WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Công cụ khai thác EternalSynergy nhằm vào các phiên bản Windows gần đây
Một công cụ khai thác dựa trên EternalSynergy vừa được phát hiện, có thể gây hại cho các phiên bản cao hơn Windows 8.
EternalSynergy, một trong những công cụ khai thác bị cáo buộc được đánh cắp bởi nhóm hacker tự xưng Shadow Brokers từ Cơ quan an ninh quốc gia Mỹ (NSA) có liên hệ với Equation Group. Vào tháng 4, công cụ này được công bố cùng với các công cụ hacking khác và Microsoft đã phát hành bản vá một tháng sau đó.
Vào tháng 5, EternalSynergy và 6 công cụ khác có liên hệ với NSA dùng để khai thác mã độc EternalRocks gồm EternalBlue, EternalChampion, EternalRomance, DoublePulsar, Architouch vào Smbtouch. Công cụ đã được gỡ xuống một tuần sau đó để tránh bị lạm dụng.
Một nghiên cứu vừa được công bố về một công cụ khai thác có nguồn gốc từ EternalSynergy đồng thời cũng là bàn đạp cho EternalRomance và có thể được sử dụng rộng rãi trên các phiên bản Windows.
Hiện có trên cả GitGub và ExploitDB, công cụ hướng mục tiêu vào các phiên bản 64-bit của Windows 2016, Windows 2012 R2, Windows 8.1, Windows 2008 R2 SP1 và Windows 7 SP1 cũng như các phiên bản 32 bit của Windows 8.1 và Windows 7 SP1.
Nhà nghiên cứu an ninh Sheila A. Berta, thuộc đội an ninh Eleven Paths của Telefonica đã đăng tải một bài báo về cách khai thác công cụ mới này nhằm chiếm phiên làm việc Meterpreter trên Windows Server 2016.
EternalSynergy dựa trên lỗ hổng CVE-2017-0143, “xuất phát từ việc không dùng kiểu lệnh của thông điệp SMB khi xác định nếu thông điệp là một phần của giao dịch”, Microsoft tiết lộ. “Nói cách khác, miễn là các trường SMB UID, PID, TID và các trường OtherInfo khớp với các trường giao dịch tương ứng, thông điệp có thể được xem là một phần của giao dịch đó”.
Theo Microsft, EternalSynergy không chạy trên các phiên bản cao hơn Windows 8, do những về cải tiến bảo vệ trong kernel như Hypervisor-enforced Code Integrity (HVCI), nhằm ngăn chặn các trang kernel không được đánh số bị thực thi code và Control Flow Guard, được thiết kế để chặn các cuộc gọi hàm gián tiếp không hợp lệ.
Việc khai thác này dự kiến nhằm vào các bản phát hành hệ điều hành không được hỗ trợ. Microsoft đã phát hành bản vá và những người dùng nên cập nhật sớm nhất có thể.
EternalSynergy chỉ là một trong những công cụ khai thác có liên hệ với NSA thu hút sự chú ý của các nhà nghiên cứu vài tháng qua. EternalBlue có thể là công cụ được thảo luận nhiều nhất, sau khi bị lợi dụng cho các cuộc tấn công ransomware toàn cầu như WannaCry, UIWIX ransomware, Adylkuzz botnet và Remote Access Trojan ẩn danh.
Tháng trước, mã độc tống tiền NotPetya cũng đã sử dụng EternalBlue để lây lan trong các mạng nội bộ, cùng với công cụ khai thác EternalRomance và các công cụ khác.
EternalSynergy, một trong những công cụ khai thác bị cáo buộc được đánh cắp bởi nhóm hacker tự xưng Shadow Brokers từ Cơ quan an ninh quốc gia Mỹ (NSA) có liên hệ với Equation Group. Vào tháng 4, công cụ này được công bố cùng với các công cụ hacking khác và Microsoft đã phát hành bản vá một tháng sau đó.
Vào tháng 5, EternalSynergy và 6 công cụ khác có liên hệ với NSA dùng để khai thác mã độc EternalRocks gồm EternalBlue, EternalChampion, EternalRomance, DoublePulsar, Architouch vào Smbtouch. Công cụ đã được gỡ xuống một tuần sau đó để tránh bị lạm dụng.
Một nghiên cứu vừa được công bố về một công cụ khai thác có nguồn gốc từ EternalSynergy đồng thời cũng là bàn đạp cho EternalRomance và có thể được sử dụng rộng rãi trên các phiên bản Windows.
Hiện có trên cả GitGub và ExploitDB, công cụ hướng mục tiêu vào các phiên bản 64-bit của Windows 2016, Windows 2012 R2, Windows 8.1, Windows 2008 R2 SP1 và Windows 7 SP1 cũng như các phiên bản 32 bit của Windows 8.1 và Windows 7 SP1.
Nhà nghiên cứu an ninh Sheila A. Berta, thuộc đội an ninh Eleven Paths của Telefonica đã đăng tải một bài báo về cách khai thác công cụ mới này nhằm chiếm phiên làm việc Meterpreter trên Windows Server 2016.
EternalSynergy dựa trên lỗ hổng CVE-2017-0143, “xuất phát từ việc không dùng kiểu lệnh của thông điệp SMB khi xác định nếu thông điệp là một phần của giao dịch”, Microsoft tiết lộ. “Nói cách khác, miễn là các trường SMB UID, PID, TID và các trường OtherInfo khớp với các trường giao dịch tương ứng, thông điệp có thể được xem là một phần của giao dịch đó”.
Theo Microsft, EternalSynergy không chạy trên các phiên bản cao hơn Windows 8, do những về cải tiến bảo vệ trong kernel như Hypervisor-enforced Code Integrity (HVCI), nhằm ngăn chặn các trang kernel không được đánh số bị thực thi code và Control Flow Guard, được thiết kế để chặn các cuộc gọi hàm gián tiếp không hợp lệ.
Việc khai thác này dự kiến nhằm vào các bản phát hành hệ điều hành không được hỗ trợ. Microsoft đã phát hành bản vá và những người dùng nên cập nhật sớm nhất có thể.
EternalSynergy chỉ là một trong những công cụ khai thác có liên hệ với NSA thu hút sự chú ý của các nhà nghiên cứu vài tháng qua. EternalBlue có thể là công cụ được thảo luận nhiều nhất, sau khi bị lợi dụng cho các cuộc tấn công ransomware toàn cầu như WannaCry, UIWIX ransomware, Adylkuzz botnet và Remote Access Trojan ẩn danh.
Tháng trước, mã độc tống tiền NotPetya cũng đã sử dụng EternalBlue để lây lan trong các mạng nội bộ, cùng với công cụ khai thác EternalRomance và các công cụ khác.
Theo SecurityWeek