Olle Segerdahl - cố vấn an ninh chính của F-Secure và cộng sự Pasi Saarinen đã phát triển một loại tấn công có thể vượt qua cơ chế hạn chế lỗi BIOS, bằng việc khai thác một số điểm yếu trong cách bảo vệ phần mềm cho phần cứng máy tính (firmware) của một số hãng như Apple, Dell, Lenovo và các dòng máy tính được sản xuất trong 10 năm trở lại đây.
Lỗ hổng xảy ra khi một máy tính được khởi động lại hoặc tắt đi không đúng tiến trình. Khi đó, các thông tin quan trọng vẫn còn nằm trong bộ nhớ RAM sau khi thiết bị tắt. Phương pháp tấn công này cũng vượt qua một số cơ chế hạn chế tấn công khởi động nguội hiện có trên máy tính.
Các chuyên gia đã tìm ra cách vô hiệu hóa tính năng ghi đè thông qua việc xử lý phần cứng của máy tính. Bằng một công cụ đơn giản, các chuyên gia có thể viết lại chip bộ nhớ điện tĩnh (bộ nhớ bất biến - non-volatile memory) có chứa các cài đặt, vô hiệu hóa ghi đè bộ nhớ và cho phép khởi động từ thiết bị bên ngoài. Phương thức tấn công khởi động nguội được thực hiện bằng cách khởi động một chương trình đặc biệt qua USB.
Segerdahl cho rằng, chế độ nghỉ của máy tính là chế độ dễ bị tấn công, vì tin tặc với quyền tiếp cận trực tiếp với thiết bị có thể cài đặt lại phần mềm cho phần cứng máy tính một cách đơn giản. Các chuyên gia đã thực hiện cuộc tấn công bằng cách sử dụng một chiếc USB được chế tạo đặc biệt để kết xuất thông tin từ bộ nhớ pre-boot, từ đó có thể lấy được mật khẩu máy tính và truy cập được vào thiết bị.
Kiểu tấn công này không đơn giản để thực hiện và yêu cầu quyền tiếp cận vật lý mới có thể làm được. Tuy nhiên, các nhà nghiên cứu khuyến cáo rằng, vì kỹ thuật tấn công này được tin tặc biết đến và có thể thực hiện trên hầu hết các loại máy tính hiện đại, nên các công ty cần đề phòng và chú ý.
Để ngăn chặn mối đe dọa này, các nhà nghiên cứu khuyến cáo, các công ty nên sử dụng mã PIN để truy cập vào phần khôi phục, khởi động, tắt, nghỉ, ngủ đông máy tính, giữ an toàn về mặt vật lý cho máy tính, báo cáo các thiết bị mất tích và có kế hoạch ứng phó khẩn cấp để xử lý các thiết bị mất tích đó.
Theo Segerdahl, thông thường, các tổ chức không chuẩn bị trước để bảo vệ mình khỏi những kẻ tấn công có quyền sử dụng trực tiếp máy tính của công ty. Khi gặp phải sự cố bảo mật trong các thiết bị từ những nhà cung cấp máy tính lớn, như lỗ hổng mà các chuyên gia đã tìm được để khai thác, người dùng cần hiểu rằng rất nhiều công ty còn tồn tại liên kết yếu trong bộ phận an ninh mà họ không phát hiện được và chuẩn bị để khắc phục.
Các nhà nghiên cứu đã chia sẻ nghiên cứu của họ với Microsoft, Intel, Apple và cả ba công ty này đều đang tìm kiếm các chiến lược để khắc phục lỗ hổng.
Toàn Thắng
Theo SC
11:00 | 17/09/2018
16:00 | 10/09/2018
14:00 | 29/10/2020
08:00 | 19/09/2018
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024