Một nhà nghiên cứu đã phát hành một mã khai thác cho CVE-2021-31166, một lỗ hổng nghiêm trọng dạng use-after-free trong chồng giao thức HTTP (http.sys), có thể dẫn đến thực thi mã từ xa (Remote Code Execution - RCE) và sử dụng để tấn công trên diện rộng.
Microsoft đã phát hiện ra lỗ hổng và phát hành một bản vá trong bản cập nhật patch tuesday tháng 5/2021. Đây là lỗ hổng nghiêm trọng xảy ra trên http.sys, không yêu cầu xác thực cũng như tương tác của người dùng để khai thác. Việc khai thác sẽ cho phép RCE với các đặc quyền cao nhất hoặc một cuộc tấn công từ chối dịch vụ (DoS).
Thư viện http.sys cho phép Windows và các ứng dụng giao tiếp với các thiết bị khác. Nó có thể được chạy độc lập hoặc kết hợp với dịch vụ thông tin Internet (IIS). Theo một tweet từ Justin Campbell của Microsoft, lỗ hổng bảo mật được tìm thấy bởi @_mxms và @ fzzyhd1.
Do lỗ hổng bảo mật có thể bị lợi dụng để tấn công diện rộng, Microsoft khuyến nghị nên ưu tiên vá các máy chủ bị ảnh hưởng. Chuyên gia của công ty bảo mật McAfee, Povolny giải thích rằng vấn đề nằm ở cách Windows theo dõi các bản ghi con trỏ không đúng cách trong khi xử lý các đối tượng trong gói mạng chứa các yêu cầu HTTP. Lỗ hổng này chỉ ảnh hưởng đến các phiên bản mới nhất của Windows 10 và Windows Server, có nghĩa là phạm vi ảnh hưởng đã hạn chế hơn rất nhiều và chúng ta sẽ không phải chịu thiệt hại lớn như WannaCry lần thứ hai.
Nhà nghiên cứu Axel Souchet, người từng làm việc cho Microsoft, đã công bố mã khai thác lên GitHub và lưu ý rằng lỗi xảy ra trong http! UlpParseContentCoding, nơi có hàm LIST_ENTRY và gắn một mục vào nó.
Đây không phải là mã khai thác đầu tiên cho CVE-2021-31166 mà Souchet đã phát hành, nhưng đây là mã khai thác có thể sử dụng cho tấn công diện rộng đầu tiên. Cùng với đó, Axel Souchet đã phát hành một PoC chỉ khóa hệ thống Windows bị ảnh hưởng chỉ cần nó đang chạy máy chủ IIS. Khai thác ban đầu đó cho thấy kẻ tấn công có thể tận dụng lỗ hổng để gây ra tấn công từ chối dịch vụ trên một hệ thống được nhắm mục tiêu bằng cách gửi các gói được chế tạo đặc biệt.
Việc xuất bản các mã chứng minh thường là bước đầu tiên trong vòng đời của một mã khai thác. Theo giải thích từ chuyên gia Mayra Rosario Fuentes của Trend Micro tại Hội nghị RSA 2021 vào ngày 17/05/2021, bước tiếp theo trong vòng đời đó là tin tặc bán mã khai thác hoàn chỉnh trên chợ đen cho những người cần chúng. Từ đó, được tích hợp vào các mã độc hại để phát tán nhanh hơn. Vòng đời của mã khai thác dừng lại khi tất cả các hệ thống đã cập nhật bản vá.
Một ví dụ về mã khai thác của CVE-2020-9054: được bán trên chợ đen với giá 20,000 USD vào tháng 2/2020. Lỗ hổng sau đó được cảnh báo bởi một nhà báo chuyên viết về an ninh mạng là Brian Krebs, Microsoft đã vá lỗ hổng này vào tháng 3/2020. Một tháng sau đó thì mạng botnet có tên là Mukashi (thuộc dòng Mirai botnet) đã sử dụng lỗ hổng này để nhắm tấn công vào thiết bị lưu trữ từ xa Zyxel, mà cho phép tội phạm điều khiển được thiết bị.
Sau đó, tháng 8/2020, một bài đăng trên diễn đàn khác đã yêu cầu mua mã khai thác, đưa ra giá công khai là 2.000 USD, bằng một phần mười so với lần khai thác đầu tiên. Tuy nhiên, một số lỗ hổng bảo mật có thời hạn sử dụng lâu dài, đặc biệt nếu chúng được sử dụng để bẻ khóa các sản phẩm của Microsoft. Xét cho cùng, các khai thác cho các sản phẩm của Microsoft vẫn là những khai thác được yêu cầu nhiều nhất và được bán nhiều nhất trên thị trường ngầm. Người dùng hãy cập nhật hệ thống sớm nhất khi có thể, trước khi lỗ hổng này được tận dụng bởi các mạng mã độc như Mirai...
Đăng Thứ
16:00 | 22/05/2021
13:00 | 12/05/2021
09:00 | 05/07/2021
18:00 | 02/08/2021
09:00 | 03/08/2021
12:00 | 03/03/2021
14:00 | 18/07/2023
Ngày chống mã độc tống tiền (Anti-Ransomware Day) được ấn định là ngày 12/5, khi thế giới ghi nhận vụ tấn công WannaCry khét tiếng năm 2017. Đại dịch ransomware lớn nhất trong lịch sử, cuộc tấn công mạng này đã lây nhiễm hơn 200 nghìn máy tính trên 150 quốc gia, ước tính gây thiệt hại cho nền kinh tế toàn cầu khoảng 4 tỷ USD. Bài viết tóm lược những thiệt hại do mã độc tống tiền gây ra, những khuyến nghị và xu hướng phát triển trong năm 2023.
07:00 | 03/07/2023
Các nhà nghiên cứu tại hãng bảo mật BitDefender cho biết, họ vừa phát hiện một tập các phần mềm độc hại được cho là một phần của bộ công cụ tấn công mạng tiên tiến được thiết kế nhắm mục tiêu đến các hệ thống MacOS của Apple.
09:00 | 05/06/2023
Mới đây, GitLab đã phát hành bản cập nhật khẩn cấp, phiên bản 16.0.1 cho GitLab Community Edition (CE) và Enterprise Edition (EE) để giải quyết lỗ hổng nghiêm trọng trong phiên bản 16.0.0 có điểm CVSS 10/10.
14:00 | 10/05/2023
Người dùng cần xóa sạch dữ liệu điện thoại thông minh hoặc máy tính xách tay của mình trước khi bán lại hoặc cho người quen vì có rất nhiều dữ liệu cá nhân có giá trị trên đó và chúng cần nằm trong tầm kiểm soát của mình. Các doanh nghiệp và các tổ chức cũng cần thực hiện làm điều đó, nghĩa là xóa thông tin khỏi PC, máy chủ và thiết bị mạng để thông tin không rơi vào tay kẻ tấn công.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
FortiGuard Labs mới đây vừa công bố Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu trong nửa đầu năm 2023. Đáng chú ý, các nhà nghiên cứu đã quan sát thấy sự sụt giảm đáng kể số lượng các tổ chức phát hiện phần mềm tống tiền. Điều đó cho thấy tấn công bằng mã độc tống tiền ngày càng tinh vi hơn, khó phát hiện hơn, trong khi tần suất và tác động của các cuộc tấn công có chủ đích vẫn tiếp tục gia tăng.
18:00 | 22/09/2023
