WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
“Sâu” cực mạnh lợi dụng lỗ hổng XSS tấn công Twitter
Twitter ngày hôm qua đã bị tấn công bởi một loại sâu máy tính cực mạnh khai thác lỗ hổng trong ứng dụng TweetDeck, ứng dụng quản lý tài khoản Twitter phổ biến nhất hiện nay, khiến hàng chục nghìn tài khoản người dùng tự động gửi đi một thông điệp có chứa mã tự lan truyền.
Nguồn: Aurich Lawson/ Universal Pictures
Chỉ trong vòng vài giờ, vụ tấn công XSS đã khiến ít nhất 84.700 người dùng retweet một thông điệp duy nhất, được gửi lên lần đầu bởi tài khoản @derGeruhn. Phần nội dung của thông điệp chứa các lệnh Java Scripts có thể khiến bất cứ ai đọc nó trên ứng dụng TweetDeck sẽ tự động retweet. Càng nhiều người đọc thì thông điệp này càng được xem và retweet bởi những người dùng TweetDeck với tốc độ nhanh hơn. Chỉ riêng tài khoản của BBC News đã đẩy số người theo dõi thông điệp lên con số 10,1 triệu.
Đây không phải lần đầu Twitter bị sâu tấn công.Các loại sâu dựa trên khai thác clickjacking và XSS được ghi nhận từ năm 2009, hay để phát tán các thông điệp độc hại vào năm 2011.
Các loại sâu trên Twitter được phát hiện vài năm trở lại đây có phần khá hiền lành, đa phần là những trò đùa hay tệ nhất cũng chỉ là những vụ spam mang mục đích lừa đảo. Các vụ tấn công XSS có tác động nghiêm trọng hơn nhiều, bởi nó cho phép tin tặc từ một máy tính khác có thể chiếm được token xác thực và cookie mà các dịch vụ trực tuyến dùng để cấp quyền truy cập tới tài khoản người dùng hay các nội dung hạn chế truy cập khác của website. Hồi tháng 4, các nhà nghiên cứu ghi nhận một lỗ hổng XSS biến 22.000 người dùng thành máy zombie trong một hệ thống botnet chuyên DDoS. Hay sâu Samy hồi năm 2005 đã giúp tác giả của nó có được hơn 1 triệu follower trên mạng xã hội MySpace, đồng thời đánh sập trang trong 1 ngày.
Chưa có dấu hiệu nào cho thấy vụ việc hôm thứ tư xuất phát từ âm mưu bất chính, tuy nhiên cũng không thể loại trừ khả năng này. Để đề phòng, người dùng TweetDeck có thực hiện đăng nhập hôm thứ tư nên reset lại mật khẩu cho cả TweetDeck và tài khoản Twitter của mình. TweetDeck tuyên bố hiện đã fix được lỗi này.
Nguồn: Arstechnica
Chỉnh sửa lần cuối bởi người điều hành: