Trình duyệt quá thông minh, hacker chuyển sang nhúng mã độc zero-day Flash vào tập tin Microsoft Office

105

Khi không thể qua mặt trình duyệt bằng Flash, những kẻ tấn công đang chuyển sang dùng tập tin Office, mới đây nhất là hacker nhắm tới các nhà ngoại giao tại Trung Đông.

Do ngày càng khó khai thác lỗ hổng trên Adobe Flash và các plugin khác trên trình duyệt, hacker đã bắt đầu chuyển sang dùng Microsoft Office để tải Flash từ xa rồi dùng lỗ hổng zero-day để kiểm soát máy tính.

Hôm thứ Năm, Adobe phát hành bản vá lỗ hổng nghiêm trọng CVE-2018-5002. Lỗi tràn bộ nhớ đệm gây ra do tập tin Office có nhúng đường dẫn tới tập tin Flash lưu trữ trên people.dohabayt.com. Khi thực thi, tập tin nhiễm độc sẽ tải payload nhiễm độc từ domain đó. Đó là đánh giá của các nhà nghiên cứu tại Icebrg và Qihoo 360, những người đã phát hiện và báo cáo riêng tới Adobe.

Vài năm qua, trình duyệt đã bắt đầu mặc định chặn nội dung Flash để ngăn kiểu tấn công drive-by (kiểu tấn công từ các website độc hại) khai thác lỗ hổng trên trình phát được nhiều người sử dụng của Adobe. Tuy vậy vẫn có một số bản Microsoft Office vẫn tải Flash về, không dùng hoặc dùng rất ít, CEO Icebrg William Peteroy nói. Để tránh, người dùng nên đảm bảo ngăn không cho Flash tải về khi cài, hoặc yêu cầu phải hỏi trước khi tải.

“Adobe Flash Player được tải về từ Microsoft Store là cách phổ biến để khai thác qua Flash vì nó đã bị vô hiệu hóa trên trình duyệt”, các nhà nghiên cứu tại Icebrg cho hay. Thường tập tin Flash nhiễm độc được nhúng trong văn bản, giúp nó không bị phần mềm diệt virus phát hiện. “Khác với chiến thuật bình thường, kiểu tấn công này dùng tính năng ít được biết đến hơn, đưa nội dung Flash từ xa thay vì nhúng thẳng vào văn bản. Chỉ các gói XML chọn Flash Player ActiveX và OLE Object đưa ra các thông số mới hiển thị”.

Ví dụ về việc đối tượng Flash từ xa được nhúng trong văn bản Office Trình duyệt quá thông minh, hacker chuyển sang nhúng mã độc zero-day Flash vào tập tin Microsoft Office
Ví dụ về việc đối tượng Flash từ xa được nhúng trong văn bản Office

Kiểu tấn công này giúp tài liệu không có mã khai thác, càng khó bị phát hiện. Tải từ xa giúp kẻ tấn công dễ dàng chỉ dùng các lỗ hổng đó trên các địa chỉ IP định sẵn thay vì với bất kì ai mở tài liệu, cũng giúp dễ ẩn mình trong thời gian dài.

Những năm qua, các nhà nghiên cứu bảo mật đã khuyên người dùng gỡ các ứng dụng Flash stand-alone và dùng trình duyệt mặc định chặn nội dung Flash. Từ vụ việc mới đây, bạn nên chặn cả nội dung Flash trong các văn bản, đặc biệt là từ các nguồn không tin tưởng. Nếu còn dùng Flash, hãy đảm bảo bạn đang dùng bản mới nhất 30.0.0.113 có thể tải tại đây https://get.adobe.com/flashplayer/

BÌNH LUẬN

Please enter your comment!
Please enter your name here