30/06/2017

Thiết bị chạy Linux bị hack chỉ bằng một phản hồi DNS độc hại

Một lỗ hổng nghiêm trọng vừa được phát hiện trong Systemd, hệ thống init và quản lý dịch vụ thông dụng cho hệ điều hành Linux, cho phép kẻ tấn công từ xa tạo ra lỗi tràn bộ đệm để thực thi mã độc trên thiết bị mục tiêu thông qua một phản hồi DNS.

Lỗ hổng CVE-2017-9445 nằm trong hàm 'dns_packet_new' của 'systemd-resolved,' một thành phần xử lý phản hồi DNS cung cấp phân giải tên mạng đến các ứng dụng local.
Một phản hồi DNS được tạo ra có thể tấn công chương trình 'systemd-resolved' từ xa khi hệ thống thử tìm kiếm một hostname trên một dịch vụ DNS do kẻ tấn công kiểm soát.
Thậm chí, phản hồi DNS quy mô lớn gây tràn bộ đệm, cho phép kẻ tấn công ghi đè lên bộ nhớ, dẫn đến thực thi code từ xa.
Điều này đồng nghĩa với việc những kẻ tấn công có thể cho chạy từ xa bất kỳ phần mềm độc hại nào trên hệ thống và server mục tiêu qua dịch vụ DNS của mình.
Lỗ hổng này xuất hiện từ phiên bản Systemd 223 trở lên, bao gồm cả phiên bản System 233 vừa ra mắt tháng 3 năm nay.
Lỗi này có trên Ubuntu các phiên bản 17.04 và 16.10; Debian versions Stretch (aka Debian 9), Buster (aka 10) và Sid (aka Unstable); và các bản phân phối Linux khác nhau sử dụng Systemd.
Các bản vá an ninh vừa được tung ra và quản trị hệ thống được khuyến cáo cần cài đặt và cập nhật Linux distro càng sớm càng tốt.


Dịch Whitehat - Theo THN

Tác giả của Petya đã trở lại và muốn giúp các nạn nhân

Sau 6 tháng im lặng, tác giả của Petya ransomware đã xuất hiện trên Twitter để giúp các nạn nhân mở các files đã bị mã hóa bằng một phiên bản mới của Petya - còn được gọi với tên NotPetya. (Link Twitter)



Thông báo trên của tác giả Petya gợi ý rằng anh ta có thể đang giữ chìa khóa để giải mã - nếu người dùng có một biến thể mới của Petya mang tên NotPetya.

Janus đang bán Petya như một RaaS (Ransomware as a Service) cho các hacker vào tháng 3/2016. Và giống như các ransomware khác, Petya được thiết kế để mã hóa máy tính của nạn nhân và sau đó trả lại chúng bằng cách đòi tiền chuộc.

Điều này có nghĩa bất cứ ai cũng có thể tạo ra một cuộc tấn công bằng ransomware với một cú click, và mã hóa máy tính của bất cứ ai có lỗ hổng để đòi tiền chuộc mở khóa. Khi nạn nhân trả tiền chuộc, Janus hưởng một phần trong đó. Tuy nhiên, từ tháng 12/2016, Janus đã không có động thái nào khác.

Một biến thể mới của Petya ransomware là NotPetya bị đổ lỗi là đã lây nhiễm và phá hoại trên toàn thế giới, nhưng sau đó câu chuyện của NotPetya trở nên thú vị. Ngày hôm qua, các nhà nghiên cứu đã phát hiện ra rằng NotPetya không phải là ransomware mà nó là một Wiper malware (it's a wiper malware that wipes systems outright, destroying all records from the targeted systems.)

Source code của Petya chưa bị rò rỉ, nhưng các nhà nghiên cứu đang cố gắng dịch ngược để tìm ra giải pháp.

Liệu động thái của Janus có giúp các nạn nhân? - Vẫn phải chờ!


Dịch ThaoPT - Theo THN

29/06/2017

Microsoft dùng AI để tạo ra thế hệ tiếp theo của phần mềm antivirus

Microsoft đang nỗ lực hết sức mình để làm cho hệ điều hành Windows an toàn hơn, tiên tiến hơn bao giờ hết bằng cách tăng cường các phương pháp bảo mật để chống lại tin tặc và các cuộc tấn công không gian mạng trong các phiên bản mới.

Với sự ra mắt của Windows 10 Creator Update (còn được biết đến với tên RedStone3), phiên bản này dự kiến sẽ phát hành vào tháng 9 hoặc 10 của năm 2017. Phiền bản này nằm trong kế hoạch phát hành nhiều tính năng bảo mật mới trong nỗ lực ngăn chặn cuộc khủng hoảng phần mềm độc hại trên toàn cầu.

Ngoài ra, Microsoft đã lên kế hoạch loại bỏ SMBv1 (Server message block version 1) - một giao thức chia sẻ tệp tin đã 30 năm tuổi. SMBv1 được phát hiện tồn tại lỗ hổng bảo mật được phát hiện sau sự cố WannaCry hồi tháng trước.

Hiện nay, Microsoft đang chuyển sang trí tuệ nhân tạo (AI) để tạo ra thế hệ tiếp theo của phần mềm antivirus.

Microsoft tiết lộ rằng Windows Defender Advanced Threat Protection (ATP) - một dịch vụ của Windows 10 enterprise nhận biết sớm những dấu hiệu lây nhiễm và sẽ sẽ mạnh mẽ hơn khi tích hợp thêm AI. (Tham khảo)

Trong bản cập nhật dành cho nhà phát triển Windows 10, Microsoft sẽ sử dụng một loạt các dữ liệu của Redmond's cloud services, bao gồm Azure, Endpoint và Office để tạo ra một chương trình diệt virus dựa vào AI.

Bên cạnh việc nâng cấp mới này, Windows Defender Advanced Threat Protection còn đưa thêm tính năng mới như browser-focused Application Guard và cloud-related Device Guard và Exploit Guard.


Dịch ThaoPT - Theo THN

28/06/2017

Các ngân hàng tại Hàn Quốc bị đe dọa tấn công DDoS quy mô lớn

Các ngan hàng của Hàn Quốc đang bị đe dọa bởi một cuộc tấn công DDoS khổng lồ - trừ khi họ phải trả 315.000$ qua Bitcoin. Nhóm hacker gây ra sự việc này tự xưng là Armada Collective.
Theo hãng tin Yonhap, các ngân hàng bị cho là nạn nhân của cuộc tấn công gồm có: B Kookmin Bank, Shinhan Bank, Woori Bank, KEB Hana Bank, and NH Bank.

Một nhà nghiên cứu có tên Choi-Sang-Myung thuộc nhóm an ninh mạng Hauri cho biết những cuộc tấn công gần đây có thể là kết quả của việc tống tiền thành công một nhà cung cấp dịch vụ web hosting là Nayana. Theo đó, ông cũng chia sẻ thêm là các ngân hàng đã chuẩn bị để đối phó với cuộc tấn công, nếu nó đến.

"Trước đây, một doanh nghiệp Hàn Quốc đã trả một số tiền lớn cho các hacker. Đầu tháng này, công ty lưu trữ web Nayana đã thanh toán khoảng 1 triệu USD để mở khóa hơn 3.400 trang web, đây vốn được cho là khoản thanh toán lớn nhất được thực hiện trong lĩnh vực tống tiền phần mềm cho đến thời điểm này ".


