Mũ đen: Các khai thác tài liệu tiếp tục gia tăng

BlackHat: Document Exploits Continue to Evolve

August3, 2011, By SeanMichael Kerner

Theo:http://www.datamation.com/security/black-hat-document-exploits-continue-to-evolve.html

Bàiđược đưa lên Internet ngày: 03/08/2011

Lờingười dịch: Cách đâykhông lâu, trên blog này đã từng đưa tin về chiếndịch Con chuột cống với kiểu Đedọa Thường Trực Cao cấp APT, trong đó có nạn nhân ViệtNam. Bài viết này nói lên sự dễ dàng khai thác các lỗhổng trong Word và Excel để tấn công theo dạng APT đó.“Nếubạn đã cài đặt tất cả các bản vá của MicrosoftOffice và không có các chỗ bị tổn thương ngày số 0,thì liệu có an toàn để mở một tài liệu Word hoặcExcel hay không?... Câu trả lời là KHÔNG”. Bằng cáchnày, “một kẻ tấn công có thể tạo ra một cuộc tấncông có khả năng ăn cắp các cookies, các mật khẩu hoặccác thông tin khác của người sử dụng”. Có lẽ vớiViệt Nam, cách đơn giản nhất là loại bỏ các chuẩn.doc, .xls và .ppt ra khỏi danh mục tiêu chuẩn kỹ thuậtvề ứng dụng CNTT trong các cơ quan nhà nước như đượcđi kèm theo thông tư số 01/2011/TT-BTTTTngày 04/01/2011 thì sẽ triệt để hơn nhiều để: (1) giảiquyết vấn nạn này; (2) giải quyết luôn được vấn đề"2 chuẩn cùng tồn tại cùng một lúc có nghĩa làkhông có chuẩn nào cả" và (3) phù hợp với đườnglối triển khai nguồn mở của chính phủ.

LasVegas. Từng có thời khi mà các tài liệu Microsoft Office dễdàng có thể bị các tin tặc khai thác, và những ngày đócó thể đang quay lại.

Theomột cặp các nhà nghiên cứu trình diễn tại hội nghịMũ Đen hôm nay, Microsoft Office vẫn còn là thứ rủi ro,bất chấp nhiều biện pháp an ninh được Microsoft vànhững hãng khác thực hiện. Các nhà nghiên cứu Đài LoanSung-ting Tsai (người cũng có tên là TT) và Ming-chieh Pan đãtrình diễn nhiều kỹ thuật một cách sống động trướckhán thính phòng Mũ Đen để chứng minh lý thuyết rằnghọ có thể khai thác các tài liệu và sử dụng chúng nhưnhững nền tảng phổ biến các phần mềm độc hại.

TTđã lưu ý rằng gắn kèm tài liệu thường được sửdụng trong các cuộc tấn công kiểu Đe dọa Thường trựcCao cấp APT (Advanced Persistent Thread) khi sự khai thác đượctùy biến.

“Nếubạn đã cài đặt tất cả các bản vá của MicrosoftOffice và không có các chỗ bị tổn thương ngày số 0,thì liệu có an toàn để mở một tài liệu Word hoặcExcel hay không?” TT đã hỏi khán thính phòng. “Câu trảlời là KHÔNG”.

Lýdo vì sao câu trả lời là không là vì các kỹ thuật tấncông tài liệu hỗn hợp. TT đã giải thích rằng trongkhai thác tài liệu hỗn hợp thì một tệp Flash đượcnhúng vào trong tài liệu Execl hoặc Word.

TTđã giải thích rằng chương trình Ngăn chặn Chạy Dữliệu DEP (Data Execution Prevention) của Microsoft có thể bịvô hiệu hóa một cách tiềm tàng thông qua một tệp Flashđộc hại. Ông đã lưu ý rằng DEP và Ngẫu nhiên Trìnhbày Không gian Địa chỉ ASLR (Address Space LayoutRandomization) trong Microsoft Windows làm cho những người viếtra cuộc tấn công sự đau đầu.

TTcũng đã lưu ý rằng Microsoft đã tung ra Bộ công cụ Kinhnghiệm Giảm nhẹ Cao cấp EMET (Enhanced Mitigation ExperienceToolkit) cũng làm cho khó khăn hơn để khai thác các tệpOffice. Nhưng điều đó không có nghĩa là chúng không thểlàm gì xung quanh những bảo vệ này được.

LASVEGAS. There was a time when Microsoft Office documents were easilyexploitable by attackers, and those days may be on the way back.

Accordingto a pair of researcher presenting at the Black Hat conference today,Microsoft Office is still at risk, despite multiple security measuretaken by Microsoft and others. Taiwanese researchers Sung-ting Tsai(who also goes by the name TT) and Ming-chieh Pan demoed multipletechniques to a live Black Hat audience as proof of concept that theycould exploit documents and use them as delivery platforms formalware.

