CVE-2021-31166 mà Souchet đã phát hành, nhưng đây là mã khai thác có thể sử dụng cho tấn công diện rộng đầu tiên. Cùng với đó, Axel Souchet đã phát hành một PoC chỉ khóa hệ thống Windows bị ảnh hưởng chỉ cần nó đang chạy máy chủ IIS. Khai thác ban đầu đó cho thấy kẻ tấn công có thể tận dụng lỗ hổng để gây ra tấn công từ chối dịch vụ trên một hệ thống được nhắm mục tiêu bằng cách gửi các gói được chế tạo đặc biệt.
Việc xuất bản các mã chứng minh thường là bước đầu tiên trong vòng đời của một mã khai thác. Theo giải thích từ chuyên gia Mayra Rosario Fuentes của Trend Micro tại Hội nghị RSA 2021 vào ngày 17/05/2021, bước tiếp theo trong vòng đời đó là tin tặc bán mã khai thác hoàn chỉnh trên chợ đen cho những người cần chúng. Từ đó, được tích hợp vào các mã độc hại để phát tán nhanh hơn. Vòng đời của mã khai thác dừng lại khi tất cả các hệ thống đã cập nhật bản vá.
Một ví dụ về mã khai thác của CVE-2020-9054: được bán trên chợ đen với giá 20,000 USD vào tháng 2/2020. Lỗ hổng sau đó được cảnh báo bởi một nhà báo chuyên viết về an ninh mạng là Brian Krebs, Microsoft đã vá lỗ hổng này vào tháng 3/2020. Một tháng sau đó thì mạng botnet có tên là Mukashi (thuộc dòng Mirai botnet) đã sử dụng lỗ hổng này để nhắm tấn công vào thiết bị lưu trữ từ xa Zyxel, mà cho phép tội phạm điều khiển được thiết bị.
Sau đó, tháng 8/2020, một bài đăng trên diễn đàn khác đã yêu cầu mua mã khai thác, đưa ra giá công khai là 2.000 USD, bằng một phần mười so với lần khai thác đầu tiên. Tuy nhiên, một số lỗ hổng bảo mật có thời hạn sử dụng lâu dài, đặc biệt nếu chúng được sử dụng để bẻ khóa các sản phẩm của Microsoft. Xét cho cùng, các khai thác cho các sản phẩm của Microsoft vẫn là những khai thác được yêu cầu nhiều nhất và được bán nhiều nhất trên thị trường ngầm. Người dùng hãy cập nhật hệ thống sớm nhất khi có thể, trước khi lỗ hổng này được tận dụng bởi các mạng mã độc như Mirai...
Đăng Thứ
16:00 | 22/05/2021
13:00 | 12/05/2021
09:00 | 05/07/2021
18:00 | 02/08/2021
09:00 | 03/08/2021
12:00 | 03/03/2021
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
07:00 | 11/12/2023
Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024