Hệ thống máy tính trên toàn cầu cũng như các máy tính tại Việt Nam đang đứng trước nguy cơ bị virus tấn công do lỗ hổng trong file Shortcut của Windows. Lỗi này được phát hiện từ ngày 10/7/2010 và đến nay vẫn chưa có bản vá (lỗ hổng zero-day).

Chỉ cần người dùng mở USB có chứa file Shortcut bị lỗ hổng, virus sẽ tự động thâm nhập vào máy tính ngay cả khi chức năng Autorun đã bị vô hiệu hóa. Từ đó, hacker có thể chiếm toàn quyền điều khiển máy tính để thực hiện hành vi ăn cắp thông tin, phá hủy dữ liệu…

Trong khi nhà sản xuất Microsoft vẫn chưa đưa ra bản vá cho lỗ hổng nguy hiểm, hệ thống giám sát của Bkav phát hiện đã có 3 dòng virus lợi dụng lỗ hổng trên để thâm nhập và phá hoại máy tính của người dùng. Tính đến ngày hôm nay, 27.500 máy tính ở Việt Nam bị nhiễm loại virus này.

Phần mềm diệt virus Bkav đã cập nhật tính năng phát hiện và loại bỏ tất cả các virus lợi dụng lỗ hổng Shortcut của Windows. Trong lúc chờ Microsoft đưa ra bản vá, Công ty Bkav đã phát hành công cụ miễn phí kiểm tra tình trạng nhiễm virus “Shortcut” cho các máy tính chưa cài Bkav bản quyền.

Bạn có thể tải công cụ này tại đây:
http://www.bkav.com.vn/tool/BkavDetectShortcutFileVirus.exe

Công cụ nhận biết virus lợi dụng lỗ hổng Shorcut

Ông Vũ Ngọc Sơn, Giám đốc Bộ phận nghiên cứu của Bkav, cho biết: “Theo thống kê của chúng tôi, có tới 97,4% máy tính tại Việt Nam dùng hệ điều hành Windows, bao gồm Windows XP, Vista, Windows 7… Do đó, hầu hết các máy tính này có nguy cơ nhiễm virus lợi dụng lỗ hổng trong file Shortcut”.

Bkis

File .lnk là định dạng cho các shortcut của hệ điều hành Windows. Lỗ hổng được phát hiện lần này thực chất nằm ở việc Windows xử lý các shortcut có liên kết đến Control Panel. Thông thường, các shortcut này được xử lý như sau:

Control Panel

Mỗi shortcut trong Control Panel sẽ được trỏ đến một file thực thi, ví dụ shortcut “Automatic Update” được trỏ đến tiện ích cập nhật của Windows. Để hiển thị icon của shortcut, Windows, cụ thể là Windows Shell, nạp một file PE có đuôi  là .cpl, trong trường hợp này là file C:\Windows\System32\wuaucpl.cpl.

Lợi dụng việc Windows Shell nạp file PE để lấy icon, hacker có thể tạo một file shortcut liên kết đến Control Panel cùng đường dẫn đến một file độc. Khi Windows Shell thực hiện đúng các bước như trên để hiển thị shortcut, mã độc sẽ được thực thi. Hình ảnh dưới đây mô tả cách thức hacker lợi dụng quá trình phân tích shortcut của Control Panel nhằm tải file độc:

Dưới đây là mô tả của định dạng shortcut giả mạo được sử dụng nhằm khai thác lỗ hổng:

Định dạng file shorcut giả mạo

Như vậy, để thực thi một file chứa mã độc bất kỳ (trong trường hợp này là file DLL), file này có thể được đặt trong USB để thay thế chức năng Autorun, hacker chỉ cần tạo định dạng .lnk trên với đường dẫn trong “fake cpl path file” trỏ tới file độc.

Bkis Security

1. ZDNet – Các chuyên gia nghiên cứu phát hiện lỗ hổng trong bản vá của Adobe

Ben Wood

Theo công ty an ninh tại Việt Nam – Bkis, bản vá bất thường của Adobe Reader và Acrobat công bố ngày Thứ ba đã không sửa được lỗ hổng có thể cho phép hacker chạy mã độc.

Bản cập nhật phiên bản 9.3.3 cho các sản phẩm phần mềm PDF được thiết kế để sửa một số vấn đề về an ninh, trong đó có vấn đề liên quan tới hộp thoại cảnh báo của chức năng Launch, có thể lừa người sử dụng mở một file thực thi đã được nhúng vào. Sau khi bản vá được công bố, Didier Stevens, một chuyên gia an ninh của Bỉ, người đã thông báo vấn đề này tới Adobe hồi tháng ba, đã xác nhận trong một bài blog rằng, vấn đề này đã được sửa.

Tuy nhiên, theo Bkis, bản cập nhật này đã không sửa được vấn đề một cách triệt để, mà việc đó, theo nhà cung cấp phần mềm diệt virus Việt Nam này, đang được virus sử dụng trong các cuộc tấn công. Trong một bài trên blog an ninh của Bkis, chuyên gia nghiên cứu an ninh cao cấp Lê Mạnh Tùng đã lập luận rằng, bản vá vẫn có thể bị “phá vỡ”.

http://www.zdnet.com/news/researchers-find-hole-in-adobe-fix/441106

2. VNUNet – Lỗ hổng của PDF vẫn tồn tại sau bản vá

Các chuyên gia phát hiện lỗ hổng social engineering vẫn “mở” trước các cuộc tấn công.

Shaun Nichols

Adobe đang ở trong thế phòng thủ sau khi phát hiện một lỗ hổng an ninh mà trước đó được cho là đã được vá.

Lỗ hổng này, tồn tại trong các thành phần của Reader và Acrobat, có thể cho phép kẻ tấn công  thực thi một ứng dụng độc từ xa qua mã nhúng trong một file PDF bằng cách thao tác với một hộp cảnh báo.

Adobe đã  phát hành một bản vá nhằm khắc phục lỗ hổng này bằng cách thiết lập một blacklist có khả năng ngăn chặn kích hoạt các file thực thi. Tuy nhiên, các chuyên gia cho biết các cách thức bảo vệ này có thể bị khai thác.

Chuyên gia an ninh Lê Mạnh Tùng của Bkis, cho biết đơn giản chỉ bằng cách thêm dấu ngoặc kép có thể đánh lừa hệ thống và cho phép hacker một lần nữa đưa ra các hộp cảnh báo lừa đảo.

“Với các dấu ngoặc kép được thêm vào, Adobe Reader sẽ không chặn việc thực thi nữa,” Tùng viết trong một bài blog.

“Adobe Reader phiên bản 9.3.3 đã khắc phục được vấn đề các cảnh báo giả, nhưng mối đe dọa về việc thực thi mã khai thác vẫn còn.”

Adobe đã xác nhận những thông tin này và đã có một bài blog riêng về vấn đề này. Brad Arkin, Giám đốc phụ trách vấn đề an ninh của sản phẩm, cho biết công ty vẫn giữ tình trạng hoạt động của thành phần thực thi, nhưng sẽ xem xét việc cập nhật blacklist để bảo vệ người sử dụng trước những cuộc tấn công có thể xảy ra trong tương lai.

“Mặc dù chỉ riêng khả năng blacklist có thể không phải là một giải pháp hoàn hảo để chống lại các nội dung độc hại, nhưng phương pháp này cũng sẽ giúp giảm nguy cơ của cuộc tấn công, trong khi giảm thiểu tác động đối với những khách hàng phụ thuộc vào các luồng công việc hoạt động dựa trên chức năng Launch,” Arkin cho biết.

http://www.v3.co.uk/v3/news/2265892/pdf-vulnerability-lingers

3. The Register – Lỗ hổng trong tính năng Launch tự động của Adobe chưa được xử lý hoàn toàn, chuyên gia cho biết

Dan Goodin

Một chuyên gia an ninh cho biết anh ta có thể ép người đọc PDF – định dạng file phổ biến của công ty Adobe Systems – thực thi các lệnh độc tiềm ẩn, mặc dù một bản vá an ninh khẩn cấp đã được công ty này phát hành hồi đầu tuần.

Phần cập nhật mà Adobe đưa vào các ứng dụng Reader và Acrobat có chứa một bản vá được thiết kế nhằm ngăn chặn kẻ tấn công sử dụng các ứng dụng nhằm kích hoạt các lệnh nguy hiểm tiềm ẩn hoặc các file trên máy của người dùng cuối. Nhưng Lê Mạnh Tùng,  một chuyên gia an ninh cao cấp tại Bkis Internet Security ở Việt Nam, cho biết anh có thể qua mặt bản vá này mà không phải làm gì hơn ngoài việc chèn các dấu ngoặc đôi vào câu lệnh anh ta muốn máy tính mục tiêu thực thi từ xa.

Điểm yếu này ban đầu được Didier Stevens chứng minh và sau đó được mở rộng bởi Jeremy Conway và một số người khác. Adobe cho biết hãng muốn tìm một giải pháp triệt tiêu mối nguy hiểm này mà không cần loại bỏ các tính năng mạnh mẽ mà nhiều người sử dụng tin tưởng.

Đến ngày thứ Năm, Tùng đã công bố bằng chứng, chứng minh một file PDF được gài bẫy vẫn có thể được sử dụng để vượt qua các thiết đặt được tạo ra nhằm chặn tính năng tự động kích hoạt và mở ứng dụng Calculator trên Windows. Cách này hoạt động bởi lệnh “calc.exe” được sử dụng thay thế cho lệnh calc.exe. Bài blog của anh ở đây.

Tùng cho biết một lỗ hổng liên quan – lỗ hổng cho phép kẻ tấn công thay đổi được thông điệp cảnh báo mà Adobe hiển thị trước khi cho phép thực thi một lệnh – có vẻ như đã được vá hoản chỉnh. Điều này có nghĩa là kẻ tấn công sẽ khó khăn hơn trong việc lừa người sử dụng bấm nút Open, đây là yếu tố quyết định để quá trình khai thác tấn công thành công. Tuy nhiên, với việc các ứng dụng cuả Adobe được cài đặt trên hơn 90% các máy tính hiện nay, chắc chắn sẽ có nhiều người sử dụng bị lừa.

Vẫn chưa rõ liệu những kẻ tấn công có thể vượt qua thiết lập này và chỉ thực thi đoạn mã đã được cài đặt sẵn trên máy tính mục tiêu hay có thể chèn thêm một số payload độc vào các file PDF như trước đây. Nữ phát ngôn viên của Adobe cũng như ông Tùng và Stevens chưa đưa ra lời bình luận gì.

http://www.theregister.co.uk/2010/07/01/adobe_auto_launch_peril/