Các cuộc tấn công có chủ đích lên các doanh nghiệp vẫn tiếp tục

Targetedattacks on businesses continue

19 January 2010, 12:42

Theo:http://www.h-online.com/security/news/item/Targeted-attacks-on-businesses-continue-907696.html

Bài được đưa lênInternet ngày: 19/01/2010

Lờingười dịch: Sau khi bọn tin tặc sử dụng lỗi củaInternet Explorer (IE) để tấn công Google, tiếp sau việcVăn phòng Liên bang Đức về An ninh Thông tin (BSI), bây giờtới Pháp (CERTA) và Úc (CERT) cũng cảnh báo chống lạiviệc sử dụng trình duyệt của Microsoft và khuyến cáosử dụng các sản phẩm thay thế khác. Một khai thác đốivới chỗ bị tổn thương này bây giờ đang lưu thông mộtcách mở. Chỗ bị tổn thương này khai thác một lỗitrong thư viện của trình xem HTML mshtml.dll của Microsoft mànó xảy ra khi xử lý các đối tượng sự kiện đặcbiệt của JavaScript. Trong khi lỗi của Adobe Reader đã đượcsửa, thì lỗi của IE vẫn chưa có bản vá nào sẵn sàng.Không biết người sử dụng Việt Nam có được cảnh báovề việc không nên sử dụng IE trong lúc này hay không???

Chỗ bị tổn thươngcủa Internet Explorer được sử dụng cho các cuộc tấncông vào Google có thể là câu chuyện của thành phố nàyngay bây giờ, nhưng sự nguy hiểm còn hiện ra lù lù từnhững hướng khác, ở dạng của các tệp PDF một cáchđặc biệt. Dù Adobe đã tung ra một cập nhật cho bảnReader tự do vào tuần trước, thì bọn tội phạm và giánđiệp đang tiếp tục lợi dụng thực tế là không phảitất cả những người sử dụng và các công ty đều đãcài đặt các bản cập nhật đó.

F-Secuređang báo cáo một cuộc tấn công vào một công ty Mỹ mànó thực hiện các hợp đồng cho Bộ Quốc phòng. Nhữngkẻ tấn công tuần trước, được tin tưởng là từ ĐàiLoan, đã gửi cho công ty này một tài liệu nhìn có vẻdễ lầm lẫn là đích thực mà nó khai thác một chỗ bịtổn thương đã được biết (doc.meia.newPlayer) trong AdobeReader để cài đặt một cửa hậu lên một máy tính cánhân Windows. Bản cập nhật từAdobe sửa chính xác chỗ bị tổn thương này.

Tuynhiên, vẫn không có bản cập nhật nào sẵn sàng cho chỗbị tổn thương trong Internet Explorer. Sau việc tư vấn từVăn phòng Liên bang Đức về An ninh Thông tin (BSI), Pháp(CERTA) và Úc (CERT) bây giờ cũng cảnh báo chống lạiviệc sử dụng trình duyệt của Microsoft và khuyến cáosử dụng các sản phẩm thay thế khác. Một khai thác đốivới chỗ bị tổn thương này bây giờ đang lưu thông mộtcách mở. Chỗ bị tổn thương này khai thác một lỗitrong thư viện của trình xem HTML mshtml.dll của Microsoft mànó xảy ra khi xử lý các đối tượng sự kiện đặcbiệt của JavaScript.

Ví dụ, một số côngty Đức đã phản ứng bằng cách cấm các nhân viên lướtweb bằng Internet Explorer. Dù Microsoft đã đưa ra cách khắcphục, như là việc cho phép ngăn ngừa thừa hành các dữliệu (DEP) và vô hiệu hóa các scripting tích cực, thìngười sử dụng trung bình hình như có những vấn đềsau các bước được yêu cầu này - giả thiết là họcòn nhận thức được về vấn đề này. Vẫn còn chưacó bất kỳ báo cáo nào của các website sẵn sàng nóichung khai thác chỗ bị tổn thương này.

TheInternet Explorer vulnerability used for the attacks on Google may bethe talk of the town right now, but danger also looms f-rom otherdirections, in the form of specially crafted PDF files. AlthoughAdobe released an up-date for its free Reader last week, criminals andspies are continuing to take advantage of the fact that not all usersand companies have installed the up-dates.

F-Secureisreporting an attack on a US company which performs contracts forthe US Department of Defence. Last week attackers, believed to bef-rom Taiwan, sent the company a deceptively genuine-looking documentwhich exploits a known vulnerability (doc.media.newPlayer) in AdobeReader to install a back door on a Windows PC. The up-date f-rom Adobefixes precisely this vulnerability.

However,there is still no up-date available for the vulnerability in InternetExplorer. Following the advice f-rom the German Federal Office forInformation Security (BSI), the French (CERTA) and Australian CERTsare also now warningagainst using the Microsoft browser and recommend the use ofal-ternative products. An exploit for the vulnerability is now openlycirculating. The vulnerability exploits a bug in Microsoft'smshtml.dllHTML Viewer library which occurs when processing specific JavaScriptevent objects.

SomeGerman companies, for example, have already reacted by banning stafff-rom surfing with Internet Explorer. Although Microsoft has publishedworkarounds, such as enabling data execution prevention (DEP) anddisabling active scripting, the average user is likely to haveproblems following the steps required – assuming they are evenaware of the problem. There have not yet been any reports ofgenerally available websites exploiting the vulnerability.

Trong khi chờ đợithì Google đang điều tra liệu các nhân viên từ hoạtđộng ở Trung Quốc của hãng liệu có liên quan hay khôngtrong các cuộc tấn công này. Hãng này được báo cáo sẽphân tích các mạng tại chi nhánh Trung Quốc của hãng đểtheo dõi trojan cửa hậu được sử dụng trong các cuộctấn công. McAfee đã đưa ra phân tích đầu tiến về cáccuộc tấn công của Aurora, đã gán tên cho phần mềm độchại có liên quan là Exploit-Comele và Roarur.dr và đã đưara các chữ ký cho những mẩu phần mềm độc hại này.Các nhà cung cấp phần mềm chống virus khác (chỉ địnhcác tên của riêng họ cho phần mềm độc hại này) cũngđã đưa ra các chữ ký cho việc dò tìm khai thác này.

Googleis meanwhile investigatingwhether staff f-rom its Chinese operation may have been involved inthe attacks. The company is reported to be analysing the networks atits Chinese subsidiary for traces of the back door trojan used in theattacks. McAfee, which published the first analysis of the Auroraattacks, has dubbedthe malware involved Exploit-Comele and Roarur.dr and releasedsignatures for these pieces of malware. Other anti-virus vendors(assigning their own names to the malware) have also releasedsignatures for detecting this exploit.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com