BẢN ĐIỂM TIN AN TOÀN THÔNG TIN NGÀY 11.10.2023
11/10/2023
1. Quảng cáo trong Bing AI của Microsoft điều hướng người dùng đến các trang web độc hại
- Quảng cáo độc hại được chèn bên trong chatbot của Microsoft Bing đang được sử dụng để phát tán phần mềm độc hại khi tìm kiếm các công cụ phổ biến. Malwarebytes tiết lộ rằng người dùng có thể bị lừa truy cập các trang web độc hại và cài đặt phần mềm độc hại trực tiếp trên Bing Chat. Tính đến thời điểm hiện tại, chiến dịch chỉ nhắm mục tiêu vào lĩnh vực khách sạn.
- Quảng cáo có thể được chèn vào cuộc trò chuyện trên Bing Chat theo nhiều cách khác nhau. Một trong số đó là khi người dùng nhấp vào một liên kết, sẽ đưa người dùng đến điều hướng đến một trang web độc hại tải xuống cái stealer như Lumma Stealer, RedLine Stealer, Stealc, Spidey Bot, và Vidar.
- Một khía cạnh đáng chú ý của chiến dịch là kẻ tấn công đã tìm cách xâm nhập vào tài khoản quảng cáo của một doanh nghiệp hợp pháp ở Úc và tạo quảng cáo. Với các trang đích thuyết phục, nạn nhân có thể dễ dàng bị lừa tải xuống phần mềm độc hại.
- Người dùng được khuyến nghị nên tránh nhấp vào các liên kết không được yêu cầu, ngay cả khi chúng có vẻ hợp pháp, kiểm tra thật kĩ URL trước khi truy cập để tránh là nạn nhân.
Chi tiết xem thêm tại đường dẫn.
2. Lỗ hổng bảo mật nghiêm trọng mới khiến máy chủ Exim Mail bị tấn công từ xa
- Nhiều lỗ hổng bảo mật đã được tiết lộ trong Exim mail transfer agent mà nếu khai thác thành công có thể dẫn đến lộ thông tin và thực thi mã từ xa.
- Danh sách các lỗ hổng đã được báo cáo ẩn danh vào tháng 6 năm 2022 như sau:
+ CVE-2023-42114 (điểm CVSS: 3.7) - Lỗ hổng đọc thông tin ngoài vùng cho phép
+ CVE-2023-42115 (điểm CVSS: 9.8) - Lỗ hổng RCE khi có thể ghi nội dung ngoài vùng cho phép
+ CVE-2023-42116 (điểm CVSS: 8.1) - Lỗ hổng thực thi mã từ xa dựa trên Stack Buffer Overflow trên Exim SMTP Challenge
+ CVE-2023-42117 (điểm CVSS: 8.1) - Exim Improper Neutralization dẫn đến RCE
+ CVE-2023-42118 (điểm CVSS: 7.5) - Lỗ hổng Integer Underflow dẫn đến RCE
+ CVE-2023-42119 (điểm CVSS: 3.1) - Lỗ hổng đọc thông tin ngoài vùng cho phép
- Lỗ hổng nghiêm trọng nhất là CVE-2023-42115, cho phép hacker không cần xác thực mà có thể thực thi mã tùy ý trên các bản cài đặt Exim bị ảnh hưởng. Các lỗ hổng này xảy ra do thiếu xác thực đầu vào dữ liệu do người dùng cung cấp, điều này có thể dẫn đến việc ghi vượt quá phần cuối của bộ đệm. Hacker có thể lợi dụng lỗ hổng này để thực thi mã độc hại tùy ý.
- Trong trường hợp chưa có bản vá, nhà cung cấp dịch vụ khuyến nghị người dùng hạn chế tương tác với ứng dụng như một chiến lược giảm thiểu thiệt hại duy nhất.
Chi tiết xem thêm tại đường dẫn
3. PoC về lỗ hổng cho phép cấp quyền root trên nhiều distros (Linux distribution)
- Có nhiều PoC (Proof-of-concept) về việc khai thác một lỗ hổng nghiêm trọng trong trình nạp động của thư viện GNU C (GNU C Library dynamic loader) cho phép local hacker tấn công để đạt được quyền root trên các distros.
- Lỗ hổng đang được nhắc đến được đặt tên là 'Looney Tunables’ có mã CVE-2023-4911 (CVSS 7.8), lỗ hổng này bắt nguồn từ một lỗi tràn bộ đệm (buffer overflow). Hacker cần có quyền điều khiển máy chủ để thực hiện tấn công leo quyền này.
- Lỗi này ảnh hưởng đến bản cài đặt mặc định của Debian 12 và 13; Ubuntu 22.04 và 23.04; Fedora 37 và 38.
- Hacker có thể khai thác lỗ hổng này bằng cách sử dụng biến môi trường GLIBC_TUNABLES được xử lý bởi trình nạp động ld.so (một chương trình tìm và load các shared objects/shared libraries) cần thiết cho chương trình nhằm thực thi code với quyền root khi chạy các mã nhị phân với quyền SUID. Will Dormann là một trong người khai thác lỗ hổng này xác nhận việc lỗ hổng này hoàn toàn có thể bị khai thác nếu hacker xác định được offset hoạt động trên hệ thống của ld.so dynamic loader được khai thác.
Chi tiết xem thêm tại đường dẫn 1, 2
4. Cisco khắc phục lỗ hổng thông tin đăng nhập root được thiết lập sẵn trong Emergency Responder
- Cisco đã phát hành bản vá bảo mật để khắc phục một lỗ hổng trong Cisco Emergency Responder (CER), cho phép hacker đăng nhập vào các hệ thống bị ảnh hưởng bằng thông tin đăng nhập được cài đặt sẵn. CER giúp các tổ chức ứng phó các tình huống khẩn cấp hiệu quả bằng cách cho phép theo dõi vị trí của các IP phones (điện thoại gọi qua đường internet hoặc mạng LAN mà không dùng SIM như điện thoại thường) giúp liên hệ khẩn cấp Public Safety Answering Point (PSAP) thích hợp. Lỗ hổng này cho phép hacker không cần xác thực vẫn có khả năng truy cập vào thiết bị nạn nhân bằng cách sử dụng tài khoản root (tài khoản này được thiết lập sẵn trong CER và không thể thay đổi hoặc loại bỏ).
- Lỗ hổng chỉ tồn tại trên CER 12.5(1)SU4 và hiện đã có bản vá là 12.5(1)SU5.
Chi tiết xem thêm tại đường dẫn
5. EvilProxy sử dụng chuyển hướng liên kết mở từ indeed.com để thực hiện phishing Microsoft 365
- Một chiến dịch lừa đảo đang nhắm đến các tài khoản Microsoft 365 của các tổ chức có trụ sở quản lý chính ở Hoa Kỳ bằng cách chuyển hướng liên kết từ website tuyển dụng Indeed. Hacker sử dụng EvilProxy phishing service để thu thập session cookies nhằm bypass các cơ chế xác thực đa yếu tố (MFA). Menlo Security báo cáo rằng các mục tiêu của chiến dịch phishing này là các giám đốc điều hành và nhân viên cao cấp từ các ngành công nghiệp khác nhau, bao gồm sản xuất điện tử, ngân hàng và tài chính, bất động sản, bảo hiểm.
- Các đường link chuyển hướng này là các URL hợp pháp tự chuyển hướng nạn nhân đến các liên kết khác (thường là một trang web bên thứ ba). Liên kết chuyển hướng mở (Open redirects) là nhược điểm trong các code của các website từ đó cho phép tạo các liên kết chuyển hướng đến các website phishing của hacker. Do liên kết đến từ một bên đáng tin cậy nên có thể bypass các giải pháp bảo mật email hoặc được đề xuất trên kết quả tìm kiếm mà không bị phát nghi ngờ.
- Menlo Security phát hiện hacker sử dụng một liên kết chuyển hướng có vẻ hợp pháp trên indeed.com để chuyển hướng các nạn nhân nhận được email đến một website hoạt động như một reverse proxy dùng cho việc đăng nhập Microsoft.
- EvilProxy là một phishing-as-a-service platform sử dụng reverse proxies để tạo điều kiện cho việc giao tiếp và chuyển tiếp thông tin giữa nạn nhân và dịch vụ trực tuyến thật (genuine online service) trong trường hợp này Microsoft. Khi nạn nhân đăng nhập tài khoản của họ thông qua phishing server này, hacker có thể ghi lại cookie xác thực. Vì nạn nhân đã hoàn thành các bước xác thực đa yếu tố cần thiết trong quá trình đăng nhập, các cookie được thu thập cho phép hacker có quyền truy cập vào tài khoản của nạn nhân.
Chi tiết xem thêm tại đường dẫn
6. Apple tung ra các bản vá bảo mật cho lỗ hổng Zero-Day trên iOS bị khai thác tích cực
- Apple vừa tung ra các bản vá bảo mật để giải quyết lỗ hổng zero-day mới trong iOS và iPadOS mà hãng cho biết đã bị khai thác liên tục trên thực tế. Được theo dõi là CVE-2023-42824 (CVSS: 7.8) ảnh hưởng tới các phiên bản ios trước 16.6, lỗ hổng kernel có thể bị hacker trong nội bộ lợi dụng để nâng cao đặc quyền.
- Bản cập nhật mới nhất của Apple cũng giải quyết CVE-2023-5217 (CVSS 8.8) ảnh hưởng đến thành phần WebRTC mà tuần trước Google đã mô tả là lỗi heap buffer overflow trong libvpx.
- Các bản vá iOS 17.0.3 và iPadOS 17.0.3 hiện có sẵn cho các thiết bị sau:
+ iPhone XS trở lên
+ iPad Pro 12,9-inch thế hệ thứ 2 trở lên, iPad Pro 10,5 inch, iPad Pro 11 inch thế hệ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 6 trở lên và iPad mini thế hệ thứ 5 trở lên
- Apple đã giải quyết được tổng cộng 17 lỗ hổng zero-day bị khai thác tích cực trong phần mềm của mình kể từ đầu năm.
Chi tiết xem thêm tại đường dẫn.
7. Bộ Thông tin và Truyền thông ra mắt Bản đồ công nghệ lĩnh vực Thông tin và Truyền thông trong 08 lĩnh vực
- Bản đồ Công nghệ lĩnh vực Thông tin và Truyền thông được xây dựng dựa trên các chiến lược đã phê duyệt, tham khảo các báo cáo chuyên đề về xu hướng nghiên cứu, phát triển, ứng dụng công nghệ trên thế giới, các tài liệu của các tổ chức uy tín trên thế giới về cách thức, phương pháp xây dựng bản đồ công nghệ, lấy ý kiến các chuyên gia trong nước.
- Sau 03 tháng nghiên cứu, 11 đơn vị của Bộ đã xây dựng được phiên bản đầu tiên của bản đồ công nghệ trong 08 lĩnh vực thông tin và truyền thông: Lĩnh vực Viễn thông, lĩnh vực Bưu chính, lĩnh vự Báo chí, lĩnh vực Xuất bản, lĩnh vực Chính phủ số, lĩnh vực An toàn thông tin, lĩnh vực Đại học số, lĩnh vực Công nghệ số
- Mỗi bản đồ công nghệ bao gồm 01 bản tài liệu mô tả, đánh giá chi tiết từng công nghệ; 01 trang đồ họa (bản đồ) thể hiện các thông tin ngắn gọn các công nghệ có tác động đáng kể đến lĩnh vực.
- Có 04 loại thông tin: Mức độ trưởng thành của công nghệ, mức độ ảnh hưởng của công nghệ, các giai đoạn kỳ vọng của công nghệ theo thời gian.
- Bản đồ công nghệ số bao gồm 32 công nghệ số được thể hiện theo hình radar.
Bản đồ công nghệ Viễn thông là tài liệu định hướng cho những năm tới cho công tác xây dựng chiến lược, kế hoạch, tiêu chuẩn, quy chuẩn kỹ thuật, phát triển năng lực đo lường cho lĩnh vực viễn thông. Bản đồ giúp cho các doanh nghiệp viễn thông lặp các kế hoạch thay đổi công nghệ, tránh các công nghệ lạc hậu.
Chi tiết xem thêm tại đường dẫn 1, 2