Ghidra là công cụ được phát triển bởi Tổng cục nghiên cứu của NSA nhằm mục đích phân tích phần mềm độc hại. Công cụ này hỗ trợ được nhiều nền tảng như: Windows, macOS và Linux. Ghidra bắt đầu được cung cấp dưới dạng mã nguồn mở từ đầu năm 2019.
Vào cuối tháng 9/2019, các nhà nghiên cứu bảo mật đã phát hiện lỗ hổng trong công cụ Ghidra cho phép tin tặc tấn công thực thi mã tùy ý trong phạm vi ứng dụng bị ảnh hưởng. Lỗ hổng được định danh CVE-2019-16941 với số điểm CVSS là 9.8. Lỗ hổng này được xếp hạng mức độ nghiêm trọng cao.
Theo khuyến cáo, lỗ hổng chỉ bị kích hoạt khi chế độ thử nghiệm được bật, tồn tại trong tính năng đọc tệp XML của Bit Formd Explorer và có thể bị khai thác thông qua các tài liệu XML đã bị sửa đổi. Cụ thể là tại tệp tin FileBitPatternInfoReader.java tại đường dẫn Features/BytePatterns/src/main/java/ghidra/bitpatterns/info.
Lỗ hổng được khai thác bằng tệp XML được tạo bởi DumpFunctionPotypeInfoScript, nhưng sau đó được sửa đổi trực tiếp bởi tin tặc (ví dụ, để thực hiện hành vi gọi hàm java.lang.Runtime.exec).
Theo thông tin được NSA đăng trên Twitter, các điều kiện cần thiết để khai thác thành công lỗ hổng này khó có thể đạt được trong thực tế. Do đó, lỗ hổng này không phải là vấn đề nghiêm trọng, miễn là người dùng Ghidra không chấp nhận tệp XML từ các nguồn không xác định.
Cơ quan này cũng tiết lộ rằng, bản vá sẽ được phát hành trong phiên bản Ghidra 9.1, hiện đang trong giai đoạn thử nghiệm.
M.C
Security Week
10:00 | 08/10/2019
08:00 | 02/10/2019
10:00 | 04/12/2019
09:00 | 25/09/2019
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024