Tin tặc khai thác dồn dập lỗ hổng QuickTime mới nhất

Theo cảnh báo mới nhất của Symantec, giới hacker đang cố khai thác một lỗ hổng chưa được vá trong phần mềm Apple QuickTime, cho phép chạy mã nguy hiểm trên máy tính nạn nhân.

Quan sát ban đầu của Symantec cho biết, các cuộc tấn công chủ yếu nhằm vào người dùng Windows, nhưng người dùng Mac OS cũng có thể gặp nguy hiểm bởi lỗ hổng QuickTime hiện vẫn còn nghi ngờ ảnh hưởng tới cả hai hệ điều hành.

Lỗ hổng trên có tên là Apple QuickTime RTSP Response Header Stack-Based Buffer Overflow Vulnerability, được phát hiện lần đầu vào ngày 23/11 và hiện vẫn chưa được Apple vá.

Các nghiên cứu cho thấy lỗ hổng QuickTime mới nhất ảnh hưởng tới nhiều hệ điều hành, trong đó có Windows XP, Windows Vista, MacOS X 10.4, và cả HĐH mới ra mắt MacOS X 10.5 (Leopard). Lỗ hổng có thể được khai thác thông qua trình duyệt IE, Firefox, Opera và Safari.

Theo Symantec, có hai dạng thức tấn công đang được triển khai với lỗ hổng QuickTime. Thứ nhất, đó là máy tính nạn nhân bị chuyển hướng từ website dành cho người lớn Ourvoyeur.net sang một website khác và lây nhiễm vào máy tính một ứng dụng có tên là load.exe. Phần mềm này cũng có thể được lưu vào máy tính dưới nhiều tên file khác nhau, chẳng hạn như: metasploit.exe, asasa.exe, hoặc syst.exe. Khi được cài đặt vào máy tính, ứng dụng này sẽ download một file nhị phân khác mà Symantec nhận diện là Hacktool.Rootkit - một tập hợp các công cụ để phá vỡ hệ thống.

Symantec cho biết có nhiều khả năng tin tặc đã chiếm quyền điều khiển Ourvoyeur.net để phục vụ cho cuộc tấn công trên.

Dạng thức tấn công thứ hai cũng liên quan tới việc chuyển hướng website, và Symantec hiện đang điều tra xem liệu kiểu tấn công này có cài đặt thêm phần mềm độc hại vào không.

Để bảo vệ hệ thống, Symantec khuyến cáo người dùng nên khóa truy cập với các site ảnh hưởng. Cụ thể, cần phải lọc truy cập ra tới các địa chỉ IP: 85.255.117.212, 85.255.117.213, 216.255.183.59, 69.50.190.135, 58.65.238.116, và 208.113.154.34. Đồng thời, cũng cần lọc truy cập tới các trang 2005-search.com, 1800-search.com, search-biz.org, và ourvoyeur.net. Quản trị hệ thống cần phải khóa thêm truy cập ra thông qua cổng 554.

Văn Hân