Những kẻ tấn công tích cực khai thác lỗi Windows sử dụng các đầu USB để gây lây nhiễm cho các PC

Attackers actively exploit Windows bug that uses USB sticks to infect PCs

Trong sự khai thác hoang dại làm gợi nhớ lại những điều được sử dụng để mở xích cho sâu Stuxnet.

In-the-wild exploit is reminiscent of those used to unleash Stuxnet worm.

by Dan Goodin - Aug 12, 2015 12:00pm WIB

Theo: http://arstechnica.com/security/2015/08/attackers-actively-exploit-windows-bug-that-uses-usb-sticks-to-infect-pcs/

Bài được đưa lên Internet ngày: 12/08/2015

Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014;

Những kẻ tấn công đang tích cực khai thác chỗ bị tổn thương trong tất cả các phiên bản Windows được hỗ trợ mà cho phép chúng thực thị mã độc khi các đích thiết lập USB đặt bẫy trong các máy tính của họ, Microsoft đã cảnh báo hôm thứ Ba trong một bản tin định kỳ thường xuyên vá lỗi đó.

Trong bản tin ngày thứ Ba, các quan chức Microsoft đã viết:

Một chỗ bị tổn thương khi leo tháng quyền ưu tiên khi thành phần Mount Manager xử lý không đúng các liên kết biểu tượng. Một kẻ tấn công khai thác thành công chỗ bị tổn thương này có thể viết một tệp nhị phân độc hại vào đĩa và thực thi nó.

Để khai thác chỗ bị tổn thương đó, một kẻ tấn công có thể chèn một thiết bị USB độc hại vào một hệ thống đích. Bản cập nhật an toàn giải quyết chỗ bị tổn thương này bằng việc loại bỏ mã bị tổn thương khỏi thành phần đó.

Microsoft đã nhận được thông tin về chỗ bị tổn thương này qua sự mở ra chỗ bị tổn thương được phối hợp. Khi bản tin an toàn này đã được đưa ra, Microsoft có lý do để tin tưởng rằng chỗ bị tổn thương này đã được sử dụng trong các cuộc tấn công có chủ đích chống lại các khách hàng.

Chỗ bị tổn thương làm gợi nhớ lại về một lỗi sống còn bị nhóm tin tặc có liên quan tới NSA và có tên là Equation Group khai thác khoảng năm 2008 và sau này những kẻ tạo ra sâu máy tính Stuxnet mà đã phá hỏng chương trình hạt nhân của Iran, khai thác. Chỗ bị tổn thương đó nằm trong các hàm xử lý các tệp .LNK mà Windows sử dụng để hiển thị các biểu tượng khi một đầu USB được cắm vào - đã cho phép những kẻ tấn công thả ra một sâu máy tính mạnh lan truyền từ máy tính này sang máy tính khác mỗi lần chúng tương tác với ổ đĩa độc hại.

Khi Microsoft và chỗ bị tổn thương .LNK vào năm 2010 với MS10-046, các quan chức của hãng đã phân loại chỗ bị tổn thương đó như là “sống còn”, xếp hạng nghiêm trọng cao nhất của hãng. Sự phân loại dường như phù hợp, cân nhắc tới sự thành công các khai thác .LNK trong số lượng lớn các máy tính bị ảnh hưởng. Vì các lý do còn chưa rõ, chỗ bị tổn thương của ngày thứ Ba đã được xếp hạng là “quan trọng”, xếp hạng nghiêm trọng cao thứ 2 của Microsoft.

Cập nhật: Như nhà nghiên cứu Martijn Grooten của Virus Bulletin đã chỉ ra, chỗ bị tổn thương .LNK đã bị khai thác từ ở xa, cho phép nó lây nhiễm hàng triệu người. Ngược lại, lỗ được vá ngày thứ Ba dường như yêu cầu một đầu USB, một yêu cầu mà có thể hạn chế nhiều tới mức độ của cuộc tấn công. Đó có khả năng là lý do cho việc xếp hạng nghiêm trọng thấp hơn đó.

Bổ sung thêm vào việc sửa lỗi, Microsoft cũng đang phát hành phần mềm cho phép các máy tính được vá ghi lưu ký để khai thác lỗi đó. Điều đó sẽ làm dễ dàng hơn cho mọi người biết liệu họ có phải là đích của những kẻ tấn công hay không.

Một cách riêng rẽ, một từ cảnh báo: cài đặt các gói ngôn ngữ của Windows sẽ đòi hỏi bản vá ngày thứ Ba được cài đặt lại. Một cách tương ứng, trước khi chạy bản cập nhật, những người sử dụng nên chắc chắn họ cài đặt bất kỳ gói ngồn ngữ nào họ nghĩ họ cần trong tương lai.

Sự sửa lỗi cho chỗ bị tổn thương USB từng là một trong số 14 bản tin các bản vá mà Microsoft đã xuất bản hôm thứ ba như là một phần của vòng cập nhật hàng tháng của hãng. Microsoft thường nhận diện theo tên người hoặc nhóm báo cáo các chỗ bị tổn thương được sửa. Tuy nhiên, trong trường hợp này, hãng đã không làm tỉ mỉ ngoài việc nói thông báo đi “qua sự mở ra chỗ bị tổn thương được phối hợp”.

Attackers are actively exploiting a vulnerability in all supported versions of Windows that allows them to execute malicious code when targets mount a booby-trapped USB on their computers, Microsoft warned Tuesday in a regularly scheduled bulletin that patches the flaw.

In Tuesday's bulletin, Microsoft officials wrote:

An elevation of privilege vulnerability exists when the Mount Manager component improperly processes symbolic links. An attacker who successfully exploited this vulnerability could write a malicious binary to disk and execute it.

To exploit the vulnerability, an attacker would have insert a malicious USB device into a target system. The security update addresses this vulnerability by removing the vulnerable code from the component.

Microsoft received information about this vulnerability through coordinated vulnerability disclosure. When this security bulletin was issued, Microsoft has reason to believe that this vulnerability has been used in targeted attacks against customers.

The vulnerability is reminiscent of a critical flaw exploited around 2008 by an NSA-tied hacking group dubbed Equation Group and later by the creators of the Stuxnet computer worm that disrupted Iran's nuclear program. The vulnerability—which resided in functions that process so-called .LNK files Windows uses to display icons when a USB stick is plugged in—allowed the attackers to unleash a powerful computer worm that spread from computer to computer each time they interacted with a malicious drive.

When Microsoft patched the .LNK vulnerability in 2010 with MS10-046, company officials classified the vulnerability as "critical," the company's highest severity rating. The classification seemed appropriate, considering the success of the .LNK exploits in infecting large numbers of air-gapped computers. For reasons that aren't clear, Tuesday's vulnerability has been rated "important," Microsoft's second-highest severity rating.

Update: As Virus Bulletin researcher Martijn Grooten pointed out, the .LNK vulnerability was remotely exploitable, allowing it to infect millions of people. By contrast, the bug patched Tuesday appears to require a USB stick, a requirement that would greatly limit the scale of attacks. That's the likely reason for the lower severity rating.

In addition to fixing the bug, Microsoft is also releasing software that allows patched computers to log attempts to exploit the bug. That will make it easier for people to know if they were targeted by attackers.

Separately, a word of caution: the installation of Windows language packs will require Tuesday's patch to be reinstalled. Accordingly, before running the update, users should make sure they install any language packs they expect to need in the future.

The fix for the USB vulnerability was one of 14 patch bulletins Microsoft published on Tuesday as part of its monthly update cycle. Microsoft typically identifies by name the person or group reporting the vulnerabilities that get fixed. In this case, however, the company didn't elaborate beyond saying notification came "through coordinated vulnerability disclosure."

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com