WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Xuất hiện kỹ thuật hack có thể tấn công mọi phiên bản Windows
Các nhà nghiên cứu đã khám phá ra một kỹ thuật cho phép kẻ tấn công đưa mã độc vào mọi phiên bản hệ điều hành Windows, ngay cả Windows 10, theo một cách mà không công cụ chống malware hiện tại nào có thể phát hiện được. Tất nhiên điều đó có thể đe dọa đến hàng triệu chiếc PC trên toàn thế giới.
Được mệnh danh là “AtomBombing” kỹ thuật này không khai thác bất kỳ lỗ hổng nào như thường thấy, mà nó lợi dụng một điểm yếu trong thiết kế của hệ điều hành Windows.
Một kỹ thuật tấn công Code Injection mới giúp malware vượt qua các biện pháp an ninh
Kỹ thuật tấn công AtomBombing lợi dụng Atom Tables, một tính năng cấp hệ thống của Windows. Tính năng này là một bảng cho phép các ứng dụng lưu lại thông tin trên các chuỗi (string), các đối tượng (object) và các loại dữ liệu khác để truy cập vào một cách thường xuyên.
Khi một ứng dụng đặt một chuỗi vào bảng này, nó sẽ nhận lại được một số nguyên 16-bit, được gọi là atom, dùng để truy cập vào chuỗi đó. Hệ điều hành Windows cung cấp một số bảng các atom đó và mỗi bảng lại phục vụ cho một số mục đích khác nhau khi chia sẻ giữa các ứng dụng. Và khi Atom chia sẻ các bảng này, tất cả mọi loại ứng dụng có thể truy cập hoặc chỉnh sửa dữ liệu bên trong các bảng đó.
Một nhóm các nhà nghiên cứu từ EnSilo, những người đã đưa ra kỹ thuật AtomBombing này, cho biết: lỗi thiết kế này trong Windows có thể cho phép các mã độc hại chỉnh sửa được các bảng atom này và đánh lừa các ứng dụng hợp lệ để chúng thực thi các hành vi độc hại thay cho kẻ tấn công.
Các nhà nghiên cứu cho biết thêm: khi đưa được mã độc vào các process hợp lệ này, malware sẽ giúp kẻ tấn công dễ dàng vượt qua các cơ chế bảo mật để bảo vệ hệ thống và đưa vào các phần mềm độc hại.
AtomBombing có thể thực thi kiểu tấn công MitM, giải mã mật khẩu và nhiều hơn nữa
Bên cạnh việc vượt qua các hạn chế cấp process, kỹ thuật AtomBombing cũng cho phép kẻ tấn công thực hiện cách thức tấn công trình duyệt man-in-the-middle (MitM), chụp ảnh màn hình từ xa đối với máy tính của người dùng nạn nhân, và truy cập vào các mật khẩu mã hóa được lưu trên trình duyệt.
Google Chrome mã hóa các mật khẩu của bạn bằng cách sử dụng API Windows Data Protection (DPAPI), trong đó sử dụng dữ liệu thu được từ người dùng hiện tại để mã hóa hoặc giải mã dữ liệu và truy cập vào mật khẩu.
Vì vậy, nếu malware được “tiêm vào” (inject) trong một process đang chạy trong phạm vi của người dùng hiện tại, nó có thể truy cập vào toàn bộ các mật khẩu đó dưới dạng bản rõ (plain text), chưa được mã hóa.
Hơn nữa, bằng cách tiêm đoạn mã vào trong trình duyệt web, kẻ tấn công có thể chỉnh sửa nội dung hiển thị cho người dùng.
“Ví dụ, trong một giao dịch ngân hàng, khách hàng luôn được hiển thị chính xác các thông tin thanh toán như khách hàng dự định tiến hành, thông qua màn hình xác nhận.” Tal Liberman, người đứng đầu nhóm nghiên cứu của EnSilo cho biết.
“Tuy nhiên, kẻ tấn công có thể chỉnh sửa dữ liệu để ngân hàng nhận được các thông tin giao dịch sai theo ý muốn của kẻ tấn công, ví dụ số tài khoản cần chuyển tiền đến và số tiền cần chuyển.” Bằng cách này, nạn nhân có thể vô tình chuyển tiền cho kẻ tấn công mà không biết.
Chưa có bản vá cho kỹ thuật tấn công AtomBombing
Công ty cho biết mọi phiên bản của hệ điều hành Windows, bao gồm cả phiên bản Windows 10 mới nhất, đều bị ảnh hưởng. Điều này còn tồi tệ hơn nữa khi hiện giờ vẫn chưa có bản sửa lỗi nào cho nó.
“Thật không may, vấn đề này không thể vá khi nó không dựa trên các đoạn mã bị hỏng hay bị lỗi – thay vào đó, nó dựa trên cơ chế các hệ điều hành này được thiết kế.” Ông Liberman cho biết.
Do kỹ thuật tấn công AtomBombing khai thác các hàm hợp lệ của hệ điều hành để thực hiện cuộc tấn công, điều này cũng có nghĩa là Microsoft không thể khắc phục vấn đề này bằng một bản vá. Thay vào đó họ phải thay đổi cách toàn bộ hệ điều hành này hoạt động, một giải pháp dường như khó có thể khả thi.
Được mệnh danh là “AtomBombing” kỹ thuật này không khai thác bất kỳ lỗ hổng nào như thường thấy, mà nó lợi dụng một điểm yếu trong thiết kế của hệ điều hành Windows.
Một kỹ thuật tấn công Code Injection mới giúp malware vượt qua các biện pháp an ninh
Kỹ thuật tấn công AtomBombing lợi dụng Atom Tables, một tính năng cấp hệ thống của Windows. Tính năng này là một bảng cho phép các ứng dụng lưu lại thông tin trên các chuỗi (string), các đối tượng (object) và các loại dữ liệu khác để truy cập vào một cách thường xuyên.
Khi một ứng dụng đặt một chuỗi vào bảng này, nó sẽ nhận lại được một số nguyên 16-bit, được gọi là atom, dùng để truy cập vào chuỗi đó. Hệ điều hành Windows cung cấp một số bảng các atom đó và mỗi bảng lại phục vụ cho một số mục đích khác nhau khi chia sẻ giữa các ứng dụng. Và khi Atom chia sẻ các bảng này, tất cả mọi loại ứng dụng có thể truy cập hoặc chỉnh sửa dữ liệu bên trong các bảng đó.
Một nhóm các nhà nghiên cứu từ EnSilo, những người đã đưa ra kỹ thuật AtomBombing này, cho biết: lỗi thiết kế này trong Windows có thể cho phép các mã độc hại chỉnh sửa được các bảng atom này và đánh lừa các ứng dụng hợp lệ để chúng thực thi các hành vi độc hại thay cho kẻ tấn công.
Các nhà nghiên cứu cho biết thêm: khi đưa được mã độc vào các process hợp lệ này, malware sẽ giúp kẻ tấn công dễ dàng vượt qua các cơ chế bảo mật để bảo vệ hệ thống và đưa vào các phần mềm độc hại.
AtomBombing có thể thực thi kiểu tấn công MitM, giải mã mật khẩu và nhiều hơn nữa
Bên cạnh việc vượt qua các hạn chế cấp process, kỹ thuật AtomBombing cũng cho phép kẻ tấn công thực hiện cách thức tấn công trình duyệt man-in-the-middle (MitM), chụp ảnh màn hình từ xa đối với máy tính của người dùng nạn nhân, và truy cập vào các mật khẩu mã hóa được lưu trên trình duyệt.
Google Chrome mã hóa các mật khẩu của bạn bằng cách sử dụng API Windows Data Protection (DPAPI), trong đó sử dụng dữ liệu thu được từ người dùng hiện tại để mã hóa hoặc giải mã dữ liệu và truy cập vào mật khẩu.
Vì vậy, nếu malware được “tiêm vào” (inject) trong một process đang chạy trong phạm vi của người dùng hiện tại, nó có thể truy cập vào toàn bộ các mật khẩu đó dưới dạng bản rõ (plain text), chưa được mã hóa.
Hơn nữa, bằng cách tiêm đoạn mã vào trong trình duyệt web, kẻ tấn công có thể chỉnh sửa nội dung hiển thị cho người dùng.
“Ví dụ, trong một giao dịch ngân hàng, khách hàng luôn được hiển thị chính xác các thông tin thanh toán như khách hàng dự định tiến hành, thông qua màn hình xác nhận.” Tal Liberman, người đứng đầu nhóm nghiên cứu của EnSilo cho biết.
“Tuy nhiên, kẻ tấn công có thể chỉnh sửa dữ liệu để ngân hàng nhận được các thông tin giao dịch sai theo ý muốn của kẻ tấn công, ví dụ số tài khoản cần chuyển tiền đến và số tiền cần chuyển.” Bằng cách này, nạn nhân có thể vô tình chuyển tiền cho kẻ tấn công mà không biết.
Chưa có bản vá cho kỹ thuật tấn công AtomBombing
Công ty cho biết mọi phiên bản của hệ điều hành Windows, bao gồm cả phiên bản Windows 10 mới nhất, đều bị ảnh hưởng. Điều này còn tồi tệ hơn nữa khi hiện giờ vẫn chưa có bản sửa lỗi nào cho nó.
“Thật không may, vấn đề này không thể vá khi nó không dựa trên các đoạn mã bị hỏng hay bị lỗi – thay vào đó, nó dựa trên cơ chế các hệ điều hành này được thiết kế.” Ông Liberman cho biết.
Do kỹ thuật tấn công AtomBombing khai thác các hàm hợp lệ của hệ điều hành để thực hiện cuộc tấn công, điều này cũng có nghĩa là Microsoft không thể khắc phục vấn đề này bằng một bản vá. Thay vào đó họ phải thay đổi cách toàn bộ hệ điều hành này hoạt động, một giải pháp dường như khó có thể khả thi.
Theo GenK