Tin tức An toàn thông tin tuần 12, năm 2023 (20-26/03)
30/03/2023 03:56 PM
Hiện tại bài viết chưa được cập nhật nội dung Âm thanh. Xin cảm ơn.
A. Điểm tin An toàn thông tin
1. Microsoft phát hành Patch Tuesday tháng Ba để khắc phục 80 lỗ hổng mới
Microsoft đã hát hành bản cập nhật Patch Tuesday của tháng này để khắc phục 80 lỗ hổng bảo mật mới, hai trong số đó đã bị khai thác trong thực tế.
Trong số 80 lỗ hổng, có 8 lỗ hổng được xếp ở mức nghiêm trọng, 71 lỗ hổng mức cao và một lỗ hổng mức trung bình. Ngoài ra, bản cập nhật cũng bao gồm bản vá cho 29 lỗ hổng đã được Microsoft vá gần đây trong trình duyệt Edge.
Hai lỗ hổng đang bị khai thác bao gồm lỗ hổng leo thang đặc quyền trong Microsoft Outlook (CVE-2023-23397, điểm CVSS: 9,8) và lỗ hổng bỏ qua tính năng bảo mật (CVE-2023-24880, điểm CVSS: 5,1).
Kẻ tấn công có thể khai thác CVE-2023-23397 bằng cách gửi một email độc hại đến máy mục tiêu, lỗ hổng sẽ được kích hoạt tự động khi ứng dụng Outlook trên (CERT-UA) đã báo cáo lỗ hổng này, đồng thời cho biết thêm rằng họ cũng phát hiện "các cuộc tấn công có chủ đích" do một tác nhân đe dọa có trụ sở tại Nga thực hiện nhằm vào chính phủ và các lĩnh vực giao thông vận tải, năng lượng và quân sự ở Châu Âu.
Mặt khác, CVE-2023-24880 có thể bị khai thác để vượt qua các biện pháp bảo vệ Mark-of-the-Web (MotW) khi mở các tệp không đáng tin cậy được tải xuống từ internet.
Đây là hậu quả của một bản vá chưa hoàn chỉnh do Microsoft phát hành trước đó để giải quyết một lỗ hổng bỏ qua cảnh báo SmartScreen khác (CVE-2022-44698, điểm CVSS: 5,4) được tiết lộ vào năm ngoái và đã bị tin tặc khai thác để lây nhiễm ransomware Magniber.
Nhóm phân tích mối đe dọa của Google (TAG) cho biết "do tính cấp bách, các nhà cung cấp có thể phát hành các bản vá chưa hoàn chỉnh".
"Vì nguyên nhân cốt lõi đằng sau việc bỏ qua bảo mật SmartScreen không được giải quyết, những kẻ tấn công có thể xác định một biến thể khác của lỗ hổng ban đầu".
TAG đã phát hiện hơn 100.000 lượt tải xuống các tệp MSI độc hại được ký bằng chữ ký Authenticode không đúng định dạng kể từ tháng 1 năm 2023, cho phép kẻ tấn công phát tán ransomware Magniber mà không gây ra bất kỳ cảnh báo bảo mật nào. Phần lớn các lượt tải xuống đó được liên kết với người dùng ở Châu Âu.
Cơ quan an ninh mạng (CISA) của Mỹ đã thêm hai lỗ hổng này vào danh mục các lỗ hổng bị khai thác đã biết (KEV).
Microsoft cũng đã giải quyết một số lỗ hổng thực thi mã từ xa nghiêm trọng, đều có điểm CVSS: 9,8, ảnh hưởng đến HTTP Protocol Stack (CVE-2023-23392), Giao thức Internet Control Message (CVE-2023-23415) và Remote Procedure Call Runtime (CVE-2023-21708).
Các điểm đáng chú ý khác bao gồm các bản vá cho bốn lỗ hổng leo thang đặc quyền trong (CVE-2023-24882 và CVE-2023-24923, điểm CVSS: 5,5), một lỗ hổng giả mạo trong Office cho Android (CVE-2023-23391, điểm CVSS: 5,5), một lỗ hổng bỏ qua tính năng bảo mật trong OneDrive dành cho iOS (CVE-2023-24890, điểm CVSS: 4,3) và một lỗ hổng leo thang đặc quyền trong OneDrive dành cho macOS (CVE-2023-24930, điểm CVSS: 7,8).
Làm tròn danh sách là các bản vá cho hai lỗ hổng mức cao trong Trusted Platform Module (TPM) 2.0 (CVE-2023-1017 và CVE-2023-1018, điểm CVSS: 8,8) có thể dẫn đến tiết lộ thông tin hoặc leo thang đặc quyền.
