kim-ef
25-07-2012, 04:11 PM
Microsoft: Lỗ hổng Windows Shell “tàn phá” dữ liệu.
Microsoft vừa phát đi cảnh báo (http://www.microsoft.com/technet/security/advisory/2286198.mspx) về lỗi bảo mật nguy hiểm liên quan đến Windows Shell.
Lỗ hổng Windows Shell xảy ra khi người dùng thực thi các shortcut dạng .ink. Cách thức khai thác lỗ hổng được mô tả như sau: Kẻ xấu sẽ tạo một shortcut đặc biệt (đã sửa đổi một vài tham biến mặc định để shortcut tự động trỏ đến các ứng dụng phá hoại); khi người dùng thực thi shortcut này thì ngay lập tức sẽ bị… “dính chưởng”.
Lỗ hổng này tỏ ra khá nguy hiểm vì shortcut có thể tự kích hoạt khi người dùng kết nối các thiết bị di động (ổ USB, ổ cứng gắn ngoài, thẻ nhớ,…) với máy tính nếu tính năng AutoPlay bật sẵn, hay trong lúc duyệt file bên trong thiết bị di động nếu đã tắt tính năng AutoPlay.
Theo Microsoft, lỗ hổng cũng có thể bị khai thác từ việc chia sