Các nhà nghiên cứu của Trend Micro đã phát hiện ra một lỗ hổng bảo mật mới trong mã Windows. Lỗ hổng này cho phép thực thi mã tùy ý trên máy tính mà không cần sự đồng ý của chủ sở hữu. Vi phạm xảy ra khi giao diện người dùng không hiển thị chính xác thông tin quan trọng cho người dùng. Trên thực tế, có thể ẩn thông tin cần thiết khỏi người dùng hoặc thao túng giao diện để thao túng chúng.
Trong trường hợp này, kẻ tấn công có thể sử dụng cách Windows hiển thị các tệp lối tắt (.lnk) để thực thi mã. Cụ thể hơn, kẻ tấn công sẽ ẩn các lệnh độc hại trong các tệp lối tắt. Các hướng dẫn độc hại thực sự được chèn vào khoảng trống vô hình trong tệp lối tắt. Khi người dùng kiểm tra tệp .LNK trong Windows Explorer, các hướng dẫn không được hiển thị chính xác do có thêm khoảng trắng. Do đó, nạn nhân nghĩ rằng phím tắt này vô hại khi thực tế nó có thể thực thi mã độc hại ở chế độ nền. Thủ thuật này có thể "làm cho nội dung nguy hiểm của tệp trở nên vô hình với người dùng.".
Trong hầu hết các cuộc tấn công, lỗ hổng này cho phép các loại virus như Ursnif, Gh0st RAT và Trickbot được cài đặt trên các máy mục tiêu. Gần 70% các cuộc tấn công nhằm mục đích đánh cắp dữ liệu cá nhân. Chỉ có 20% các cuộc tấn công nhằm mục đích gây quỹ. Trend Micro cho biết họ đã tìm thấy gần một nghìn bằng chứng cho thấy lỗ hổng này đã bị khai thác, nhưng "nhiều khả năng tổng số nỗ lực khai thác thực tế còn cao hơn nhiều". Hầu hết các nỗ lực khai thác đều xuất phát từ Bắc Triều Tiên. Các cuộc tấn công chủ yếu nhắm vào các công ty chính phủ, tài chính và viễn thông.
Để phản hồi lại các đồng nghiệp của chúng tôi tại Bleeping Computer, Microsoft cuối cùng đã làm rõ lập trường của mình. Nhóm này cho rằng mọi biện pháp phòng ngừa đã được thực hiện để đảm bảo người dùng Windows được bảo vệ khỏi các tệp tin độc hại được trao đổi trực tuyến. Thật vậy, "Microsoft Defender tích hợp các cơ chế phát hiện để xác định và chặn mối đe dọa này, trong khi Smart App Control bổ sung thêm khả năng bảo vệ bằng cách ngăn chặn việc tải xuống các tệp độc hại từ Internet.".
Hơn nữa, Microsoft khuyến khích "khách hàng nên thận trọng khi tải xuống các tệp từ các nguồn không xác định, như đã nêu trong các cảnh báo bảo mật, được thiết kế để phát hiện và cảnh báo người dùng về các tệp có khả năng gây hại." Mặc dù nhà xuất bản tin rằng vấn đề được mô tả trong báo cáo không đạt đến mức đủ cao để đảm bảo phản hồi ngay lập tức, nhưng họ sẵn sàng xem xét vấn đề này. Microsoft sẽ giải quyết khả năng sửa lỗi trong "phiên bản tương lai" của Windows. Để biện minh cho sự từ chối ban đầu của mình, Microsoft đang ẩn sau các hướng dẫn phân loại mức độ nghiêm trọng của lỗ hổng bảo mật hiện tại của công ty.
Nguồn: Trend Micro
Trong trường hợp này, kẻ tấn công có thể sử dụng cách Windows hiển thị các tệp lối tắt (.lnk) để thực thi mã. Cụ thể hơn, kẻ tấn công sẽ ẩn các lệnh độc hại trong các tệp lối tắt. Các hướng dẫn độc hại thực sự được chèn vào khoảng trống vô hình trong tệp lối tắt. Khi người dùng kiểm tra tệp .LNK trong Windows Explorer, các hướng dẫn không được hiển thị chính xác do có thêm khoảng trắng. Do đó, nạn nhân nghĩ rằng phím tắt này vô hại khi thực tế nó có thể thực thi mã độc hại ở chế độ nền. Thủ thuật này có thể "làm cho nội dung nguy hiểm của tệp trở nên vô hình với người dùng.".
Mười một băng nhóm tội phạm đã khai thác lỗ hổng này
Các chuyên gia coi vụ vi phạm này là lỗ hổng bảo mật zero-day. Tóm lại, lỗ hổng này đã bị khai thác trong các cuộc tấn công mạng trước khi nó được tiết lộ. Nghiên cứu của Trend Micro đã chỉ ra rằng mười một nhóm tội phạm mạng đã sử dụng lỗ hổng này trong hoạt động của chúng kể từ năm 2017. Lỗ hổng này chủ yếu được các băng nhóm được chính phủ tài trợ từ các quốc gia như Triều Tiên, Iran, Nga và Trung Quốc sử dụng. Các quốc gia này nổi tiếng với việc tiến hành các hoạt động gián điệp quy mô lớn.Trong hầu hết các cuộc tấn công, lỗ hổng này cho phép các loại virus như Ursnif, Gh0st RAT và Trickbot được cài đặt trên các máy mục tiêu. Gần 70% các cuộc tấn công nhằm mục đích đánh cắp dữ liệu cá nhân. Chỉ có 20% các cuộc tấn công nhằm mục đích gây quỹ. Trend Micro cho biết họ đã tìm thấy gần một nghìn bằng chứng cho thấy lỗ hổng này đã bị khai thác, nhưng "nhiều khả năng tổng số nỗ lực khai thác thực tế còn cao hơn nhiều". Hầu hết các nỗ lực khai thác đều xuất phát từ Bắc Triều Tiên. Các cuộc tấn công chủ yếu nhắm vào các công ty chính phủ, tài chính và viễn thông.
Microsoft miễn cưỡng vá lỗ hổng
Ban đầu, Microsoft kiên quyết từ chối vá lỗ hổng. Trend Micro giải thích rằng họ đã "gửi bằng chứng khai thác cho Microsoft", tức là phương pháp chứng minh rằng lỗ hổng có thể khai thác được. Bất chấp bằng chứng được các nhà nghiên cứu đưa ra, gã khổng lồ Redmond vẫn "từ chối giải quyết lỗ hổng này bằng bản vá bảo mật"..Để phản hồi lại các đồng nghiệp của chúng tôi tại Bleeping Computer, Microsoft cuối cùng đã làm rõ lập trường của mình. Nhóm này cho rằng mọi biện pháp phòng ngừa đã được thực hiện để đảm bảo người dùng Windows được bảo vệ khỏi các tệp tin độc hại được trao đổi trực tuyến. Thật vậy, "Microsoft Defender tích hợp các cơ chế phát hiện để xác định và chặn mối đe dọa này, trong khi Smart App Control bổ sung thêm khả năng bảo vệ bằng cách ngăn chặn việc tải xuống các tệp độc hại từ Internet.".
Hơn nữa, Microsoft khuyến khích "khách hàng nên thận trọng khi tải xuống các tệp từ các nguồn không xác định, như đã nêu trong các cảnh báo bảo mật, được thiết kế để phát hiện và cảnh báo người dùng về các tệp có khả năng gây hại." Mặc dù nhà xuất bản tin rằng vấn đề được mô tả trong báo cáo không đạt đến mức đủ cao để đảm bảo phản hồi ngay lập tức, nhưng họ sẵn sàng xem xét vấn đề này. Microsoft sẽ giải quyết khả năng sửa lỗi trong "phiên bản tương lai" của Windows. Để biện minh cho sự từ chối ban đầu của mình, Microsoft đang ẩn sau các hướng dẫn phân loại mức độ nghiêm trọng của lỗ hổng bảo mật hiện tại của công ty.
Nguồn: Trend Micro