Dịch ThaoPT - Theo Internet

Petya – Mã độc nguy hiểm tương tự WannaCry đang phát tán toàn cầu

Trong khi mã độc WannaCry vẫn chưa bị loại bỏ hoàn toàn thì lại tiếp tục xuất hiện một đợt tấn công mã độc tống tiền mới xảy ra trên toàn cầu. Mã độc Petya tấn công vào máy tính của các doanh nghiệp, các tổ chức cung cấp năng lượng và ngân hàng tại Nga, Ukraine, Tây Ban Nha, Phát, Anh, Ấn Độ và Châu Âu với số tiền chuộc 300 đô la/ 1 máy tính.

Theo nhiều nguồn tin cho biết, biến thể mới của mã độc tống tiền Petya hay còn gọi là Petwrap đang nhanh chóng phát tán thông qua lỗ hổng Windows SMBv1 nhằm lây nhiễm hơn 300,000 hệ thống và máy chủ trên toàn thế giới chỉ trong 2 ngày. Rất nhiều nạn nhân thông báo rằng họ bị lây nhiễm trên hệ thống đã cài đặt bản cập nhật của Microsoft.

Petya là một loại mã độc nguy hiểm hoạt động rất khác các loại mã độc tống tiền khác. Petya không mã hóa từng tệp tin trên thiết bị, thay vào đó nó khởi động lại máy tính của nạn nhân và mã hóa phần tệp tin điều khiển của ổ đũa cứng, tạo ra tệp tin  MBR với số liệu sai lệnh nhằm ngăn người dùng truy cập vào hệ thống. Khi đó thiết bị của người dùng không thể khởi động và sẽ hiển thị thông điệp đòi tiền chuộc.
Người dùng bị lây nhiễm mã độc được khuyến cáo không trả tiên chuộc bởi email liên kết với tin tặc đã bị ngừng cung cấp. Nhà cung cấp dịch vụ email Posteo tại Đức đã khóa tài khoản email mà tin tặc sử dụng để liên hệ với nạn nhân sau khi nhận được tiền chuộc. Tại thời điểm hiện tại, có 23 nạn nhân đã trả tiền chuộc (bitcoin) đến địa chỉ ‘1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX’ với tổng giá trị lên tới 6,775 đô la. 
Theo VirusTotal, hiện tại chỉ có  16/61 dịch vụ diệt virus có thể thành công phát hiện mã độc Petya. Công ty bảo mật Symantec xác nhận rằng Petya sử dụng khai thác SMBv1 EternalBlue giống như WannaCry. Microsoft đã phát hành bản cập nhật cho tất cả các phiên bản Windows nhưng vẫn còn rất nhiều người dùng chưa cập nhật. Hàng loạt biến thể mã độc khác nhau đang khai thác lỗ hổng nhằm phát tán mã độc tống tiền và mã độc đào tiền ảo.

CÁCH BẢO VỆ BẢN THÂN TRƯỚC TẤN CÔNG RANSOMWARE

 - Cài đặt các bản cập nhật mới nhất của Microsoft.
 - Vô hiệu hóa giao thức SMBv1 theo hướng dẫn của Microsoft.
 - Vô hiệu hóa WMIC (Windows Management Instrumentation Command-line).

Do Petya mã hóa hệ thống sau khi khởi động lại, do đó nếu bạn bị lây nhiễm, hãy ngắt nguồn điền của thiết bị. Sử dụng đĩa cứu hộ hoặc một thiết bị khác để khôi phục dữ liệu.

Một nhà nghiên cứu đến từ công ty PT Security khuyến cáo người dụng tự tạo ra tệp tin có tên perfc (không có phần mở rộng) “C:\Windows\perfc” có thể giúp ngăn chặn mã độc Petya lây nhiễm trên thiết bị. Ngoài ra người dùng cần luôn đặt thái độ hoài nghi đối với tệp tin và tài liệu đực gửi thông qua email. Luông có thói quen lưu trữ những bản sao lưu dự phòng vào ổ đĩa bên ngoài không thường xuyên kết nối với máy tính.
Dịch Securitydaily - Theo THN

27/06/2017

Tấn công GhostHook “vượt mặt” cơ chế bảo vệ của Windows 10

Lỗ hổng mới được phát hiện trong Microsoft PatchGuard cho phép tin tặc thiết đặt rootkit trên thiết bị Windows 10 phiên bản mới nhất.

Các nhà nghiên cứu tại CyberArk Labs đã phát triển một kĩ thuật tấn công mới cho phép tin tặc vượt mặt hoàn toàn PatchGuard và đưa mã độc vào thành phần lõi (rootkit). PatchGuard hay Kernel Patch Protection là một công cụ phần mềm được thiết kế giúp bảo vệ thành phần lõi của Windows 64-bit.

Tấn công mới có tên GhostHook đòi hỏi tin tặc phải có mặt trực tiếp trên thiết bị. Kịch bản tấn công bao gồm việc khai thác, xâm nhập vào thiết bị sau đó triển khai GhostHook giúp mã độc tồn tại bí mật trong thiết bị. Các phần mềm diệt virus và sản phẩm bảo mật không thể phát hiện ra mã độc này.

Tấn công GhostHook lợi dụng một điểm yếm trong cài đặt của Microsoft liên quan đến tính năng mới của bộ vi xử lý Intel Processor Trace (PT). Intel PT cho phép nhà cung cấp dịch vụ theo dõi và lần theo các lệnh được thực thi trong CPU nhằm ngăn chặn tấn công khai thác, mã độc trước khi chúng tiếp cận hệ điều hành.

Microsoft không coi GhostHook là một mối đe dọa nghiệm trọng và sẽ không có bản cập nhật nào được phát hành. Trong phát biểu của mình Microsoft cho biết: “Kĩ thuật này đòi hỏi tin tặc toàn quyền xâm nhập vào thiết bị. Chúng tôi khuyến cáo khách hàng nên có thói quen tốt trong khi sử dụng máy tính trực tuyến bao gồm việc không nhấn vào đường dẫn độc hại, không mở tệp tin đáng ngờ hoặc đồng ý truyền tải tệp tin qua mạng.”
Dịch Securitydaiy - Theo THN

Lỗ hổng nghiêm trọng RCE trong OpenVPN

Một nhà nghiên cứu đã phát hiện 4 lỗ hổng bảo mật, bao gồm một lỗ hổng thực thi mã từ xa nghiêm trọng trong OpenVPN. 


OpenVPN là một trong những phần mềm mã nguồn mở được sử dụng phổ biến nhất dành cho kết nối ẩn danh và riêng tư trên Internet. Trong năm nay đã có 2 đợt kiểm tra bảo mật độc lập dành cho OpenVPN nhưng không hề phát hiện ra những lỗi nghiêm trọng. 3 lỗ hổng được tìm thấy trong server-side, 2 trong số đó có thể gây ra treo máy chủ. 1 lỗ hổng còn lại nằm trong client-side cho phép tin tặc đánh cắp mật khẩu truy cập vào proxy.

Lỗ hổng nghiêm trọng nhất có định danh CVE-2017-7521 nằm trong hàm xử lý chứng chỉ SSL. Lỗ hổng cho phép tin tặc thực hiện gửi một chứng chỉ giả mạo khiến dịch vụ OpenVPN bị treo.

Lỗ hổng thứ hai CVE-2017-7520 nằm trong OpenVPN kết nối tới Windows NTLM v2. Tin tặc đứng giữa OpenVPN và proxy server có thể bị treo hoặc rò rỉ dữ liệu bộ nhớ.

Hai lỗ hổng (CVE-2017-7508 và CVE-2017-7522) khiến máy chủ bị treo từ xa bằng cách gửi một gói tin IPv6 độc hại hoặc dữ liệu xác thực giả mạo.

CẬP NHẬT OPENVPN PHIÊN BẢN MỚI NHẤT

Tại thời điểm công bố chi tiết về các lỗ hổng, đội ngũ bảo mật của OpenVPN đã vá lỗ hổng trong phiên bản mới nhất. Người dùng được khuyến cáo cập nhật OpenVPN phiên bản 2.4.3 hoặc 2.3.17 càng sớm càng tốt.

Chi tiết kĩ thuật về lỗ hổng được đăng tải tại đây
Dịch: SecurityDaily - Theo THN 

25/06/2017

32TB mã nguồn của Windows 10 bị rò rỉ

Theo thông tin từ tờ báo Register, mã nguồn kernel của Windows 10 đã bị rò rỉ trên mạng. Tổng số dữ liệu bị rò rỉ là 32TB bao gồm các bản windows image và các phần mềm, tuy nhiên chỉ có 8TB dữ liệu được tải lên trang chia sẻ betaarchive.com.

Số dữ liệu bị rò rỉ này bao gồm các dữ liệu bí mật trong tháng 3 trở về trước, bao gồm các Windows 10 hardware driver, USB, Wifi và mã nguồn kernel.
Việc rò rỉ dữ liệu lần này thực sự rất nguy hiểm, bởi với mã nguồn mở, những kẻ xấu có thể lợi dụng và phát hiện ra các lỗ hổng bảo mật tấn công vào hệ thống Windows.
Thêm nữa, một vài phiên bản bí mật của Windows 10 và Windows Server 2016 cũng bị rò rỉ dữ liệu. Các phiên bản Windows này được sử bởi đội ngũ phát triển của Windows để tìm và phát hiện các lỗi trong Windows.
Trong thời gian này, các bạn nhớ cập nhật Windows và các phần mềm diệt virus để tránh gặp phải những rủi ro có thể xảy ra nhé!

Theo: WHVN

24/06/2017

[VOA] Phim tài liệu ‘Zero Days’ cảnh báo về các cuộc tấn công mạng

Một thứ tưởng đơn giản và vô hại như thế này đang trở thành một thách thức đối với tất cả chúng ta trong việc bảo vệ niềm tin và kiểm soát các hệ thống cơ sở hạ tầng thiết yếu của chúng ta.

Stuxnet là một vi-rút máy tính được cho là do Mỹ và Israel tạo ra cho mục tiêu phá hệ thống máy ly tâm hạt nhân của Iran. Điệp vụ này đã thành công, nhưng các tài liệu cho thấy vi-rút này cuối cùng đã bị phát hiện và rơi vào tay tin tặc. Bọn chúng đã cải tiến virút này và dùng nó chống lại cha đẻ của nó. Đạo diễn phim "Zero Days", Alex Gibney, nói với VOA rằng ông có được thông tin đó nhờ sự trợ giúp của những người trong cuộc ở Cơ quan An ninh Quốc gia (NSA).

Ông Alex Gibney, nhà làm phim, cho biết: "Chúng tôi đã tìm ra cách để họ nói ra mà danh tính không bị tiết lộ, và một khi chúng tôi tạo được cơ chế đó, họ cảm thấy thoải mái hơn để chia sẻ các thông tin cởi mở hơn. Tôi đã làm việc ở NSA, tôi tin tưởng cơ quan này cho nên những thông tin tôi có thể chia sẻ với bạn chỉ giới hạn. Chúng ta phải hiểu những vũ khí mới này. Nguy cơ rất cao. Chúng tôi đã làm ra Stuxnet. Đó là sự thật. Chúng ta đã tiến sát đến thảm hoạ và hiện vẫn đang trên bờ vực. "

Stuxnet đã phát triển thành một phần mềm độc hại mạnh đến nỗi có thể gây ra thiệt hại vật chất, chẳng hạn như cắt lưới điện của một thành phố lớn, theo ông Eric Chien, người đứng đầu công tác bảo mật an ninh mạng toàn cầu của Symantec.

Ông Eric Chien, Người đứng đầu về bảo mật, Symantec, nói: "Nó đã mở được kho rắc rối. Đó là thời điểm hiện nay. Giờ đây, chúng ta thấy có thể có nhiều nước đang tiến hành các cuộc tấn công mạng trên toàn thế giới, chúng ta thấy có âm mưu dàn dựng để một ngày nào đó, nếu cần, họ bật công tắc lên là có thể gây thêm nhiều thiệt hại."

Ông Gibney nói rằng chiến tranh mạng không có biên giới hay quy ước. Nó có thể tấn công bất cứ nơi nào, bất cứ ai, bất cứ lúc nào: "Mọi người đều phụ thuộc vào tàu hỏa, máy bay, vào lưới điện." Chúng ta đang sống trong thời hiện đại. Nên những gì chúng tôi nêu lên trong bộ phim này là những vũ khí này đe dọa cuộc sống hiện đại của chúng ta. "

Mặc dù không có sự tương quan rõ ràng giữa Stuxnet và phần mềm độc hại WannaCry mới đây, các chuyên gia như ông Eric Chien nói rằng các cuộc tấn công không gian mạng được thực hiện theo hình thức giống nhau: từ những nơi khó định vị và bởi các nhóm nặc danh, có thể là các quốc gia hoặc nhóm đánh thuê, được trả tiền để phá hoại và làm tê liệt các xã hội phụ thuộc vào máy tính.


Xem thêm:
Theo: VOA

Việt Nam chịu tấn công mạng qua IoT nhiều thứ hai thế giới

Tỷ lệ thiết bị IoT như camera an ninh, router... bị nhiễm mã độc, tấn công mạng ở Việt Nam chỉ đứng sau Trung Quốc.
Theo báo cáo từ Kaspersky Lab, Việt Nam nằm trong nhóm ba nước hàng đầu chịu ảnh hưởng về các cuộc tấn công nhắm vào những thiết bị Internet of Things (IoT) khi chiếm tỷ lệ tới 15% số lượng các cuộc tấn công trên quy mô toàn cầu, chỉ sau Trung Quốc (17%) nhưng cao hơn khá nhiều so với Nga (8%).

Các thiết bị thông minh kết nối mạng IoT như đồng hồ, TV, router, hay camera an ninh... ngày càng phổ biến khiến chúng đang trở thành mục tiêu hấp dẫn với tội phạm mạng. Số lượng thiết bị IoT đang sử dụng trên toàn cầu hiện nay được ước tính lên tới hơn 6 tỷ. 

Kaspersky cho biết, tổng số mẫu phần mềm độc hại nhắm đến các thiết bị thông minh được họ phát hiện đã lên tới hơn 7.000, trong đó hơn một nửa xuất hiện chỉ trong 2017. Hầu hết các cuộc tấn công nhắm vào máy ghi hình kỹ thuật số hoặc máy quay IP (63%), và 20% là vào các thiết bị mạng, gồm router, modem DSL ... Khoảng 1% mục tiêu là các thiết bị quen thuộc nhất của người dùng như máy in và thiết bị gia đình thông minh khác.

Sau khi xâm nhập thành công, tội phạm có thể theo dõi người dùng, tống tiền và thậm chí âm thầm biến thiết bị lây nhiễm trở thành các công cụ tấn công mạng (bonet) như Mirai và Hajim. 

Theo các chuyên gia bảo mật, để đảm bảo an toàn cho thiết bị thông minh kết nối mạng IoT khỏi những cuộc tấn công, người dùng nên hạn chế truy cập từ mạng bên ngoài nếu thấy không cần thiết hoặc tắt tất cả các dịch vụ mạng trong trường hợp không sử dụng đến thiết bị. Bên cạnh đó, trước khi sử dụng thiết bị mới, bắt buộc phải thay đổi mật khẩu mặc định và thiết lập mật khẩu khác. Thường xuyên cập nhật phần mềm của thiết bị lên phiên bản mới nhất cũng là một cách để phòng ngừa các cuộc tấn công.

Với một số thiết bị đặc biệt có mật khẩu, tài khoản tiêu chuẩn hoặc không thể thay đổi, huỷ kích hoạt thì nên vô hiệu hoá các dịch vụ mạng mà chúng sử dụng hoặc đóng truy cập vào mạng bên ngoài.

Theo: Vnexpress

23/06/2017

Phát hiện đường dây chiếm đoạt tài khoản Ngân hàng, Facebook, Gmail... cực lớn ở Việt Nam, bạn cũng có thể là nạn nhân

Lần theo dấu vết phạm tội
Mới đây, trong quá trình tăng cường bảo mật cho hệ thống của công ty, nhóm chuyên gia bảo mật đến từ phòng An toàn thông tin trực thuộc VCCorp đã tình cờ tìm ra và lần theo dấu vết của một đường dây chiếm đoạt thông tin quy mô lớn tại Việt Nam. Bằng cách lợi dụng trình duyệt web, nhóm hacker này đã có trong tay nhiều thông tin tài khoản thuộc hệ thống của nhiều tổ chức lớn.

Cụ thể, vào ngày 21/6, khi phát hiện dấu hiệu bất thường ở một tài khoản quản trị trên một website quen thuộc, nhóm chuyên gia bảo mật đã lập tức vào cuộc tìm hiểu nguyên nhân. Sau khi thực hiện nhiều biện pháp nghiệp vụ, họ đã xác định được: thông tin tài khoản đã bị lấy cắp từ máy tính cá nhân của nhân viên này, bởi một malware dưới dạng extension (phần mở rộng) trên trình duyệt Chrome.
Extension độc hại giả dạng Internet Download Manager đã tồn tại một thời gian khá dài trên Chrome Web Store. Lưu ý: tên tác giả của extension này đã được xác nhận là giả mạo, mục đích hiện đang được làm rõ.

Lượng thông tin bị đánh cắp nhiều chưa từng thấy
Điểm đáng chú ý, đây lại là một extension làm nhái lại của extension IDM - Internet Download Manager rất phổ biến tại Việt Nam, sử dụng được trên 2 trình duyệt hàng đầu Google Chrome và Cốc Cốc. Dù không lạ với hình thức lừa đảo này, nhưng sự tinh vi, chuyên nghiệp trong cách thức hành động cũng như việc nạn nhân lại là người Việt Nam, các chuyên gia đã tiếp tục lần theo những dấu vết rất nhỏ. Kết quả tìm được đã thực sự làm cả nhóm chuyên gia vô cùng bất ngờ - dù họ đã quen với thế giới an ninh mạng nhiều biến cố.
Hacker đã chiếm được lượng lớn tài khoản điện tử, trong đó có tài khoản Vietcombank

Theo thống kê sơ bộ, nhóm hacker này đã lấy cắp được thông tin đăng nhập (Username/Password) của khoảng 55.000 tài khoản Facebook, 6.000 tài khoản Google, 5.000 tài khoản Yahoo và đáng sợ nhất là hơn 5 triệu cookie các trang phổ biến như Facebook, Google Mail, Yahoo Mail, Hotmail hay cả PayPal. Với việc nhóm hacker sở hữu cả cookie, nếu bạn có cẩn thận dùng tính năng bảo mật 2 lớp cũng xin chia buồn, chúng vẫn có thể hoàn toàn chiếm quyền sử dụng của bạn.
Nhiều khách hàng BIDV cũng là nạn nhân của hacker.

Nhóm chuyên gia cũng lưu ý, dạng malware này đã tồn tại khá lâu nhưng không bị các phần mềm antivirus “bắt” được và ngăn chặn vì sự tinh quái trong phương thức lây nhiễm. Người dùng có thể “vô tình” nhiễm phải malware này qua 2 đường chính:

1. Lây nhiễm thông qua việc phát tán phần mềm lậu (crack):
Khi người dùng tải về phần mềm lậu từ trang mạng bất kỳ (do hacker tải lên), trong các file crack sẽ đính kèm một file thực thi nhiệm vụ theo trình tự sau: tắt trình duyệt (Chrome/Cốc Cốc) nếu đang chạy, tạo kết nối tới trang chứa extension và cuối cùng là tải extension về và cài đặt trong máy nạn nhân.
Bản log ghi lại việc file thực thi tự động tải về và cài đặt extension.

2. Sử dụng liên kết (link) gây tò mò:
Trước đây, bằng cách lách luật, hacker đã đăng tải được tới 11 phiên bản khác nhau của extension giả mạo này trên Chrome Web Store. Hacker sẽ lan truyền nhiều đường link gây tò mò, nạn nhân sau khi click vào sẽ nhận được mời cài đặt một “plugin” (để xem được nội dung, để dùng lướt web hơn,v.v…). Do extension tồn tại trên Chrome Web Store một cách hợp lệ, nên phần đông người dùng sẽ chấp nhận cài đặt.

Hacker làm thế nào để đăng tải được tới 11 phiên bản khác nhau của extension độc hại này và vượt qua nhiều công cụ bảo mật ra sao, do khuôn khổ của bài viết có hạn, chúng tôi sẽ cung cấp thông tin chi tiết cho bạn đọc vào bài sau. Trở lại với vụ việc, extension này sau khi được cài đặt sẽ lấy cắp thông tin đăng nhập của nạn nhân khi truy cập vào mọi trang web, cũng như thu lại toàn bộ cookie của người dùng gửi về server của hacker.

Vì vậy, khi đọc được bài viết này, bạn đọc hãy lập tức thực hiện các bước sau, đặc biệt là khi thấy mình có những hành vi giống với những gì được đề cập trong 2 cách lây nhiễm bên trên:

- Kiểm tra các extension trong trình duyệt máy tính, bạn có thể sử dụng các công cụ tương tự như trong bài viết này.
- Nếu có dấu hiệu khả nghi như sử dụng quyền không cần thiết ở extension nào, hãy thẳng tay xóa nó. Bạn có thể tham khảo ý nghĩa các quyền của extension tại địa chỉ này.
- Thay đổi toàn bộ mật khẩu ở mọi tài khoản điện tử của bạn.

Đồng thời với việc kiểm tra máy tính của mình, bạn đọc hãy tích cực chia sẻ thông tin này tới những người xung quanh, nhất là những người có ít hiểu biết về công nghệ. Đừng để những kẻ xấu chiếm đoạt thông tin của mọi người, hay lợi dụng chúng để phục vụ các mục đích nguy hiểm hơn.

Chúng tôi sẽ đưa thông tin chi tiết về cách thức các chuyên gia bảo mật lần tìm ra nhóm thủ phạm trong những bài tiếp theo. Mong bạn đọc chú ý theo dõi.


Theo: GenK

21/06/2017

Hacker có thể tấn công các doanh nghiệp tại Việt Nam qua máy in

Không chỉ là chiếc smartphone hay máy tính, ngay chiếc máy in tại công ty của các doanh nghiệp Việt Nam hiện cũng là đối tượng có thể bị hacker tấn công để xâm nhập vào hệ thống mạng của doanh nghiệp, tổ chức để đánh cắp dữ liệu…

Theo thông tin được ông Junaid UR Rehman đến từ hãng máy tính HP trao đổi tại hội thảo Security World 2017 vừa diễn ra tại Hà Nội, trong kỷ nguyên IoT (Internet kết nối vạn vật) như hiện nay, không chỉ là chiếc smartphone hay máy tính, mà ngay cả những chiếc máy in cũng là đối tượng có thể bị hacker tấn công để xâm nhập vào hệ thống mạng của doanh nghiệp, tổ chức để đánh cắp dữ liệu, thực hiện các ý đồ xấu…(Theo ICT News)

Máy in ngày nay được các hãng phát triển có tất cả các link kiện của một chiếc máy tính như hệ điều hành, bộ nhớ, ram, kết nối mạng,.....Để giúp mọi người hiểu hơn về cảnh báo này, mình sẽ tiến hành demo kiểm soát một chiếc máy in dễ dàng như thế nào.

B1: Search với từ khóa "laserjet" từ hay dùng sau các hãng máy in nổi tiếng như HP, canon,.... và lọc tại Việt Nam

B2: Tìm được 2 kết quả và truy cập vào thẳng trang cấu hình không cần qua một bước xác thực nào
Đây là thiết bị máy in của HPLaserJet MFP M426fdn


Thiết bị máy in HP Color LaserJet MFP M277dw


Chuyển qua những tab khác ta có thể cấu hình cho thiết bị như định dạng trang, chất lượng in, chọn khay để nhận giấy


Có thể chọn in bao nhiêu bản, cỡ giấy, kiểu in,....
Điều thú vị ở đây là thiết bị này kết nối internet nên cũng có thể in được thông qua Internet khi biết được email của máy in do người quản trị cấu hình

Danh sách email có thể dễ dàng chỉnh sửa theo ý của hacker, máy in sau khi nhận được mail của những người này lập tức thực hiện lệnh in.

Ngoài ra còn có thể xem được các thông tin được cấu hình trong mạng của công ty thông qua thiết bị máy in như IP, DNS Server,email nội bộ, ....
Demo in với máy in HP sau khi biết được email của máy.



Theo: WH - Internet

20/06/2017

Một công ty Web hosting đã phải trả 1 triệu USD để lấy lại dữ liệu vì nhiễm Ransomware

Một nhà cung cấp dịch vụ lưu trữ web của Hàn Quốc đã phải thanh toán 1 triệu USD (qua bitcoins) cho các hacker sau khi 153 máy chủ Linux bị nhiễm ransomware, trong đó có 3400 website của cá doanh nghiệp và các dữ liệu lưu trữ trên đó bị mã hóa.

Theo bài viết trên blog của NAYANA - công ty lưu trữ web hosting thì sự cố không mong muốn này xảy ra vào ngày 10/06/2017. Khi đó, cách hacker đòi khoản tiền là 550 Bitcoins (hơn 1,6 triệu USD) để mở khóa dữ liệu đã bị mã hóa.

Tuy nhiên, công ty sau đó đã thương lượng với hacker và đồng ý trả 397.6 Bitcoins (khoảng 1,01 triệu USD) trong 3 đợt để lấy lại dữ liệu. Công ty đã thanh toán 2 đợt tình từ thời điểm bài viết được đăng và sẽ trả phần tiền chuộc cuối cùng sau khi khôi phục dữ liệu từ hai phần ba máy chủ bị lây nhiễm.

Theo Trend Micro ransomware được sử dụng trong cuộc tấn công là Erebus. Nó đã được phát hiện vào tháng 9 năm ngoái và tháng 2 năm nay đã bắt đầu phát hiện khả năng kiểm soát tài khoản người dùng Windows.

Kể từ khi các hosting server chạy trên Linux kernel 2.6.24.2, các nhà nhiên cứu tin rằng các ransomware Erebus Linux có thể đã sử dụng các lỗ hổng đã từng được biết đến như Dirty Cow hoặc một lỗi hổng khác để chiếm quyền root của hệ thống. 

Máy chủ của NAYANA chạy Apache với user à Nobody (Uid=99), điều này có thể dẫn tới việc local exploit. Ngoài ra phiên bản Apache và PHP đang chạy lần lượt là 1.3.36 và 5.1.4 - cả hai điều đã phát hành từ 2006.

Erebus chủ yếu nhắm tới người dùng tại Hàn Quốc, mã hóa tài liệu văn phòng, cơ sở dữ liệu... sử dụng thuật toán RSA-2048 và phần mở rộng là .ecrypt trước khi hiển thị đòi tiền chuộc.

Theo Trend Micro thì việc giải mã là không thể nếu không có RSA keys. Vì vậy, cách duy nhất để đối phó với ransomeware là phòng ngừa chúng như:
   - Tạo ra nhận thức cho các nhân viên về mối nguy hiểm và cách phòng ngừa.
   - Luôn đảm bảo rằng dịch vụ của bạn phải được update phiên bản mới và các bản vá lỗi thường xuyên từ nhà cung cấp.
   - Luôn phải có phiên bản backup của dữ liệu.


Dịch: ThaoPT - theo THN



18/06/2017

Rất nhiều lỗ hổng Dos/RCE tồn tại trong hầu hết kernel của Linux

Gần đây, 4 lỗ hổng từ chối dịch vụ tồn tại trong kernel của Linux đã được công bố, bao gồm: CVE-2017-8890, CVE-2017-9075, CVE-2017-9076, CVE-2017-9077. Nguy hiểm nhất đó là lỗ hổng với vulnerability identify CVE-2017-8890. Lỗ hổng này cho phép kẻ tấn công có thể thực hiện remote code tới hệ thống Linux.

1. Chi tiết các lỗ hổng này như sau:
2. Các phiên bản kernel bị ảnh hưởng:
Gần như tất cả các phiên bản kernel 2.5.69 – 4.11.

3. Cách vá lỗi
a. Cập nhật lên phiên bản kernel mới nhất
 - Linux 4.12-rc1 (Informal)
 - Linux 4.12-rc2 (Informal)
 - Linux 4.12-rc3 (Informal Edition)
 - Linux 4.12-rc4 (Informal Edition)
 - Linux 4.12-rc5 (Informal Edition)

2. Chỉnh sửa và biên dịch kernel theo hướng dẫn cho từng lỗ hổng
CVE-2017-8890: http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=657831ffc38e30092a2d5f03d385d710eb88b09a
CVE-2017-9075: http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=fdcee2cbb8438702ea1b328fb6e0ac5e9a40c7f8
CVE-2017-9076: http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=83eaddab4378db256d00d295bda6ca997cd13a52
CVE-2017-9077: http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=83eaddab4378db256d00d295bda6ca997cd13a52

c. Vô hiệu hóa mutilcast trong Switch ở Layer 3

Theo: Whitehat.vn

16/06/2017

US CERT cảnh báo về "DeltaCharlie" - Một DDoS botnet malware của Bắc Triều Tiên


Chính phủ Hoa Kỳ đã đưa ra một cảnh báo hiếm hoi về một hoạt động hacking kéo dài tám năm liên tục cả Bắc Triều Tiên.

Theo báo cáo từ Cục An ninh nội địa Hoa Kỳ (FBI) và Bộ An ninh nội địa Hoa Kỳ (DHS) đã cung cấp chi tiết về "DeltaCharlie", một biến thể của phần mềm độc hại được sử dụng bởi nhóm hacker "Hidden Cobra" để lây nhiễm hàng trăm nghìn máy tính trên toàn cầu như một phần của mạng botnet.

Theo báo cáo, Hidden Cobra là nhóm hacker được cho là được bảo vệ bởi chính phủ Bắc Triều Tiên và cũng được biết là nguồn gốc tấn công không gian mạng của các tổ chức toàn cầu như: các hãng truyền thông, hàng không, tài chính, và các cơ sở hạ tầng quan trọng.

Các lỗ hổng yêu thích của Hidden Cobra
Hoạt động từ 2009, Hidden Cobra thường nhắm vào các hệ thống đang chạy các phiên bản OS cũ, không được hỗ trợ và thường khai thác lỗ hổng trọng Adobe Flash Player để mở cửa thâm nhập máy tính nạn nhân.
Một số lỗi hổng mà Hidden Cobra thường dùng:
 - Hangul Word Processor bug (CVE-2015-6585)
 - Microsoft Silverlight flaw (CVE-2015-8651)
 - Adobe Flash Player 18.0.0.324 and 19.x vulnerability (CVE-2016-0034)
 - Adobe Flash Player 21.0.0.197 Vulnerability (CVE-2016-1019)
 - Adobe Flash Player 21.0.0.226 Vulnerability (CVE-2016-4117)


Dịch: ThaoPT - Theo: THN

Wikileaks tiết lộ ‘Cherry Blossom’ – Hệ thống tấn công mạng WiFi của CIA

WikiLeaks tiếp tục đăng tải những tài liệu mới nhất xung quanh vụ rò rỉ dữ liệu Vault 7 của Cục tình báo trung ương Hoa Kỳ (CIA). Đây được cho là công cụ giúp CIA giám sát hoạt động mạng của người dùng bằng cách khai thác lỗ hổng trong thiết bị Wi-Fi.

Công cụ tấn công có tên “Cherry Blossom,” được thiết kế bởi CIA với sự giúp đỡ của viện nghiên cứu Standford. Cherry Blossom thực chất là một bộ cấy firmware từ xa lên thiết bị mạng không dây bao gồm bộ định tuyến và điểm truy cập không dây (Access Point). Một thiết bị đã chứa firmware độc hại có thể được dùng để theo dõi hoạt động sử dụng Internet và phát tán thêm các phần mềm độc hại khác.
Theo Wikileaks, CIA sử dụng công cụ này nhằm chiếm mạng không dây rồi thực hiện thêm tấn công man-in-the-middle để theo dõi và sửa đổi lưu lượng Internet kết nối tới người dùng. Sau khi kiểm soát thiết bị, phần mã độc sẽ điều hướng đến máy chủ điều khiển của CIA có tên “CherryTree” và thực hiện các hành vi sau:

 - Theo dõi lưu lượng mạng nhằm thu thập địa chỉ email, tên đăng nhập, địa chỉ MAC và số điện thoại gọi qua IP (VoIP).
 - Điều hướng người dùng đến các website độc hại.
 - Đưa nội dung độc hại vào luồng dữ liệu và xâm nhập hệ thống kết nối với thiết bị.
 - Thiết đặt kênh VPN truy cập vào mạng nội bộ nhằm khai thác nhiều hơn.
 - Sao chép toàn bộ lưu lượng mạng trên thiết bị người dùng.

Cherry Blossom có thể khai thác lỗ hổng trong hàng trăm thiết bị Wi-Fi từ nhiều nhà sản xuất khác nhau bao gồm:
- Belkin
- D-Link
- Linksys
- Aironet/Cisco
- Apple AirPort Express
- Allied Telesyn
- Ambit
- AMIT Inc
- Accton
- 3Com
- Asustek Co
- Breezecom
- Cameo
- Epigram
- Gemtek
- Global Sun
- Hsing Tech
- Orinoco
- PLANET Technology
- RPT Int
- Senao
- US Robotics
- Z-Com.
Dịch: SecurityDaily - Theo: THN

15/06/2017

Hơn 800 ứng dụng trên Google Play chứa mã độc quảng cáo Xavier

Hơn 800 ứng dụng Android (có hàng triệu lượt tải về từ Google Play) vừa bị phát hiện chứa mã độc quảng cáo. Mã độc này âm thầm thu thập dữ liệu nhạy cảm của người dùng và có thể thực hiện các hành vi nguy hiểm.
Mã độc quảng cáo Xavier xuất hiện lần đầu vào tháng 9/2016, thuộc dòng mã độc AdDown, tiềm ẩn nguy cơ nghiêm trọng với hàng triệu người dùng Android.
Do 90% ứng dụng Android được tải về miễn phí nên việc quảng cáo trên ứng dụng là nguồn thu chủ yếu đối với những người phát triển ứng dụng. Để thực hiện điều này, họ tích hợp SDK Ads Library vào ứng dụng mà không gây ảnh hưởng gì tới chức năng cốt lõi của ứng dụng.
Theo các chuyên gia Trend Micro, Ads Library được cài đặt sẵn trên một loạt các ứng dụng Android, bao gồm ứng dụng chỉnh sửa ảnh, hình nền, nhạc chuông, tối ưu hóa Ram...

Các tính năng của Xavier
Phiên bản trước của Xavier là một mã độc quảng cáo đơn giản với khả năng lén cài các APK khác lên thiết bị đích. Tuy nhiên, trong phiên bản mới nhất, tác giả mã độc đã thay thế những tính năng này bằng các tính năng tinh vi hơn, gồm:
     - Tránh bị phát hiện: Xavier trốn tránh cơ chế phân tích số liệu và phân tích mã độc động bằng cách kiểm tra xem nó có đang chạy trong môi trường được kiểm soát (Emulator) hay không và sử dụng các mã hóa dữ liệu và kết nối.
     - Thực thi mã từ xa: mã độc được thiết kế để tải các đoạn mã từ máy chủ C&C, cho phép thực thi từ xa bất kỳ mã độc nào trên thiết bị nạn nhân.
     - Lấy cắp thông tin: Xavier có thể lấy cắp thông tin liên quan tới thiết bị và người dùng, bao gồm địa chỉ email, ID, model thiết bị, phiên bản hệ điều hành, quốc gia, nhà sản xuất, hãng sim, độ phân giải và các ứng dụng được cài đặt.
Theo các chuyên gia, khu vực có số lượng người dùng nhiễm mã độc cao nhất là các nước Đông Nam Á như Việt Nam, Philippines và Indonesia. Khu vực châu Mỹ và châu Âu có số lượt tải ứng dụng nhiễm mã độc thấp hơn.
75 ứng dụng Android nhiễm mã độc đã được Google gỡ khỏi Google Play. Nếu người dùng đã cài đặt bất kỳ ứng dụng nào trong số này trên thiết bị của mình thì nên gỡ bỏ ngay lập tức.

Tự bảo vệ
Cách đơn giản nhất để tránh lây nhiễm mã độc như Xavier là hãy luôn cẩn trọng khi tải các ứng dụng kể cả từ nguồn chính thống. Nên chọn các ứng dụng từ các nhà phát triển đáng tin cậy, tham khảo các bài đánh giá của người dùng khác về ứng dụng đó. Người dùng nên xác minh quyền ứng dụng trước khi cài đặt và chỉ cấp các quyền có liên quan đến mục đích của ứng dụng.
Cuối cùng, người dùng nên cài phần mềm diệt virus thường trực cho thiết bị của mình, thường xuyên cập nhật bản mới cho thiết bị và cho phần mềm bảo vệ đó.
Theo: THN

13/06/2017

Cảnh báo sự phát triển của mã độc tống tiền nguồn mở

Ransomware (mã độc tống tiền) nguồn mở, với các biến thể dựa trên Hidden Tear và TeslaCrypt, đang tiếp tục tăng nhanh khi nó cho phép mọi người tạo và phát tán mã độc để đòi tiền chuộc dễ dàng hơn.

Tràn lan biến thể Hidden Tear
Hãng bảo mật Trend Micro cho biết, các biến thể ransomware dựa trên nguồn mở Hidden Tear không quá khác biệt so với bản gốc, tuy nhiên tác giả đã cải tiến mã trong nó để thực hiện các mục đích riêng.

Ví dụ, ransomware May (được phát hiện bởi Trend Micro có tên đầy đủ RANSOM_HIDDENTEARMAY.A) là một biến thể của Hidden Tear sử dụng mã hóa AES256 và RSA4096. Việc mã hóa thực sự dựa trên mã nguồn Hidden Tear nhưng cách khóa lại khác.

Đầu tiên, nó chọn tập tin ngẫu nhiên trong C:\Program Files\Internet Explorer, sau đó đọc và xáo trộn 128 byte đầu tiên của tập tin sau đó sử dụng các byte đã xáo trộn làm mật khẩu mã hóa AES. Để giữ hệ thống nạn nhân vẫn chạy và yêu cầu tiền chuộc dễ dàng hơn, May có thể tránh mã hóa tập tin trong các thư mục chứa các chuỗi sau: Program Files, Windows, Program Data.


Còn ransomware Mooware (có tên đầy đủ RANSOM_HIDDEMEARMOWARE) là biến thể Hidden Tear khác biệt so với mã nguồn gốc. Nó có một thuật toán mã hóa khác so với Hidden Tear, sử dụng mã hóa XOR thay vì AES. Ransomware mã hóa các tập tin trong thư mục Desktop, Personal, MyMusic, MyPictures và Cookies. Nó cũng kiểm tra kết nối internet và vô hiệu hóa các công cụ Registry, Task Manager hay CMD.
Các biến thể ransomware nguồn mở Hidden Tear đang xuất hiện nhiều hơn​

Một biến thể ransomware Hidden Tear khác mang tên Franzi (tên đầy đủ RANSOM_HIDDENTEARFRANZI.A) quét phần mềm gỡ lỗi của Microsoft. Cụ thể, nó kiểm tra Crypto Obfuscator, OLLYDBG, IsDebuggerPresent và CheckRemoteDebuggerPresent. Nếu phát hiện ra một trong số này, nó sẽ không tiếp tục với hành vi của nó.

Ransomware mới tập trung vào đồ họa và thanh toán theo gói
TeslaCrypt - ransomware đã kết thúc hoạt động vào tháng 5.2016 nhưng Trend Micro phát hiện nó được mở mã nguồn để tạo ra nhiều biến thể khác nhau, với giao diện và cách thức đòi tiền chuộc phức tạp hơn.

Đầu tiên là Widia (tên gọi RANSOM_WIDIALOCKER.A), một ransomware màn hình khóa đang được phát triển, có thể có nguồn gốc từ Romania. Một tính năng của Widia là yêu cầu người sử dụng thanh toán tiền chuộc qua thẻ tín dụng thay vì thanh toán Bitcoin điển hình. Đáng nói là, mặc dù thẻ tín dụng giúp mọi người dễ dàng thanh toán tiền chuộc nhưng nó cũng khiến kẻ đòi tiền chuộc dễ bị truy lùng hơn so với Bitcoin.
TeslaCrypt đã kết thúc nhưng tàn dư của nó vẫn đang đe dọa người dùng​

Trong khi đó, BlueHowl (tên gọi đầy đủ RANSOM_BLUEHOWL) là một trình khóa màn hình mới chứa nội dung độc hại đe dọa nạn nhân. Để thanh toán, các nạn nhân sẽ phải chọn phương thức thanh toán qua Bitcoin thông thường hoặc mã QR.

Trend Micro cảnh báo các tác giả ransomware đang tìm kiếm những cách mới để kiếm tiền từ nạn nhân bằng cách tạo ra giao diện tốt hơn, hoặc cung cấp các lựa chọn thanh toán được sử dụng rộng rãi. Khi ransomware tiếp tục lan rộng và phát triển, người dùng phải luôn cảnh giác và đặt an toàn lên hàng đầu.
Theo: ThanhNiên

11/06/2017

Microsoft tuyên bố Windows 10 S sẽ miễn nhiễm mọi phần mềm tống tiền

Microsoft tuyên bố "không một phần mềm tống tiền nào có thể hoạt động được" trên Windows 10 S - hệ điều hành mới với các tính năng bảo mật được tăng cường vừa được hãng giới thiệu vào tháng 5/2017.

Theo ZDNet, gã khổng lồ phần mềm này tự tin tuyên bố như vậy khi công bố những bản thảo chi tiết về những tính năng bảo mật thế hệ mới trong Windows 10 Creators Update nhằm chống lại các phần mềm tống tiền (ransomware). Hãng cũng công bố số liệu về những lần phần mềm tống tiền bị phát hiện trên các máy tính chạy Windows trên toàn cầu.


Theo đó, trong năm 2016, các phần mềm tống tiền bị phát hiện trên các máy tính chạy Windows có sự suy giảm từ sau đỉnh điểm hồi tháng 8 năm ngoái, sau đó bắt đầu hoạt động mạnh trở lại vào tháng 2/2017 và tăng gấp đôi trong tháng 4/2017.

Hãng chưa công bố số liệu vào tháng 5, khi virus WannaCry hoành hành trên hàng trăm ngàn máy tính Windows 7 và Windows 2008 Server. Tuy nhiên, hãng khẳng định chưa có khách hàng nào dùng Windows 10 bị dính con virus khủng khiếp này.

Chưa biết được đến khi nào thì những tin tặc sẽ tìm ra cách hóa giải trình bảo mật trên Windows 10 S, hay bắt đầu quan tâm đến hệ điều hành mới này, bởi rõ ràng Windows 7 hiện nay vẫn là hệ điều hành dễ bị hack và được sử dụng rộng rãi hơn. Hơn nữa, hiện nay vẫn chưa có máy tính nào chạy Windows 10 S được xuất xưởng; chiếc laptop Windows 10 S Surface thì đã có thể cho đặt trước, nhưng chưa có hãng sản xuất phần cứng bên thứ 3 nào chính thức thông báo cả.

Hệ điều hành Windows 10 S rõ ràng là sẽ bảo mật hơn nhiều so với Windows 10 thông thường, bởi nó có cơ chế bảo mật tương tự iPhone khi chỉ cho phép các phần mềm được cài đặt từ Store và chạy trong chế độ Sandboxed.

Nhiều chuyên gia khen ngợi điều này, nhưng rõ ràng Windows 10 S lại chỉ nhắm vào một số thị trường cụ thể. Windows 10 S - không như Windows RT - chạy trên phần cứng tương tự Windows 10 thông thường, và có thể nâng cấp lên Windows 10 Pro. Hệ điều hành này sẽ giúp loại bỏ nguy cơ từ các phần mềm Win32 cổ điển, và mang lại cơ chế cập nhật thống nhất đối với toàn bộ các ứng dụng mà nó cho phép chạy. Nó còn được tích hợp nhiều tính năng bảo mật cấp độ cao của Windows 10 Pro nhằm phục vụ cho các công ty IT quản lý hệ thống của họ.

Tài liệu mà Microsoft cũng cấp nêu ở đầu bài viết cũng cho thấy tình trạng các phần mềm tự ý tải xuống nhằm lây nhiễm hệ thống máy tính gây ra bởi ransomware. Email vẫn là một phương thức phổ biến nhất, bên cạnh các phương thức mới được sử dụng bởi WannaCry và một số họ ransomware khác, như Spora...

Microsoft chia hệ thống bảo mật của Windows 10 thành 3 mục chính, bao gồm bảo vệ hệ thống, chống xâm nhập và trục xuất xâm nhập trái phép.

Bảo vệ hệ thống bao gồm các tính năng như quét URL của Office 365, ngăn chặn download của trình duyệt Edge...

Chống xâm nhập bao gồm Windows Defender, Device Guard, Antimalware Scan Interface; trong đó bộ công cụ chống xâm nhập cấp cao gồm bộ máy phân tích hành vi Windows Defender AV, Windows Defender ATP, nhằm giúp các chuyên gia bảo mật hệ thống xác định, ngăn chặn và cách ly malware trước khi nó xâm nhập và lây nhiễm hệ thống.


Tính năng bảo mật nâng cao trên Windows 10 chính là trọng tâm trong nỗ lực của Microsoft nhằm kêu gọi các công ty, tập đoàn và người dùng toàn cầu nâng cấp Windows 7 vốn đã cũ kỹ. Đợt bùng phát WannaCry vừa qua lại vô tình trở thành một ví dụ hoàn hảo cho chiến lược này của hãng, đồng thời cũng cho thấy những gì mà hệ thống bảo mật của WIndows 10 có thể làm được.
Theo TM - VNRV

[Cảnh báo!] Các hacker đã bắt đầu sử dụng SambaCry để tấn công các hệ thống chạy Linux


Gần đây lỗ hổng thực thi đoạn mã từ xa (CVE-2017-7497) mới được phát hiện ảnh hưởng đến tất cả các phiên bản mới kể từ Samba 3.5.0 phát hành vào 1/3/2010.


Các nhà nghiên cứu dự đoán rằng các cuộc tấn công dựa trên SambaCry cũng có nguy cơ lây lan giống như WannyCry. Dự đoán này được đưa ra khá chính xác vì Honeypots do nhóm các nhà nghiên cứu của Kaspersky Lab thiết lập đã thấy được một chiến dịch malware đang khai thác lỗ hổng của SambaCry để lây nhiễm các máy tính Linux.


Samba đã chính thức công bố lỗ hổng của họ vào hôm thứ Tư rằng: “Tất cả các phiên bản Samba từ 3.5.0 trở về sau đều có lỗ hổng thực thi đoạn mã từ xa, cho phép các máy client nhiễm độc tải nội dung lên thư mục dùng chung và khiến máy chủ tải rồi thực thi tập tin”.

Samba là một phần mềm open-source (được phát triển từ giao thức SMB) chạy trên các hệ điều hành phổ biến như Windows, Linux, Unix, IBM System 390 và OpenVMS.

Samba cho phép các hệ điều hành không phải Windows như GNU/Linux hay macOS chia sẻ thư mục, tập tin và máy in với hệ điều hành Windows thông qua giao thức SMB.

Liệu có phải đây là phiên bản của lỗ hổng EternalBlue trên Linux?

Vì Samba là giao thức SMB sử dụng trên hệ thống Linux và Unix nên một vài chuyên gia cho rằng đây chính là lỗ hổng EternalBlue trên Linux, được WannaCry khai thác. Liệu ta có nên gọi đây là SambaCry?

Theo Shodan có hơn 485.000 máy tính cài đặt Samba sử dụng cổng 445 trên Internet. Theo các nhà nghiên cứu tại Rapid 7, hơn 104.000 endpoint trên Internet chạy các phiên bản Samba có lỗ hổng, trong số đó 92.000 endpoint chạy các phiên bản Samba không được hỗ trợ.

Số lượng hệ thống có lỗ hổng là rất nhiều và việc khai thác lỗ hổng cũng rất dễ dàng, Samba hoàn toàn có thể tạo nên một cuộc tấn công quy mô lớn. Ngay cả Home-Network cũng có thể bị khai thác nếu dùng thiết bị lưu trữ NAS gắn vào mạng.

Khai thác đoạn mã (sử dụng công cụ Metasploit)

Lỗ hổng Samba đã được đưa lên Metasploit (một framework dùng để kiểm tra, sử dụng các đoạn mã khai thác lỗ hổng), cho phép các nhà nghiên cứu cũng như hacker dễ dàng khai thác lỗ hổng.

Lỗ hổng này được khai thác qua cách Samba chia sẻ tập tin. Kẻ tấn công sử dụng đoạn module Samba ngẫu nhiên để tải lên thư mục chung và khi máy chủ người dùng tải về, nó sẽ thực thi đoạn mã nhiễm độc. Việc khai thác lỗ hổng rất đơn giản, chỉ cần một đoạn mã để thực thi đoạn mã độc trên máy đã bị nhiễm.
simple.create_pipe(“/path/to/target.so”) 
Bản vá

Samba đã vá cho các phiên bản mới 4.6.4, 4..5.10 và 4.4.14. Người dùng các phiên bản vẫn còn lỗ hổng Samba được khuyến khích nhanh chóng cài đặt bản vá. Nếu không thể cập nhật ngay lên những bản mới nhất của Samba, bạn có thể tránh lỗ hổng này bằng cách thêm dòng sau vào tập tin smb.conf của Samba.

nt pipe support = no

Sau khi thêm vào, bạn chỉ cần khởi động lại SMB daemon (smbd) là xong. Thao tác này sẽ ngăn không cho máy client xâm nhập vào mạng cũng như vô hiệu hóa một số chức năng để kết nối với Windows.

Dù các nhà phát hành các bản Linux, bao gồm Red Hat và Ubuntu đã đưa ra bản vá cho người dùng, mối nguy vẫn đến từ các thiết bị NAS khi chúng chưa thể cập nhật nhanh được.

Craig Williams của hãng Cisco nói rằng: hầu hết các thiết bị NAS chạy Samba và chứa những dữ liệu quan trọng, lỗ hổng này có “nguy cơ trở thành sâu ransomware quy mô lớn đầu tiên trên Linux“.


Netgear cũng đưa ra lời khuyên bảo mật liên quan tới CVE-2017-7494, rằng rất nhiều router và sản phẩm NAS đã bị ảnh hưởng bởi sử dụng phiên bản Samba 3.5.0 trở lên. Tuy vậy, công ty cũng mới phát hành hướng dẫn cập nhật cho các sản phẩm ReadyNAS chạy OS 6.x.
Theo: Internet