TTnoted that document attachment are often used in Advanced PersistentThreat (APT) attacks since the exploit can be customized.

"Ifyou have installed all Microsoft Office patches and there are no 0day vulnerabilities, will it be safe to open a Word or Exceldoucment?" TT asked the audience. " The answer is no."

Thereason why the answer is no is because of hybrid document attacktechniques. TT explained that in the hybrid document exploit a Flashfile is embedded in Excel or Word document.

TTexplained that Microsoft's DEP (Data Execution Prevention) canpotentially be disabled via a malicious Flash file. That said, henoted that DEP and ASLR (Address Space Layout Randomization) inMicrosoft Windows does give attack writers a headache.

TTalso noted that Microsoft has released EMET(Enhanced Mitigation Experience Toolkit) which also makes itharder to exploit Office files. But that doesn't mean they stillcan't get around those protections.

TTđã giải thích rằng với các kỹ thuật trinh thám caocấp, những nhà nghiên cứu đang thấy những chỗ bị tổnthương mới có thể được thúc đẩy trong các cuộc tấncông hỗn hợp chống lại các tệp Office.

Adobegần đây cũng đã tăng cường Flash với các khả nănghộp cát (sandboxing) để hạn chế khả năng của các tiếntrình giả mạo tiềm tàng. TT đã giải thích rằng vớihộp cát Flash thì ý tưởng cơ bản là nếu bạn có thểtruy cập được vào mạng thì bạn cũng không thể truycập được các tệp cục bộ. Và nếu bạn có được sựtruy cập cục bộ thì đối tượng Flash sẽ được hạnchế cho sự truy cập mạng đó.

Cómột cách để vượt qua được hộp cát Flash mà TT đãtrình bày. Ông đã giải thích rằng có khả năng sử dụngmột liên kết mms:// mà sẽ kích hoạt Windows để mở IE,tới lượt nó sẽ làm cho Windows Media Player mở. Sử dụngsự khắc phục đơn giản đó, TT nói rằng một kẻ tấncông có thể tạo ra một cuộc tấn công có khả năng ăncắp các cookies, các mật khẩu hoặc các thông tin kháccủa người sử dụng.

Nhưmột sự báo trước, ông đã chỉ ra rằng cuộc tấn cônglàm việc được một cách dễ dàng trong IE7. Với IE8 vàIE9, những người sử dụng có một hộp đối thoại đầutiên sẽ hỏi sự truy cập. TT bổ sung rằng ông có thểtạo ra một hộp đối thoại giả để đánh lừa nhữngngười sử dụng nháy OK.

Vềviệc làm dịu bới các cuộc tấn công tài liệu dạngAPT, TT nói rằng chữ ký dựa vào chống virus không làmviệc. Ông gợi ý rằng IPS (các hệ thống chống thâmnhập trái phép) có thể giúp giảm nhẹ rủi ro.

TTsau đó đã tiến hành trình diễn cách một số hệ thốngIPS có thể đánh tắng được các cuộc tấn công tàiliệu hỗn hợp.

“Chúngtôi tin tưởng những kẻ tấn công đang làm việc cậtlực về các chủ đề này”, TT nói. “Chúng ta muốn cácnhà cung cấp an ninh sẽ làm việc về các giải pháp đểđưa ra đối phó được với những kẻ tấn công”.

TTexplained that with advanced fuzzing techniques, researchers arefinding new Flash vulnerabilities that can then be leveraged inhybrid attacks agains Office files.

Adobehas also recently strengthened Flash with sandboxing capabilities tolimit the ability of potential rogue processes. TT explained thatwith Flash sandboxing the basic idea is that if you can access thenetwork then you cannot access local files. And if you have localaccess then the Flash object will be restricted for network access.

Thereis a way to get around the Flash sandboxing that TT demonstrated. Heexplained that it is possible to use an mms:// link that will triggerWindows to open IE, which in turn will cause Windows Media Player toopen. Using that simple workaround, TT said that an attacker couldcre-ate an attack that might be able to steal user's cookies,passwords or other information.

Asa caveat, he showed that the attack worked easily in IE 7. With IE 8and 9, users get a dialogue box that first asked for access. TT addedthat he could likely cre-ate a false dialogue box to trick users toclick okay.

Interms of mitigating against APT document attacks, TT said thatsignature based anti-virus doesn't work. He suggest that IPS(intrusion prevention systems) could help to mitigate risk.

TTthen proceed to demonstrate how some IPS systems could be defeated inorder to enable the hybrid document attacks.

"Webelieve attackers are working hard on these topics," TT said."We wish security vendors will work on solutions to come outahead of the attackers."

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com