Tin tức An toàn thông tin tuần 42, năm 2022 (17-24/10)

04/11/2022 08:58 AM


  1. Tin tức trong nước
  1. Tính năng tra cứu tên miền, tài khoản lừa đảo

Hiện nay, cùng với sự phát triển mạnh mẽ của công nghệ thông tin, các vụ tấn công, lừa đảo qua mạng cũng đang ngày một tăng. Theo thống kê, mỗi tuần Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) nhận được hàng trăm báo cáo về các trường hợp lừa đảo qua mạng, với phần lớn trong số đó liên quan đến việc sử dụng tài khoản ngân hàng để thực hiện các hành vi lừa đảo.

Nếu nghi ngờ một địa chỉ, tài khoản nào đó là lừa đảo, có thể kiểm tra tại các địa chỉ sau:

  • Tra cứu địa chỉ tên miền lừa đảo: https://tinnhiemmang.vn/website-lua-dao
  • Tra cứu tài khoản ngân hàng lừa đảo: https://tinnhiemmang.vn/tra-cuu-tai-khoan
  1. Tin nước ngoài
  1. Cảnh sát Châu Âu bắt giữ nhóm tội phạm đã hack chìa khóa thông minh để ăn cắp ô tô

 

Các cơ quan thực thi pháp luật ở Pháp, phối hợp với Tây Ban Nha và Latvia, đã phá vỡ hoạt động và bắt giữ một nhóm tội phạm mạng sử dụng một công cụ phần mềm để hack và đánh cắp ô tô mà không cần sử dụng chìa khóa vật lý. Europol cho biết "những kẻ tấn công nhắm mục tiêu vào những chiếc xe có hệ thống khởi động và ra vào không cần chìa khóa (keyless)".

Theo Europol, bọn tội phạm được cho là đã nhắm vào những chiếc xe sử dụng khóa thông minh từ hai nhà sản xuất ô tô giấu tên của Pháp. Sau đó, chúng đã lừa nạn nhân cài đặt công cụ gian lận để thay thế phần mềm gốc bằng cách quảng cáo nó như một phần mềm cung cấp "giải pháp chẩn đoán ô tô". Eurojust cho biết thêm rằng nhóm tội phạm có tổ chức này "đã sử dụng phần mềm gian lận để ăn cắp xe bằng cách sao chép công tắc khởi động (ignition key) của xe"; "hơn 100 triệu euro, cũng như 12 tài khoản ngân hàng, bất động sản và 3 chiếc ô tô hạng sang đã bị thu giữ ở Pháp".

2. Google ra mắt Dự án mã nguồn mở GUAC nhằm tăng cường bảo mật của chuỗi cung ứng phần mềm

Google đang tìm kiếm những người đóng góp cho một dự án ​​mã nguồn mở mới được gọi là Graph for Understanding Artifact Composition (GUAC), như một phần của nỗ lực không ngừng nhằm tăng cường bảo mật chuỗi cung ứng phần mềm. Google cho biết "GUAC nhằm đáp ứng nhu cầu giám sát chuỗi cung ứng và các tài liệu bảo mật công cộng cũng như sử dụng nội bộ trong các tổ chức để truy vấn thông tin về artifact (sản phẩm phụ được tạo ra trong quá trình phát triển phần mềm) mà họ sử dụng".

Chuỗi cung ứng phần mềm đã dần xuất hiện các khai thác tấn công sinh lời cho các tác nhân đe dọa, trong đó chỉ cần khai thác một lỗ hổng - như trong trường hợp của SolarWinds và Log4Shell - sẽ ‘mở ra một con đường để đi qua chuỗi cung ứng và đánh cắp dữ liệu nhạy cảm, triển khai phần mềm độc hại, hay kiểm soát các hệ thống của khách hàng’. GUAC là nỗ lực mới nhất của công ty nhằm tăng cường bảo mật của chuỗi cung ứng bằng cách tổng hợp metadata bảo mật phần mềm từ tất cả các nguồn riêng tư (private) và công khai thành một "biểu đồ kiến ​​thức" để trả lời các câu hỏi về rủi ro chuỗi cung ứng.

C. Tin kỹ thuật chung

1. Lỗ hổng bảo mật trong các sản phẩm Microsoft công bố tháng 10

Ngày 11/10/2022, Microsoft đã phát hành danh sách bản vá tháng 10 với 85 lỗ hổng bảo mật trong các sản phẩm của mình. Bản phát hành tháng này đặc biệt đáng chú ý các lỗ hổng bảo mật có mức ảnh hưởng cao và nghiêm trọng sau:

  • Lỗ hổng bảo mật CVE-2022-41033 trong (CSRSS) cho phép đối tượng tấn công thực hiện nâng cao đặc quyền.
  • Lỗ hổng bảo mật CVE-2022-37968 trong Azure Arc-enabled Kubernetes cluster Connect cho phép đối tượng tấn công thực hiện nâng cao đặc quyền.
  • 03 lỗ hổng bảo mật CVE-2022-38048, CVE-2022-41043, CVE-2022-38001 trong Microsoft Office cho phép đối tượng tấn công thực thi mã từ xa, thu thập thông tin, tấn công giả mạo (Spoofing). Trong đó lỗ hổng CVE-2022-41043 đã được công bố rộng rãi trên Internet.
  • 03 lỗ hổng bảo mật CVE-2022-41036, CVE-2022-41037, CVE-2022-41038 trong Microsoft SharePoint Server cho phép đối tượng tấn công thực thi mã từ xa.
  • Lỗ hổng bảo mật CVE-2022-41031 trong Microsoft Word cho phép đối tượng tấn công thực thi mã từ xa.
  • Lỗ hổng bảo mật CVE-2022-37976 trong Active Directory Certificate Services cho phép đối tượng tấn công thực hiện nâng cao đặc quyền.

Để giảm thiểu tối đa ảnh hưởng đến các hệ thống thông tin, cập nhật bản vá là cách thực hiện hiệu quả nhất.

2. Lỗ hổng RCE nghiêm trọng trong :///C:/Users/Admin/AppData/Local/Temp/msohtmlclip1/01/clip_image010.jpg" style="height:202px; width:263px" />

Vm2 là một thư viện Node phổ biến được sử dụng để chạy mã không đáng tin cậy với các mô-đun tích hợp trong danh sách cho phép. Đây cũng là một trong những phần mềm được tải xuống phổ biến nhất, chiếm gần 3,5 triệu lượt mỗi tuần. GitHub cho biết: “Kẻ tấn công có thể vượt qua các biện pháp bảo vệ để chiếm quyền thực thi mã từ xa trên máy chủ chạy sandbox”.

Lỗ hổng RCE này có mã CVE-2022-36067 (hay Sandbreak) với điểm CVSS nghiêm trọng là 10, khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công vượt qua môi trường sandbox vm2 và chạy các lệnh shell trên hệ thống lưu trữ sandbox. Hiện lỗ hổng đã được vá trong phiên bản 3.9.11 được phát hành vào ngày 28 tháng 8 năm 2022.

3. Lỗ hổng nghiêm trọng trên thiết bị F5

Công ty cung cấp giải pháp an ninh mạng và phân phối ứng dụng F5 đã phát hành thông báo an ninh mạng hàng quý vào tháng 10 năm 2022, thông báo cho khách hàng về tổng cộng 18 lỗ hổng trong đó 12 lỗ hổng trong số này được xếp hạng "mức độ nghiêm trọng cao". Phần lớn các lỗ hổng có mức độ nghiêm trọng cao còn lại có thể cho phép kẻ tấn công từ xa, chưa được xác thực tiến hành các cuộc tấn công từ chối dịch vụ (DoS). Ngoài ra, ba trong số các khuyến nghị có liên quan đến các mô-đun NGINX và mô tả các lỗ hổng có thể cho phép kẻ tấn công cục bộ làm cho “NGINX worker process” kết thúc.

Các bản cập nhật hàng quý tiếp theo của F5 được lên lịch vào ngày 1 tháng 2 năm 2023. Hai thông báo hàng quý trước đó được phát hành vào tháng 5 và tháng 8 đã thông báo cho khách hàng lần lượt là 50 và 21 lỗ hổng.

4. Venus Ransomware đang nhắm mục tiêu vào các dịch vụ Remote Desktop công khai

Venus Ransomware được cho là đã bắt đầu hoạt động vào khoảng giữa tháng 8 năm 2022. Khi được thực thi, Venus ransomware sẽ dừng 39 tiến trình được liên kết với máy chủ cơ sở dữ liệu và các ứng dụng Microsoft Office, nó cũng sẽ xóa event logs, Shadow Copy Volumes và vô hiệu hóa biện pháp ngăn chặn thực thi dữ liệu. Tệp dữ liệu sau khi bị mã hóa sẽ được thêm phần mở rộng “.venus”. Ví dụ: một tệp có tên test.jpg bị mã hóa sẽ đổi tên thành test.jpg.venus. Phần mềm ransomware sẽ tạo một thông báo đòi tiền chuộc trong thư mục %Temp%. Thông báo này sẽ tự động được hiển thị sau khi phần mềm ransomware hoàn tất quá trình mã hóa thiết bị.

Venus dường như đang nhắm mục tiêu đến các dịch vụ Remote Desktop công khai, ngay cả những dịch vụ này chạy trên các cổng non-standard. Vì vậy, điều tốt nhất là không nên để các dịch vụ Remote Desktop công khai trên mạng mà chỉ cho phép truy cập được thông qua VPN. Nếu bắt buộc phải để công khai, hãy đặt các dịch vụ này ‘phía sau tường lửa (firewall)’ để bảo vệ các thiết bị.

Thông tin nguồn tham khảo:

[1] Cảnh sát Châu Âu bắt giữ nhóm tội phạm đã hack chìa khóa thông minh để ăn cắp ô tô

[2] Google ra mắt Dự án mã nguồn mở GUAC nhằm tăng cường bảo mật của chuỗi cung ứng phần mềm

[3] Cập nhật ngay: F5 vá 12 lỗ hổng nghiêm trọng

[5] Lỗ hổng trong các sản phẩm Microsoft tháng 10/2022

[6] Venus Ransomware đang nhắm mục tiêu vào các dịch vụ Remote Desktop công khai

 

Trung tâm CNTT