Để giảm thiểu các nguy cơ tiềm ẩn, người dùng nên kiểm tra và cập nhật bản vá cho các ứng dụng đang sử dụng ngay khi có thể.
Ngoài Microsoft, các nhà cung cấp khác cũng đã phát hành các bản cập nhật bảo mật kể từ đầu tháng để khắc phục các lỗ hổng trong các sản phẩm của họ, bao gồm Adobe, Android, Apple, Networks, Cisco, Citrix, CODESYS, Dell, Drupal, F5, Fortinet, GitLab, Google Chrome, IBM, Jenkins, Lenovo, các nhà phân phối Linux Debian, Oracle Linux, Red Hat, SUSE, và Ubuntu, MediaTek, Mozilla Firefox, Firefox ESR, và Thunderbird, NETGEAR, NVIDIA, Qualcomm, Samba, Samsung, SAP, Schneider Electric, Siemens, SonicWall, Sophos, Synology, Trend Micro, Veeam, Zoho, và Zoom.
2. Google phát hiện các lỗ hổng bảo mật nghiêm trọng trong chip Samsung Exynos
Google đang cảnh báo về một loạt các lỗ hổng bảo mật nghiêm trọng trong chip Exynos của Samsung, một số trong đó có thể bị tin tặc khai thác từ xa để xâm phạm hoàn toàn điện thoại mà không yêu cầu bất kỳ tương tác nào của người dùng.
18 lỗ hổng zero-day ảnh hưởng đến nhiều loại điện thoại thông minh Android của Samsung, Vivo, Google, thiết bị sử dụng chip (baseband) mà không cần sự tương tác của người dùng và chỉ yêu cầu kẻ tấn công biết số điện thoại của nạn nhân".
Khai thác thành công, kẻ đe dọa có thể giành được quyền truy cập lén lút vào thông tin được gửi đến và đi từ thiết bị được nhắm mục tiêu. Chi tiết bổ sung về các lỗ hổng hiện chưa được tiết lộ để tránh việc tin tặc lạm dụng khai thác các lỗ hổng trong thực tế.
14 lỗ hổng còn lại được cho là không nghiêm trọng, vì nó yêu cầu kẻ tân công phải có vị trí trong mạng di động hoặc có quyền truy cập cục bộ vào thiết bị mục tiêu.
Hiện các thiết bị Pixel 6 và 7 đã được phát hành bản vá cho các lỗ hổng trong bản cập nhật bảo mật tháng 3 năm 2023, bản vá cho các thiết bị khác sẽ được phát hành phụ thuộc vào nhà sản xuất.
Cho đến lúc đó, người dùng nên tắt tính năng Wi-Fi calling và Voice over LTE (VoLTE) trong cài đặt thiết bị của mình để "loại bỏ nguy cơ khai thác các lỗ hổng này".
3. (lỗi double free), Mingi Cho của Theori (lỗ hổng Use-After-Free) và Bien Pham (@bienpnn) của Qrious Security.
Hai nhà nghiên cứu đầu tiên đã nhận về mỗi người 30.000 đô cho khai thác zero-day của họ, Bien Pham chỉ giành được 15.000 đô do bị trùng.
(@masthoon) từ Synacktiv (@Synacktiv) thông qua lỗi Use-After-Free (UAF). Imbert đã nhận được 30.000 đô cho khai thác này.
Cuối cùng, nhóm STAR Labs @starlabs_sg) đã sử dụng chuỗi khai thác UAF để tấn công VMWare Workstation và giành giải thưởng trị giá 80.000 đô.
Vào ngày đầu tiên, các nhà nghiên cứu tham gia Pwn2Own Vancouver 2023 đã giành được 375.000 đô và một chiếc Tesla Model 3 sau khi chứng minh khai thác thành công 12 zero-day trong Tesla Model 3, (EoP).
Các nhà cung cấp có 90 ngày để vá các lỗ hổng zero-day được thử nghiệm và báo cáo trong Pwn2Own trước khi Zero Day Initiative (ZDI) của Trend Micro tiết lộ chi tiết kỹ thuật về chúng.
Tại cuộc thi hack Pwn2Own Vancouver năm ngoái, các nhà nghiên cứu đã giành được 1.155.000 đô tiền thưởng sau khi hack thành công Hệ thống thông tin giải trí Tesla Model 3, (firewall) và ảo hóa thiếu hỗ trợ EDR. Khả năng kiểm soát firmware tường lửa và khai thác lỗ hổng zero-day cho thấy mức độ hiểu biết của nhóm về các công nghệ này".
Các tác nhân đe dọa trước đây được cho là có liên quan đến một hoạt động xâm nhập khác nhắm mục tiêu vào các máy chủ VMware ESXi và Linux vCenter như một phần của chiến dịch tấn công lớn nhằm triển khai các backdoor VIRTUALPITA và VIRTUALPIE.
Tiết lộ mới nhất từ Mandiant được đưa ra khi Fortinet cho biết rằng các tổ chức chính phủ và tổ chức lớn đã trở thành nạn nhân của một tác nhân đe dọa chưa xác định bằng cách lạm dụng lỗ hổng zero-day trong phần mềm Fortinet FortiOS để dẫn đến mất dữ liệu, hỏng hệ điều hành và tệp.
Lỗ hổng có định danh CVE-2022-41328 (điểm CVSS: 6,5), liên quan đến lỗi path traversal trong FortiOS và có thể dẫn đến thực thi mã tùy ý. Nó đã được Fortinet vá vào ngày 7 tháng 3 năm 2023.
Theo Mandiant, các cuộc tấn công do UNC3886 thực hiện đã nhắm mục tiêu vào các thiết bị FortiGate, FortiManager và FortiAnalyzer đang để công khai trên internet của Fortinet để triển khai hai mã độc THINCRUST và CASTLETAP.
THINCRUST, là một backdoor Python có khả năng đọc, ghi các tệp và thực thi các lệnh tùy ý, được sử dụng để thực thi các tập lệnh (script) FortiManager dùng để khai thác lỗ hổng path traversal FortiOS để ghi đè lên các tệp hợp pháp và sửa đổi các firmware image.
Các tập lệnh bao gồm một payload mới có tên là "/bin/fgfm" (được gọi là CASTLETAP) dùng để báo hiệu cho máy chủ do tác nhân đe dọa kiểm soát chấp nhận các lệnh đến cho phép nó chạy lệnh, tải payload và đánh cắp dữ liệu từ máy chủ bị xâm phạm.
Các nhà nghiên cứu cho biết: “Sau khi CASTLETAP được triển khai cho tường lửa FortiGate, tác nhân đe dọa đã kết nối với các máy ESXi và vCenter và triển khai VIRTUALPITA và VIRTUALPIE để duy trì truy cập lâu dài, cho phép chúng duy trì truy cập vào các công cụ ảo hóa và máy khách."
Ngoài ra, trên các thiết bị FortiManager được triển khai các hạn chế truy cập internet, tác nhân đe dọa được cho là đã sử dụng CASTLETAP để cài cắm một reverse shell có tên là REPTILE ("/bin/klogd") trên hệ thống quản lý mạng để lấy lại quyền truy cập.
Cũng được UNC3886 sử dụng ở giai đoạn này là một tiện ích có tên là TABLEFLIP, một phần mềm chuyển hướng lưu lượng mạng để kết nối trực tiếp với thiết bị FortiManager bất kể các quy tắc kiểm soát truy cập (ACL) được áp dụng.
Đây không phải lần đầu tiên các tin tặc nhắm mục tiêu vào thiết bị mạng để phát tán mã độc, với các cuộc tấn công được phát hiện gần đây đã lợi dụng các lỗ hổng khác trong thiết bị Fortinet và SonicWall.
Theo Rapid7, tiết lộ được đưa ra khi các tác nhân đe dọa đang đẩy nhanh phát triển và triển khai khai thác, với 28 lỗ hổng bị khai thác trong vòng bảy ngày kể từ khi tiết lộ công khai - tăng 12% so với năm 2021 và tăng 87% so với năm 2020.
Điều này rất đáng lo ngại, nhất là khi các nhóm tin tặc đã trở nên "thành thạo" trong việc khai thác các lỗ hổng zero-day và triển khai phần mềm độc hại để đánh cắp thông tin đăng nhập của người dùng và duy trì quyền truy cập vào các mạng mục tiêu.
Mandiant cho biết "hoạt động này là một trong những bằng chứng cho thấy các tác nhân đe dọa gián điệp mạng tinh vi đang lợi dụng bất kỳ công nghệ có sẵn nào, đặc biệt là những công nghệ không hỗ trợ giải pháp EDR, để tồn tại và vượt qua các biện pháp bảo vệ của môi trường mục tiêu".
Để giảm thiểu nguy cơ bị tấn công, người dùng nên kiểm tra và cập nhật đầy đủ bản vá cho các sản phẩm, thiết bị đang sử dụng cũng như hạn chế cho phép truy cập công khai đến các thiết bị từ internet.
