Lỗi bảo mật có thể cho phép tin tặc đánh cắp mật khẩu Windows của người dùng
Theo chuyên gia an ninh mạng @_g0dmode, phần mềm hội nghị truyền hình Zoom dành cho hệ điều hành Windows dễ bị kẻ xấu khai thác bằng lỗ hổng cổ điển “Chèn đường dẫn UNC" để đánh cắp thông tin đăng nhập Windows của nạn nhân từ xa và thậm chí thực hiện các lệnh tùy ý trên hệ thống của họ.
Nguyên nhân bởi Zoom cho phép Windows hỗ trợ các đường dẫn UNC từ xa, chuyển đổi các URI không an toàn thành siêu liên kết khi nhận được qua tin nhắn trò chuyện đến người nhận trong cuộc trò chuyện cá nhân hoặc nhóm.
Được xác nhận bởi nhà nghiên cứu Matthew Hickey và được Mohamed Baset trình diễn, kịch bản tấn công đầu tiên liên quan đến kỹ thuật SMBRelay khai thác việc Windows tự động gửi tên đăng nhập của người dùng và mật khẩu NTLM băm tới máy chủ SMB từ xa khi cố gắng kết nối để tải xuống tệp được lưu trữ trên đó.
Để đánh cắp thông tin đăng nhập Windows của người dùng được nhắm mục tiêu, những kẻ tấn công chỉ cần gửi một URL được tạo thủ công (dạng \\x.x.x.x\abc_file) cho nạn nhân thông qua giao diện trò chuyện.
Sau khi người dùng nhấp vào URL, cuộc tấn công cho phép nguồn chia sẻ SMB do kẻ tấn công kiểm soát sẽ tự động thu thập dữ liệu xác thực từ Windows mà người dùng không hề hay biết.
Cần lưu ý, mật khẩu bị thu thập không phải ở dạng rõ mà là giá trị băm NTLM, nhưng giá trị băm đó có thể dễ dàng bị bẻ khóa trong vài giây bằng cách sử dụng các công cụ bẻ khóa mật khẩu như HashCat hoặc John the Ripper.
Trong môi trường dùng chung, thông tin đăng nhập Windows bị đánh cắp có thể được sử dụng lại ngay lập tức để giả danh người dùng truy cập các tài nguyên công nghệ thông tin khác và khởi động các cuộc tấn công tiếp theo.
Ông Tavis Ormandy, nhà nghiên cứu bảo mật Google cho biết, bên cạnh việc đánh cắp thông tin đăng nhập Windows, lỗ hổng cũng có thể bị khai thác để khởi chạy bất kỳ chương trình nào đã có trên máy tính mục tiêu hoặc thực thi các lệnh tùy ý để xâm phạm hệ thống từ xa.
Trong hình trên, Ormandy chỉ ra lỗi chèn đường dẫn UNC trong Zoom có thể bị lợi dụng để chạy một tệp chứa các lệnh độc hại từ thư mục tải xuống mặc định mà không cần có sự chấp thuận của người dùng. Kịch bản tấn công này dựa trên thực tế là các trình duyệt trên hệ điều hành Windows tự động lưu tệp tải xuống vào một thư mục mặc định. Điều này có thể bị lợi dụng để lừa người dùng tải và thực thi một tệp .bat.
Cần lưu ý là để khai thác vấn đề này, kẻ tấn công phải biết tên người dùng Windows. Tuy nhiên, thông tin đó có thể dễ dàng lấy được bằng cách sử dụng cuộc tấn công SMBRelay đầu tiên.
Ngoài ra, một nhà nghiên cứu bảo mật khác có tên pwnsdx trên Twitter cũng đã chia sẻ mẹo cho phép kẻ tấn công che giấu các liên kết độc hại khi hiển thị cho người nhận, khiến nó trông thuyết phục và dễ qua mặt người dùng hơn.
Các sự cố bảo mật và quyền riêng tư khác liên quan đến Zoom
Đây không phải là vấn đề duy nhất được phát hiện trong phần mềm hội nghị video Zoom trong thời gian gần đây, điều này làm gia tăng sự lo ngại về quyền riêng tư và bảo mật của hàng triệu người dùng. FBI đang cảnh báo người dùng Zoom về việc một số người tìm truy cập trái phép vào các cuộc họp trực tuyến và gây nhiễu loạn thông tin. Điều đó xảy ra vì rất dễ để tạo ID trong Zoom và người dùng thường không sử dụng mật khẩu để bảo vệ các cuộc họp. Trên mạng đã có những công cụ cho phép tìm kiếm những cuộc họp qua Zoom một cách tự động.
Ngày 3/4/2020, các nhà khoa học của Citizen Lab, Đại học Toronto (Canada) đã xác nhận rằng, Zoom không sử dụng mã hóa đầu - cuối để bảo vệ dữ liệu cuộc gọi của người dùng. Theo đó, ứng dụng Zoom sử dụng thuật toán mã hóa AES-128 ở chế độ ECB thay vì AES-256 như họ đã công bố. Tuy thuật toán AES-128 là có thể chấp nhận được nhưng việc sử dụng chế độ mã hóa ECB cho thấy, các lập trình viên của Zoom có sự thiếu hiểu biết về kỹ thuật mã hóa hoặc họ cố tình làm sai.
Trước đó, Zoom đã cập nhật ứng dụng iOS của mình sau khi bị bắt gặp chia sẻ thông tin thiết bị của người dùng với Facebook. Đầu năm nay, Zoom cũng đã vá một lỗi riêng tư khác trong phần mềm của mình, lỗi này cho phép những người ngoài có thể tham gia các cuộc họp riêng tư và nghe lén từ xa về âm thanh, video và tài liệu riêng tư được chia sẻ trong suốt phiên trao đổi.
Người dùng nên làm gì?
Zoom đã thông báo về lỗi chèn đường dẫn UNC và cũng đã xin lỗi vì không đạt được các kỳ vọng về quyền riêng tư và bảo mật. Zoom đã phát hành một phiên bản cập nhật để vá các lỗi bảo mật được báo cáo gần đây, trong đó có cả vấn đề chèn đường dẫn UNC. Người dùng nên cập nhật bản mới nhất hoặc sử dụng Zoom trong trình duyệt web thay vì cài đặt ứng dụng.
Bên cạnh việc sử dụng mật khẩu mạnh, người dùng Windows cũng có thể dùng Group Policy Management Editor (gpedit.msc) để thay đổi cài đặt chính sách bảo mật, ngăn hệ điều hành tự động chuyển thông tin xác thực NTML của họ tới máy chủ SMB ở xa.
Zoom đã có hướng dẫn đầy đủ và khá chi tiết để người dùng tự bảo vệ các cuộc họp của mình tại đây. Vì vậy, người dùng cần đọc kỹ và làm theo hướng dẫn. Trong thời gian tới, các nhà nghiên cứu sẽ tiếp tục tìm hiểu để phát hiện thêm những lỗ hổng bảo mật của Zoom. Để đảm bảo an toàn, người dùng cần theo dõi tin tức và cập nhật các bản vá ngay khi chúng được phát hành. Nếu có lỗ hổng không thể vá sớm, người dùng có thể lựa chọn chuyển sang sử dụng các phần mềm thay thế an toàn hơn.
Nguyễn Anh Tuấn
Tổng hợp
08:00 | 30/03/2020
09:00 | 15/04/2020
09:00 | 29/04/2020
22:00 | 30/04/2020
08:00 | 23/04/2020
10:00 | 06/04/2020
10:00 | 06/04/2020
10:00 | 13/05/2024
Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.
16:00 | 15/05/2024