Lỗ hổng CVE-2018-0950 cho phép kẻ xấu đánh cắp thông tin nhạy cảm, bao gồm cả thông tin đăng nhập Windows của người dùng, chỉ bằng cách lừa họ mở/xem một thư điện tử trong Microsoft Outlook (mà không cần thực hiện bất cứ một thao tác nào khác). Khi Outlook hiển thị nội dung OLD nằm ở xa của một bức thư định dạng Rich Text Format (RTF), ứng dụng sẽ tự động khởi tạo kết nối SMB. Kẻ xấu có thể lợi dụng điều đó bằng cách gửi một bức thư với định dạng RTF, trong đó chứa một hình ảnh (đối tượng OLE) nằm ở máy chủ SMB do chúng kiểm soát. Vì Microsoft Outlook tự động hiển thị nội dung OLE, nó sẽ tự động khởi tạo bước xác thực với máy chủ (do kẻ xấu kiểm soát) bằng giao thức SMB, với hình thức đăng nhập một lần (SSO) – tức là gửi tên người dùng và giá trị băm NTLMv2 của mật khẩu.
Nếu mật khẩu không đủ phức tạp, kẻ xấu có thể dò được mật khẩu từ giá trị băm trong một thời gian ngắn. Hình ảnh dưới đây mô tả cách Windows tự động gửi thông tin đăng nhập của người dùng tới máy chủ của kẻ xấu.
Dormann đã báo cáo về lỗ hổng này cho Microsoft vào tháng 11/2016 và đến tháng 4/2018, Microsoft mới đưa ra bản vá. Tuy nhiên, bản vá chỉ chặn Outlook tự động thiết lập kết nối SMB khi xem trước thư có định dạng RTF email. Nếu người dùng vẫn nhấn vào liên kết dạng UNC trong thư (có dạng \\), thì kết nối SMB vẫn được khởi tạo. Điều đó có nghĩa là bản vá của Microsoft không bảo vệ người dùng 100% (tin tặc vẫn có thể lợi dụng).
Vì thế, người dùng Windows, đặc biệt là những người quản trị hệ thống, được khuyến cáo thực hiện các công việc sau để ngăn chặn việc lợi dụng lỗ hổng:
Nguyễn Anh Tuấn
Theo The Hacker News
09:00 | 23/05/2018
13:00 | 28/06/2018
07:00 | 24/05/2021
08:00 | 20/08/2018
10:00 | 11/09/2018
10:00 | 04/07/2019
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024