2. Winter Vivern APT sử dụng phần mềm quét vi-rút giả mạo để lây nhiễm mã độc
Một nhóm APT có tên 'Winter Vivern' đã nhắm mục tiêu vào các tổ chức chính phủ Châu Âu và các nhà cung cấp dịch vụ viễn thông để tiến hành hoạt động gián điệp.
Nhóm APT này được cho là có liên quan đến chính phủ Nga do các hoạt động của chúng phù hợp với lợi ích của Nga và Belarus.
Winter Vivern lần đầu tiên được DomainTools báo cáo vào năm 2021 khi nó nhắm mục tiêu vào các tổ chức chính phủ ở Litva, Slovakia, Vatican và Ấn Độ.
Trong các chiến dịch gần đây mà Sentinel Labs đã phát hiện, Winter Vivern đã nhắm mục tiêu vào các cá nhân làm việc trong chính phủ Ba Lan, Ý, Ukraine và Ấn Độ.
Ngoài các mục tiêu cấp cao của nhà nước, nhóm cũng nhắm vào các công ty viễn thông đã hỗ trợ Ukraine kể từ cuộc xâm lược của Nga.
Bắt đầu từ đầu năm 2023, Winter Vivern đã tạo các trang giả mạo các trang web của Cục Phòng chống Tội phạm Mạng Trung ương của Ba Lan, Bộ Ngoại giao Ukraine và Cơ quan An ninh Ukraine.
Các trang web này lưu trữ các tệp độc hại được phát tán thông qua các liên kết trong email độc hại được gửi đến các mục tiêu.
Trước đây, SentinelLabs cũng đã phát hiện các tệp bảng tính (XLS) có chứa macro độc hại khởi chạy PowerShell được phát tán thông qua các các trang web giả mạo mà nhóm APT sử dụng.
Một ví dụ cho thấy sự phát triển của Winter Vivern trong báo cáo của Sentinel Labs là việc sử dụng các tệp batch của (phần mềm, tệp) độc hại.
Chương trình độc hại sẽ giả vờ thực hiện quét vi-rút, hiển thị phần trăm thời gian còn lại đang chạy, trong khi âm thầm tải xuống tệp độc hại bằng PowerShell.
Payload được cài đặt thông qua quy trình này được đặt tên là "Aperetif", được CERT Ukraine tiết lộ chi tiết trong một báo cáo vào tháng 2 năm 2023.
Phần mềm độc hại được lưu trữ trên các trang web WordPress bị xâm nhập, thường được sử dụng cho các chiến dịch phát tán mã độc.
Aperetif có khả năng quét và lọc tệp tự động, chụp ảnh màn hình và gửi tất cả dữ liệu ở dạng mã hóa base64 tới máy chủ do kẻ tấn công kiểm soát (marakanas[.]com).
SentinelLabs cũng phát hiện ra một payload mới được Winter Vivern sử dụng, có vẻ như có chức năng tương tự với Aperefit nhưng có thiết kế chưa hoàn thiện, điều này cho thấy đây có thể là một công việc đang được tiến hành của nhóm.
Trong cả hai trường hợp, mã độc sẽ gửi các tín hiệu (beacon) đến máy chủ điều khiển tấn công bằng PowerShell và nhận lệnh hoặc payload bổ sung từ máy chủ.
Winter Vivern là một nhóm sử dụng cách tiếp cận tương đối đơn giản nhưng hiệu quả để thu hút mục tiêu tải xuống các tệp độc hại.
Để tránh trở thành nạn nhân của của các cuộc tấn công này, người dùng nên cẩn thận trước khi tải xuống bất kỳ tệp nào cũng như chỉ cài đặt các phần mềm, ứng dụng từ những nguồn đáng tin cậy.
Nguồn tham khảo: [1] tinnhiemmang.vn [2] antoanthongtin.vn [3] thehackernews.com [4] bleepingcomputer.com
Trung tâm CNTT
Video: BHXH Việt Nam tổ chức Hội nghị giao ban ...
BHXH Việt Nam tăng cường hợp tác quốc tế nâng cao ...
Các ca khúc đạt giải Đặc biệt, giải A và giải B ...
BHXH các tỉnh, thành phố: Phát huy tiềm năng, quyết tâm ...
Thủ tướng bổ nhiệm và bổ nhiệm lại nhân sự Hội đồng quản lý ...
Bộ Chính trị ban hành Nghị quyết về đột phá phát triển khoa ...
Phê duyệt cấp độ an toàn hệ thống thông tin “Bồi dưỡng trực ...
BHXH Việt Nam đạt kết quả vượt bậc trong chi trả chế độ ...