Lỗ hổng cài mã điều khiển từ xa được tin tặc khai thác lại

Hãng bảo mật Trend Micro cho hay, lỗ hổng cài mã điều khiển từ xa (RCE – remote code execution) có dấu hiệu được bọn tin tặc sử dụng lại.

Lỗ hổng cài mã điều khiển từ xa bị phát hiện vào khoảng tháng 4 năm 2012 là lỗ hổng khai thác phổ biến nhất trong các cuộc tấn công có mục tiêu nửa cuối năm 2013 dù cho đã có bản vá cho nó hơn hai năm trước.
Christopher Budd, giám đốc truyền thông về các mối đe dọa của Trend Micro cho biết, lỗ hổng CVE-2012-0158 tác động đến các chức năng điều khiển thông thường của Windows. Nó ảnh hưởng đến khá nhiều chương trình, nhưng đáng chú ý nhất là Office.
Có đến 76% cuộc tấn công có mục tiêu ở nửa sau năm 2013 đã khai thác lỗ hổng này. Ngoài ra, CVE-2010-3333 (lỗ hổng tràn bộ nhớ đệm trên stack trong các bản Office) chỉ được khai thác trong 10% các cuộc tấn công.
“Lỗ hổng này được khai thác rộng rãi trong các cuộc tấn công có mục tiêu vì nó cho phép tội phạm thực hiện các mã lệnh thông qua những văn bản Office độc hại đính kèm qua email. Thực tế thì mọi người không vá các lỗ hổng cũ trong khi CVE-2012-0158 là lỗ hổng được nhắm đến số một trong cáccuộc tấn công có mục tiêu” ông Budd nhận định.
Theo phát hiện mới đây của các nhà nghiên cứu bảo mật Trend Micro thì lỗ hổng bị khai thác trong một cuộc lừa đảo gửi email với tiêu đề “BREAKING: Plane Crash in Laos Kills Top Government Officials” (Tin mới: vụ rơi máy bay tại Lào làm thiệt mạng các quan chức chính phủ cấp cao). Ông Budd không cho biết mục tiêu mà chúng nhắm đến là ai.
Các tập tin đính kèm email gồm có hai file JPG và một file nén có khả năng chứa TROJ_MDROP.TRX. Một khi lỗ hổng CVE-2012-0158 bị khai thác, nó sẽ tạo ra một cổng sau là biến thể BKDR_FARFLI.
Cổng sau này điều khiển máy nạn nhân và ăn cắp thông tin, bao gồm thông tin bộ xử lý và thông tin kiến trúc hệ thống, tên máy tính và tên người dùng, thông tin mạng và thiết lập proxy, ngoài ra, nó còn liên lạc với máy chủ điều khiển và kiểm soát (C&C) tại Hồng Kông.
Người dùng nên cập nhật các bản vá mới nhất của Windows để bảo vệ mình trước những hiểm họa từ loại mã độc nói trên.
TUẤN AN