Microsoft biết về khai thác Aurora 4 tháng trước các cuộc tấn công vào Google

MSknew of Aurora exploit four months before Google attacks

TrungQuốc rọi sáng vấn đề

Chinalight on the matter

By JohnLeyden • Getmore f-rom this author

Posted in EnterpriseSecurity, 22nd January 2010 16:46 GMT

Theo:http://www.theregister.co.uk/2010/01/22/aurora_exploit_known_months/

Bài được đưa lênInternet ngày: 22/01/2010

Lờingười dịch: Aurora, lỗi mà các tin tặc đã lợi dụngđể tấn công vào Google và khoảng 30 hãng khác của Mỹđã từng được một hãng an ninh của Israel thông báo từ4 tháng trước cho Microsoft. “Thông tin của BugSec nói rằnghãng đã báo lỗi này cho người khổng lồ về phần mềmvào ngày 26/08. Lỗi này đã ảnh hưởng tới IE 6, IE 7 vàIE 8 (bản mới nhất), nhưng các cuộc tấn công của tintặc chống lại Google và những hãng khác đã nhắm vàoIE 6, một trình duyệt lần đầu được tung ra vào năm2001. Những khai thác này đã lừa những người sử dụngđối với các trình duyệt bị tổn thương tới thăm cácwebsite đánh bẫy. Những site này đã tải về Trojan cửahậu Hydraq và các thành phần độc hại khác vào các máytính cá nhân bị lây nhiễm”.

Microsoft lần đầutiên biết về lỗi được sử dụng trong Chiến dịch bỉổi Aurora khai thác IE từ tháng 08, 4 tháng trước khi chỗbị tổn thương này đã được sử dụng trong các khaithác chống lại Google và các hãng công nghệ cao khác vàotháng 12, điều đã được nổi lên.

Người lùn về anninh Redmond cuối cùng đã đưa ra bản vá khai thác này hômthứ ba. Tư vấn của Microsoft đi kèm cập nhật tích lũycủa hãng cho IE được thừa nhận bởi Meron Sellem củahãng BugSec của Israel cho việc báo cáo chỗ Bị tổnthương làm Hỏng Bộ nhớ Đối tượng HTML (CVE-2010-0249),chỗ bị tổn thương ngày số 0 được sử dụng hiệnnay trong các cuộc tấn công bỉ ổi.

Thôngtin của BugSec nói rằng hãng đã báo lỗi này cho ngườikhổng lồ về phần mềm vào ngày 26/08. Lỗi này đã ảnhhưởng tới IE 6, IE 7 và IE 8 (bản mới nhất), nhưng cáccuộc tấn công của tin tặc chống lại Google và nhữnghãng khác đã nhắm vào IE 6, một trình duyệt lần đầuđược tung ra vào năm 2001. Những khai thác này đã lừanhững người sử dụng đối với các trình duyệt bịtổn thương tới thăm các website đánh bẫy. Những sitenày đã tải về Trojan cửa hậu Hydraq và các thành phầnđộc hại khác vào các máy tính cá nhân bị lây nhiễm.

ThreatPost, một dịchvụ thông tin của Kaspersky Labs, nói rằng một bản váchống lại lỗi này đã được dự kiến đưa ra vàotháng 2. Điều này đã được nêu trước đó để trảlời cho một dãy các thừa nhận ngạc nhiên của Googletuần trước, rằng lỗi này đã bị khai thác trong cáccuộc tấn công gián điệp không gian mạng hướng vàohãng và các hãng công nghệ khác.

Các nhà cung cấp phầnmềm thường mất nhiều tháng để phát triển các phầnsửa lỗi an ninh, một quá trình mà nó thường liên quantới rất nhiều công việc thử nghiệm. Một loại các sựkiện không may làm cho lỗi cụ thể này đã trở thànhmột trong những thứ bỉ ổi nhất trong năm. Ngay cả bâygiờ chúng ta biết được các chi tiết, thì sự hiệunghiệm trong tương lai của lỗi này còn lâu mới có thểthấy ngay được.

Một tìm kiếm nhanhtrong cơ sở dữ liệu của Secunia, thông qua công cụ váPSI của mình, hé lộ một vấn đề với một kiểm soátActiveX còn chưa được vá mà nó coi là tồi tệ, như mộtví dụ.

Thảo luận nhiều hơnvề việc liệu bản vá của Microsoft có là trễ muộn haykhông, và vai trò của tính có thể bị tổn thương trongcác cuộc tấn công của Chiến dịch Aurora (có lẽ là vậttrung gian duy nhất), có thể thấy trên một bài viết trênblog của Graham Cluley của Sophos ởđây.

Microsoftfirst knew of the bug used in the infamous Operation Aurora IEexploits as long ago as August, four months before the vulnerabilitywas used in exploits against Google and other hi-tech firms inDecember, it has emerged.

Redmond'ssecurity gnomes finally got around to patching the exploit onThursday. Microsoft's advisoryaccompanying its cumulative up-date for IE credited Meron Sellem ofIsraeli firm BugSec for reporting the HTML Object Memory CorruptionVulnerability (CVE-2010-0249), the zero-day vulnerability used in thenow infamous attacks.

BugSec'sbulletinstates that it reported the bug to the software giant on 26 August.The bug affected IE 6, IE 7 and IE 8 (the latest version), but thehack attacks against Google etal targeted IE 6, abrowser first released in 2001. Exploits involved tricking users ofvulnerable browsers into visiting booby-trapped websites. These sitesdownloaded the Hydraq backdoor Trojan and other malicious componentsonto compromised PCs.

ThreatPost,a Kaspersky Labs news service, reportsthat a patch against the flaw was lined up for release in February.It was published early in response to the row that followed Google'ssurprise admission last week, that the bug was being exploited incyber-espionage attacks targeting it and other hi-tech firms.

Softwarevendors in general often take months to develop security fixes, aprocess that often involves a great deal of testing work. Anunfortunate set of events meant that this particular bug became oneof the most infamous in years. Even now we know the details, thefuture potency of the bug is far f-rom immediately apparent.

Aquick search of Secunia's database, via its PSI patching tool,reveals a problemwith an unpatched ActiveX control that looks just as bad, forexample.

Morediscussion on whether Microsoft's patch was tardy or not, and therole of the vulnerability in the Operation Aurora attacks (it may nothave been the only vector), can be found in a blog entry by GrahamCluley of Sophos here.®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com