Rò rỉ lỗ hổng Zero-Day Flash Player thứ 2 trong dữ liệu của Hacking Team

08:07 | 16/07/2015 | LỖ HỔNG ATTT

Đây là lần thứ 2 trong vòng một tuần hãng Adobe phải nỗ lực vá lỗ hổng Zero-Day trong phần mềm Flash Player của họ.Trong khi đó, lỗ hổng thứ nhất CVE-2015-5119 vẫn đang bị tin tặc sử dụng trong các cuộc tấn công diện rộng.

Lỗ hổng Zero-Day nghiêm trọng trong Adobe Flash lần này, cũng bị rò rỉ từ dữ liệu của Hacking Team, được định danh CVE-2015-5122 có thể khiến máy tính bị crash và cho phép kẻ tấn công chiếm quyền điều khiển của hệ thống.

Hãng bảo mật FireEye đã phát hiện ra một mã khai thác proof-of-concept (PoC) thành công với lỗ hổng này và gửi cảnh báo đến hãng Adobe. Mã khai thác của lỗ hổng CVE-2015-5122 được viết tương tự với PoC CVE-2015-5119 trước đó. Các PoC này sử dụng những cấu trúc tương tự để khai thác lỗ hổng Use-After-Free trong DisplayObject.

Lỗ hổng này được kích hoạt bằng cách giải phóng một đối tượng TextLine bên trong hàm valueOf của một lớp tùy chỉnh khi thiết lập opaqueBackground của TextLine. Khi các đối tượng TextLine được giải phóng, một đối tượng Vectorphân bổ đượcthay thế vị tríđó. Dữ liệu trả về từvalueOf sẽ ghi đè lên trường độ dài của đối tượng Vector với giá trị 106(trong khi chiều dài ban đầu là 98).

Tiếp tục khai thác bằng cách tìm kiếm các đối tượng Vector bị lỗi dựa trên chiều dài của của Vector đó (lớn hơn 100). Điều này cho phép làm thay đổi chiều dài của đối tượng Vector liền kề đến 0x40000000. Đến đây, kẻ tấn công sẽ thực hiện khai thác theo cơ chế tương tự như PoC CVE-2015-5119.

Bước 1. Tìm địa chỉ của VitualProtect bằng cách dò quét tệp tin Kernel32.dll trong bộ nhớ và xác định vị trí ExportTable.

Bước 2. Tạo một bản sao VFTable của lớp nội bộ và thay thế con trỏ chức năng ảo bằng địa chỉ VirtualProtect.

Bước 3. Gọi VirtualProtect để đánh dấu lớp Payload thành READ_WRITE_EXCUTE.

Bước 4. Gọi lớp Payload để thực thi shellcode.

Rò rỉ lỗ hổng Zero-Day Flash Player thứ 2 trong dữ liệu của Hacking Team

PoC shellcode làm hiện ra giao diện máy tính (calc.exe) trên Windows

Lỗ hổng này có thể đã được Hacking Team cung cấp cho khách hàng của họ để triển khai các hệ thống điều khiển từ xa, phát triển phần mềm gián điệp hay giám sát máy tính người dùng.

Đến nay, vẫn chưa thể khẳng định hai lỗ hổng Flash Player này được phát triển bởi đối tượng nào. Thông tin rò rỉ từ email của Hacking Team cho thấy có khả năng những lỗ hổng này đã được mua bởi bên thứ 3 nhưng cũng có khả năng được khai thác bằng đội ngũ nhân viên của họ.

Lỗ hổng CVE-2015-5122 ảnh hưởng đến các phiên bản mới nhất của Flash Player trên Windows, Mac và Linux, bao gồm:

- Adobe Flash Player 18.0.0.203 và các phiên bản trước đó đối với Windows và Macintosh.

- Adobe Flash Player 18.0.0.204 và các phiên bản trước đó đối với Linux cài đặt trình duyệt Google Chrome.

- Adobe Flash Player Extended Support Release phiên bản 13.0.0.302 và các phiên bản 13.x trước đó đối với Windows và Macintosh.

- Adobe Flash Player Extended Support Release phiên bản 11.2.202.481 và các phiên bản 11.x trước đó đối với Linux.

‹ › ×

Tin liên quan

Bộ tạo mẫu ngẫu nhiên Beacon của NIST

15:52 | 18/09/2014

NIST đang cài đặt một nguồn nguyên mẫu ngẫu nhiên công cộng, sử dụng hai nguồn ngẫu nhiên sẵn có về mặt thương mại độc lập với nhau, mỗi nguồn đều có phần cứng tạp nguồn entropy độc lập và các thành phần đã được tài liệu SP800-90 của NIST chấp nhận.

Trách nhiệm pháp lý và bảo mật máy tính

08:40 | 18/07/2014

Khi xây dựng giải pháp bảo mật cho hệ thống công nghệ thông tin, người ta cần xác định các mức độ ưu tiên bằng việc phân tích các rủi ro có thể xảy ra. Tuy nhiên, trong thực tế nhiều hệ thống bảo mật được làm ra nhằm mục đích tìm cách chối bỏ trách nhiệm pháp lý của chủ thể hệ thống với các bên liên quan hơn là giảm thiểu rủi ro thực tế. Giáo sư Ross Anderson của trường đại học Cambridge, dựa trên kinh nghiệm thực tiễn đã đưa ra một số nguyên tắc hữu ích trong xây dựng hệ thống này.

Phát hiện lỗ hổng SOME ảnh hưởng đến Google+ và nhiều trang web khác

15:44 | 29/12/2014

Hội nghị Black Hat Châu Âu năm 2014, Ben Hayak - nhà nghiên cứu của công ty Trustware đã trình bày phương pháp tấn công Origin Method Execution (SOME) có khả năng gây ảnh hưởng đến rất nhiều trang web lớn hàng đầu thế giới.

Tin cùng chuyên mục

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.

Tin tặc phát tán phần mềm độc hại qua thiết bị USB trên các nền tảng trực tuyến

10:00 | 21/02/2024

Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).

Tập đoàn bán lẻ ô tô hàng đầu ở Australia bị tấn công mạng

08:00 | 08/01/2024

Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

Hacker / Malware

Phân tích phần mềm độc hại DinodasRAT trên Linux

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

19:00 | 30/04/2024
Phân tích kỹ thuật lừa đảo mới nhằm phát tán phần mềm độc hại trên GitHub
Vén màn chiến dịch gián điệp mạng LightSpy
Bắt giữ 37 nghi phạm trong đường dây dịch vụ lừa đảo trực tuyến