Thứ Ba, 1 tháng 11, 2016

Xuất hiện kỹ thuật hack có thể tấn công mọi phiên bản của Windows, không thể sửa chữa bằng một bản vá

Kỹ thuật tấn công này đúng là "một quả bom nguyên tử" đối với người dùng Windows.

Liệu có điều gì đáng sợ hơn việc chiếc máy tính chạy Windows của bạn, dù đang chạy ở bất kỳ phiên bản nào, dù đã được cập nhật đầy đủ các bản vá, nhưng những kẻ tấn công vẫn có thể hack được máy tính của bạn. Chắc hẳn là không.

Các nhà nghiên cứu bảo mật đã khám phá ra một kỹ thuật có thể cho phép những kẻ tấn công đưa mã độc vào mọi phiên bản hệ điều hành Windows, ngay cả Windows 10, theo một cách mà không công cụ chống malware hiện tại nào có thể phát hiện được. Tất nhiên điều đó có thể đe dọa đến hàng triệu chiếc PC trên toàn thế giới.

Được mệnh danh là “AtomBombing” kỹ thuật này không khai thác bất kỳ lỗ hổng nào như thường thấy, mà nó lợi dụng một điểm yếu trong thiết kế của hệ điều hành Windows.


Một kỹ thuật tấn công Code Injection mới giúp malware vượt qua các biện pháp an ninh

Kỹ thuật tấn công AtomBombing lợi dụng Atom Tables, một tính năng cấp hệ thống của Windows. Tính năng này là một bảng cho phép các ứng dụng lưu lại thông tin trên các chuỗi (string), các đối tượng (object) và các loại dữ liệu khác để truy cập vào một cách thường xuyên.

Khi một ứng dụng đặt một chuỗi vào bảng này, nó sẽ nhận lại được một số nguyên 16-bit, được gọi là atom, dùng để truy cập vào chuỗi đó. Hệ điều hành Windows cung cấp một số bảng các atom đó và mỗi bảng lại phục vụ cho một số mục đích khác nhau khi chia sẻ giữa các ứng dụng. Và khi Atom chia sẻ các bảng này, tất cả mọi loại ứng dụng có thể truy cập hoặc chỉnh sửa dữ liệu bên trong các bảng đó.

Một nhóm các nhà nghiên cứu từ công ty an ninh mạng EnSilo, những người đã đưa ra kỹ thuật AtomBombing này, cho biết: lỗi thiết kế này trong Windows có thể cho phép các mã độc hại chỉnh sửa được các bảng atom này và đánh lừa các ứng dụng hợp lệ để chúng thực thi các hành vi độc hai thay cho kẻ tấn công.

Các nhà nghiên cứu cho biết thêm: khi đưa được các mã độc vào các process hợp lệ này, malware sẽ giúp những kẻ tấn công dễ dàng vượt qua các cơ chế bảo mật để bảo vệ hệ thống và đưa vào các phần mềm độc hại.


AtomBombing có thể thực thi kiểu tấn công MITM, giải mã mật khẩu và nhiều hơn nữa

Bên cạnh việc vượt qua các hạn chế cấp process, kỹ thuật AtomBombing cũng cho phép những kẻ tấn công thực hiện cách thức tấn công trình duyệt man-in-the-middle (MITM), chụp ảnh màn hình từ xa đối với máy tính của người dùng nạn nhân, và truy cập vào các mật khẩu mã hóa được lưu trên trình duyệt.

Google Chrome mã hóa các mật khẩu của bạn bằng cách sử dụng API Windows Data Protection (DPAPI), trong đó sử dụng dữ liệu thu được từ người dùng hiện tại để mã hóa hoặc giải mã dữ liệu và truy cập vào mật khẩu.

Vì vậy, nếu malware được “tiêm vào” (inject) trong một process đang chạy trong phạm vi của người dùng hiện tại, nó có thể truy cập vào toàn bộ các mật khẩu đó dưới dạng văn bản gốc (plain text), chưa được mã hóa.

Hơn nữa, bằng cách tiêm đoạn mã vào trong trình duyệt web, những kẻ tấn công có thể chỉnh sửa nội dung hiển thị cho người dùng.

Ví dụ, trong một giao dịch ngân hàng, khách hàng luôn được hiển thị chính xác các thông tin thanh toán như khách hàng dự định tiến hành, thông qua màn hình xác nhận.” Tal Liberman, người đứng đầu nhóm nghiên cứu bảo mật của EnSilo cho biết.

Tuy nhiên, kẻ tấn công có thể chỉnh sửa dữ liệu để ngân hàng nhận được các thông tin giao dịch sai theo ý muốn của kẻ tấn công, ví dụ số tài khoản cần chuyển tiền đến và số tiền cần chuyển.” Bằng cách này, nạn nhân có thể vô tình chuyển tiền cho kẻ tấn công mà không biết.

Chưa có bản vá cho kỹ thuật tấn công AtomBombing

Công ty cho biết mọi phiên bản của hệ điều hành Windows, bao gồm cả phiên bản Windows 10 mới nhất, đều bị ảnh hưởng. Điều này còn tồi tệ hơn nữa khi hiện giờ vẫn chưa có bản sửa lỗi nào cho nó.

Thật không may, vấn đề này không thể vá khi nó không dựa trên các đoạn mã bị hỏng hay bị lỗi – thay vào đó, nó dựa trên cơ chế của các hệ điều hành này được thiết kế.” Ông Liberman cho biết.

Do kỹ thuật tấn công AtomBombing khai thác các hàm hợp lệ của hệ điều hành để thực hiện cuộc tấn công, điều này cũng có nghĩa là Microsoft không thể khắc phục vấn đề này bằng một bản vá. Thay vào đó họ phải thay đổi cách toàn bộ hệ điều hành này hoạt động, một giải pháp dường như khó có thể khả thi.

Tham khảo TheHackNews

Duong Nguyen
Duong Nguyen

Work hard and learn more invaluable lessons when serving in professional business oriented environment so as to accumulate more experience for further overall advancement.

Vui lòng chia sẻ cảm nghĩ của bạn / Spread out Your Opinions

Vui lòng sử dụng Tiếng Việt có dấu và không bình luận quảng cáo hoặc nội dung không liên quan tới chủ đề.
Please use English to post a comment and do not spamming or marketing.