Intel AMT vulnerability (CVE-2017-5689)
Cuộc khai thác được phát hiện hôm thứ ba bởi các nhà nghiên cứu từ hãng bảo mật FireEye, người đã nói rằng nó đang được sử dụng trong các cuộc tấn công tích cực. Adobe xác nhận rằng việc khai thác hoạt động dựa trên các phiên bản Adobe Reader và Acrobat mới nhất, bao gồm cả 10 và 11, có cơ chế bảo vệ sandbox.
"Adobe nhận thức được báo cáo rằng các lỗ hổng này đang bị khai thác trong môi trường hoang dã để lừa người dùng Windows nhấp vào một tệp PDF độc hại được gửi trong một email ", công ty cho biết trong một tư vấn bảo mật được công bố hôm thứ tư.
[Đọc thêm: Cách xóa phần mềm độc hại khỏi máy tính Windows của bạn]
Adobe đang hoạt động trên bản vá, nhưng trong thời gian chờ đợi, người dùng Adobe Reader 11 nên bật chế độ Xem được bảo vệ bằng cách chọn tùy chọn "Các tệp từ vị trí không an toàn" trong trình đơn Chỉnh sửa> Tùy chọn> Bảo mật (Nâng cao).Theo Costin Raiu, giám đốc nhóm nghiên cứu và phân tích phần mềm độc hại của Kaspersky Lab, phần mềm độc hại mà nó cài đặt là siêu cấp cao. Raiu kết luận rằng họ phải là một phần của một hoạt động "tầm quan trọng rất lớn" rằng "sẽ ở cùng cấp với Duqu." Duqu là một phần của phần mềm độc hại trên mạng được phát hiện vào tháng 10 năm 2011 liên quan đến Stuxnet, con sâu máy tính rất tinh vi được ghi nhận với các máy ly tâm làm giàu urani gây hại tại nhà máy hạt nhân của Iran ở Natanz. Cả hai Duqu và Stuxnet được cho là đã được tạo ra bởi một quốc gia.
Khai thác mới nhất đến dưới dạng một tài liệu PDF và tấn công hai lỗ hổng riêng biệt trong Adobe Reader. Một trong những được sử dụng để đạt được đặc quyền thực thi mã tùy ý và một được sử dụng để thoát khỏi hộp cát Adobe Reader 10 và 11, Raiu nói.
Khai thác hoạt động trên Windows 7, bao gồm cả phiên bản 64-bit của hệ điều hành, và nó bỏ qua Windows ASLR (ngẫu nhiên bố trí không gian địa chỉ) và cơ chế chống phá hoại của DEP (Data Execution Prevention).
Khi được thực thi, khai thác sẽ mở ra một tài liệu PDF mồi có chứa đơn xin thị thực du lịch, Raiu nói. Tên của tài liệu này là "Visaform Turkey.pdf."
Việc khai thác cũng giảm xuống và thực thi thành phần tải xuống phần mềm độc hại kết nối với máy chủ từ xa và tải xuống hai thành phần bổ sung.
Sự giao tiếp giữa phần mềm độc hại và máy chủ điều khiển và lệnh được nén bằng zlib và sau đó được mã hóa với AES (Chuẩn mã hóa nâng cao). sử dụng mật mã khóa công khai RSA.
Kiểu bảo vệ này rất hiếm thấy trong phần mềm độc hại, Raiu nói. "
Đây là một công cụ không gian mạng được tạo ra bởi một quốc gia hoặc một trong những công cụ đánh chặn hợp pháp được bán bởi các nhà thầu tư nhân để thực thi pháp luật và Raiichi cho biết:
Kaspersky Lab chưa có thông tin về các mục tiêu của cuộc tấn công này hoặc sự phân phối của họ trên khắp thế giới.
Đã đến được qua email vào thứ tư, giám đốc cấp cao của FireEye về an ninh. nghiên cứu, Zheng Bu, từ chối bình luận về các mục tiêu của cuộc tấn công. FireEye đã xuất bản một bài đăng trên blog có thông tin kỹ thuật về phần mềm độc hại vào Thứ Tư, nhưng không tiết lộ bất kỳ thông tin nào về nạn nhân.
Bu nói rằng phần mềm độc hại sử dụng các kỹ thuật nhất định để phát hiện xem nó có đang được thực thi trong một máy ảo để nó có thể tránh được các hệ thống phân tích phần mềm độc hại tự động phát hiện hay không.
Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang
Cho đến nay, Microsoft cho biết họ đã nhận được các báo cáo về "một số lượng nhỏ các cuộc tấn công nhắm mục tiêu" bằng cách sử dụng khai thác này. Các nhà sản xuất phần mềm đang làm việc trên một bản vá bảo mật cho vấn đề, nhưng công ty vẫn chưa nói liệu nó sẽ phát hành một bản cập nhật bảo mật càng sớm càng tốt hoặc là một phần của chu kỳ cập nhật “patch Tuesday” hàng tháng của họ. "Bản vá thứ ba" tiếp theo sẽ là ngày 9 tháng 10.
Không rõ ràng nếu khai thác này nhắm vào một lỗ hổng mới hay một lỗ hổng Java cũ hơn đã được vá. Oracle đã phát hành các bản cập nhật bảo mật Java mới vào thứ hai để giải quyết hai lỗ hổng nghiêm trọng, một trong số đó đã được khai thác bởi những kẻ tấn công.
Các khai thác Java theo truyền thống được phân phối dưới dạng các ứng dụng Java ứng dụng chưa được ký. Việc thực hiện các applet như vậy được sử dụng để tự động trong các phiên bản Java cũ hơn, cho phép tin tặc khởi động các cuộc tấn công tải xuống bằng ổ đĩa hoàn toàn minh bạch cho nạn nhân.
Hoa Kỳ. Các nhà khai thác di động lớn của Hoa Kỳ đang đặt trọng lượng của họ sau một chiến dịch chống lại nhắn tin trong khi lái xe sẽ bao gồm một loạt quảng cáo và mô phỏng lái xe lưu diễn khắp đất nước mùa hè này. tất cả các nhà khai thác di động đều đang đặt trọng lượng của họ sau một chiến dịch chống lại nhắn tin trong khi lái xe sẽ bao gồm một quảng cáo quảng cáo và mô phỏng lái xe lưu diễn khắp đất nước mùa hè này.
Thứ ba, Verizon, Sprint Nextel và T-Mobile USA tham gia Có thể chờ đợi ”chiến dịch mà AT & T bắt đầu vào năm 2010. Thứ hai tới, chiến dịch sẽ khởi động quảng cáo truyền hình, radio và quảng cáo trực tuyến cho người tiêu dùng về sự nguy hiểm của nhắn tin và lái xe, và trình mô phỏng lái xe sẽ tham quan quốc gia để chứng minh mức độ nguy hiểm của thực tế