nǝıH
Active Member
-
23/03/2020
-
24
-
37 bài viết
Phân tích lỗ hổng mới của Facebook Messenger trên Windows
Các nhà nghiên cứu về an ninh mạng tại Reason Labs vừa tiết lộ chi tiết về lỗ hổng mới trong ứng dụng Facebook Messenger trên hệ điều hành Windows.
Lỗ hổng được phát hiện trong phiên bản Messenger 460.16, có thể cho phép kẻ tấn công lợi dụng ứng dụng này để thực thi các file mã độc có sẵn trên hệ thống, nhằm giúp phần mềm độc hại có thể truy cập liên tục mà không bị gián đoạn.
Reason Labs đã báo cáo lỗ hổng này với Facebook vào tháng 4. Ngay sau đó, công ty này đã nhanh chóng đưa ra bản vá trong bản cập nhật Facebook Messenger cho người dùng Windows qua Microsoft Store.
Sử dụng mối đe dọa "dai dẳng" (Persistence)
Persistence bao gồm các kỹ thuật sử dụng để giữ quyền truy cập trái phép vào các hệ thống. Quá trình khởi động lại của hệ thống hay thay đổi thông tin đăng nhập và các gián đoạn khác có thể khiến ngắt quyền truy cập trái phép của một phần mềm độc hại trên hệ thống.
Sử dụng phương pháp Persistence là một trong những bước quan trọng nhất mà hacker cần thực hiện để đảm bảo tin tặc sẽ không mất kết nối với máy bị tấn công. Hầu hết các phương thức tấn công Persistence được sử dụng khá phổ biến trên Windows và dựa vào registry keys, scheduled task (tác vụ được lập lịch) và các dịch vụ để duy trì quyền truy cập chủ động vào hệ thống, ...
Đối với một nhà nghiên cứu an ninh mạng hoặc điều tra forensics, việc tìm một tác nhân độc hại bằng phương pháp Persistence là khá dễ dàng vì logic chung cho tất cả các phần mềm độc hại chỉ cần ba điều:
Các nhà nghiên cứu đã quyết định tạo ra reverse shell bằng msfvenom và một trình lắng nghe với Metasploit giống như một POC. Khi reverse shell được tạo, nó được chuyển sang thư mục C:\python27 và tên của nó đã được đổi thành Powershell.exe để có thể chiếm quyền điều khiển lệnh gọi:
Chạy trình lắng nghe bằng metasploit trên máy tấn công để sẵn sàng nhận kết nối của reverse shell từ máy nạn nhân:
Sau đó, mở ứng dụng Messenger, ta thấy trình lắng nghe nhận được kết nối từ reverse shell, điều đó chứng tỏ rằng kẻ tấn công có thể khai thác lỗ hổng và thực hiện các cuộc tấn công persistence.
Dù lỗ hổng đã được vá nhưng người dùng cần phải tiếp tục cảnh giác đến khả năng bị lỗ hổng trong các công nghệ trực tuyến khác như ứng dụng nhắn tin, ứng dụng họp qua video, công cụ làm việc từ xa,...
Hiện chưa có dấu hiệu nào cho thấy lỗ hổng đã bị khai thác nhưng những lỗ hổng như vậy rất rủi ro. Hacker có thể sử dụng các lỗ hổng này để duy trì quyền truy cập trong thời gian dài. Việc truy cập liên tục có thể cho phép kẻ tấn công thực hiện các công việc khai thác khác như cài thêm ransomware hay lấy các dữ liệu quan trọng.
Reason Labs đã báo cáo lỗ hổng này với Facebook vào tháng 4. Ngay sau đó, công ty này đã nhanh chóng đưa ra bản vá trong bản cập nhật Facebook Messenger cho người dùng Windows qua Microsoft Store.
Sử dụng mối đe dọa "dai dẳng" (Persistence)
Persistence bao gồm các kỹ thuật sử dụng để giữ quyền truy cập trái phép vào các hệ thống. Quá trình khởi động lại của hệ thống hay thay đổi thông tin đăng nhập và các gián đoạn khác có thể khiến ngắt quyền truy cập trái phép của một phần mềm độc hại trên hệ thống.
Sử dụng phương pháp Persistence là một trong những bước quan trọng nhất mà hacker cần thực hiện để đảm bảo tin tặc sẽ không mất kết nối với máy bị tấn công. Hầu hết các phương thức tấn công Persistence được sử dụng khá phổ biến trên Windows và dựa vào registry keys, scheduled task (tác vụ được lập lịch) và các dịch vụ để duy trì quyền truy cập chủ động vào hệ thống, ...
Đối với một nhà nghiên cứu an ninh mạng hoặc điều tra forensics, việc tìm một tác nhân độc hại bằng phương pháp Persistence là khá dễ dàng vì logic chung cho tất cả các phần mềm độc hại chỉ cần ba điều:
- Phần mềm độc hại cần được kết nối.
- Phần mềm độc hại cần phải được chạy.
- Phần mềm độc hại cần được ẩn đi trong hệ thống.
- Tài nguyên có thể tùy chọn và không thực sự tồn tại.
- Chương trình không có đường dẫn tuyệt đối cho tài nguyên và cần đi qua lệnh tìm kiếm.
Các nhà nghiên cứu đã quyết định tạo ra reverse shell bằng msfvenom và một trình lắng nghe với Metasploit giống như một POC. Khi reverse shell được tạo, nó được chuyển sang thư mục C:\python27 và tên của nó đã được đổi thành Powershell.exe để có thể chiếm quyền điều khiển lệnh gọi:
Chạy trình lắng nghe bằng metasploit trên máy tấn công để sẵn sàng nhận kết nối của reverse shell từ máy nạn nhân:
Sau đó, mở ứng dụng Messenger, ta thấy trình lắng nghe nhận được kết nối từ reverse shell, điều đó chứng tỏ rằng kẻ tấn công có thể khai thác lỗ hổng và thực hiện các cuộc tấn công persistence.
Hiện chưa có dấu hiệu nào cho thấy lỗ hổng đã bị khai thác nhưng những lỗ hổng như vậy rất rủi ro. Hacker có thể sử dụng các lỗ hổng này để duy trì quyền truy cập trong thời gian dài. Việc truy cập liên tục có thể cho phép kẻ tấn công thực hiện các công việc khai thác khác như cài thêm ransomware hay lấy các dữ liệu quan trọng.
Nguồn: Reason Cybersecurity, The Hacker News
Chỉnh sửa lần cuối: