Tất cả phần mềm an ninh có thể bị "hạ gục"

Theo công bố từ các chuyên gia an ninh, người dùng Windows đang bị đặt vào tình trạng đặc biệt nguy hiểm khi vừa xuất hiện một kiểu tấn công mới được cho là có khả năng qua mặt hầu hết các trình an ninh đáng tin cậy trên thị trường hiện nay.

Theo các nhà nghiên cứu bảo mật tại Matousec miêu tả: tin tặc nhắm vào các hook (cơ chế cài đặt và điều khiển xử lý thông điệp trao nhận trên Windows) ngay trong nhân hệ thống có tên gọi System Service Descriptor Table (SSDT), vốn được hầu hết các phần mềm an ninh sử dụng để chuyển hướng lệnh tác động lên Windows qua khâu xử lý trung gian để kiểm tra trước khi cho phép chạy. Lợi dụng khoảng thời gian ngắn ngủi phần mềm an ninh thông báo mã thực thi là an toàn đến lúc chúng thực sự được kích hoạt, tin tặc sẽ chèn mã độc vào hệ thống, hòng vượt qua cơ chế kiểm soát của chính phần mềm an ninh.

Điểm chú ý ở kĩ thuật tấn công mới này là tin tặc xác định được đâu là khoảng thời gian đích xác phần mềm an ninh sẽ kết thúc quá trình kiểm tra mã thực thi, trình điều khiển ứng dụng mà người dùng mở để lợi dụng. Tất nhiên, để làm được điều này kẻ tấn công phải nắm được các kĩ thuật cao cấp, rất phức tạp.

Hiện các nhà nghiên cứu của Matousec sử dụng mô hình thử nghiệm có tên gọi KHOBE - Kernel HOok Bypassing Engine để dựng quy trình tấn công. Theo Matousec, có tới 34 phần mềm an ninh mạng bị vượt mặt, trong đó có khá nhiều tên tuổi lớn như Symantec, McAfee, Trend Micro, BitDefender, Sophos…Để kiểm nghiệm, Matousec đã tiến hành phân tích trên cả Windows XP SP3 và Vista SP1, nền tảng 32 bit.

Rõ ràng, đây là một mối nguy hiểm rất đáng ngại. Có lẽ bất kì sản phẩm an ninh nào trên Windows XP cũng có thể bị khai thác bằng cách này.”, Alfred Huger, phó chủ tịch kĩ thuật công ty bảo mật Immunet có trụ sở ở California cho hay. Đồng tình với nhận định này, giám đốc trung tâm nghiên cứu của F-Secure, ông Mikko Hypponen cũng cho rằng: “Đây quả là một vấn đề nghiêm trọng và về mặt kĩ thuật, những gì Matousec phát hiện được là hoàn toàn chính xác”.

"Dựa vào một số đánh giá ban đầu của chúng tôi trước những gì được công bố, chúng tôi tin rằng đây là kiểu tấn công rất tinh vi, với nhiều yếu tố phức tạp do đó, vẫn chưa thể có ngay viễn cảnh một cuộc tấn công tràn lan rộng khắp”, phát ngôn viên của hãng McAfee nhận định.

Một số chuyên gia an ninh tỏ ra lo lắng, khi những phát hiện của Matousec có thể trở thành “tài liệu tham khảo” giúp tin tặc nghiên cứu, phát triển kĩ thuật tấn công này. Tuy nhiên, hầu hết các nhà nghiên cứu an ninh cũng như công ty sản xuất phần mềm trong lĩnh vực này đều tạm hài lòng rằng các phần mềm an ninh không phải là không có khả năng kháng cự trước kiểu tấn công mới, vì để thực hiện thành công, tin tặc phải có mã độc trên máy mà điều này theo lí thuyết, chỉ cần người dùng quét hệ thống là có thể tận diện được.

Theo dự đoán, đích ngắm tin tặc sẽ khai thác lỗi này là Windows XP phiên bản 32 bit, khi đây vẫn là hệ điều hành phổ biến nhất hiện nay, đồng thời không được trang bị công nghệ bảo vệ nhân PatchGuard như trên phiên bản XP 64 bit và các hệ điều hành thế hệ sau này như Vista và Windows 7.

Hiện Microsoft vẫn chưa đưa ra nhận xét trước tuyên bố của Matousec.

Tấn công "Likejacking" hoành hành Facebook

Theo hãng bảo mật Sophos, một đợt tấn công qua tin nhắn mới vừa xuất hiện trên Facebook, lừa đảo hàng trăm ngàn người sử dụng theo cách thức clickjacking – nhấp vào liên kết độc hại.

Tương tự như hầu hết các trò lừa đảo khác, chương trình này dựa vào kỹ thuật tận dụng mạng xã hội và lôi kéo nạn nhân quan tâm đến các thông điệp như: “LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.”, “This man takes a picture of himself EVERYDAY for 8 YEARS!!” , “The Prom Dress That Got This Girl Suspended From School”, “This Girl Has An Interesting Way Of Eating A Banana, Check It Out!”.

Và để đọc thêm một cách chi tiết, người truy cập sẽ cần phải nhấp vào một liên kết trong mục “Click here to continue” (click ở đây để xem tiếp). Tuy nhiên, ẩn trong liên kết đó là một mã độc chèn dạng iFrame được viết nhằm vào các hệ thống nền tảng Widnows.

Trích trên trang blog của Sophos, Graham Cluley khuyến cáo người dùng “Nếu bạn nghi ngờ rằng có thể tài khoản Facebook đã bị ảnh hưởng bởi cuộc tấn công này, hãy xem lại các hoạt động gần đây trên tài khoản của mình và xóa những mục liên quan đến các liên kết ở trên. Hơn nữa, bạn hãy nên xem trong hồ sơ của mình bằng cách nhấp vào thẻ Info của mình và loại bỏ bất kỳ các trang liên quan trong mục Likes and interests section”.

Theo Sophos, tên gọi mà hãng đặt cho cuộc tấn công này là “Likejacking”.

Thứ Hai, 07/06/2010 11:35
31 👨 806
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp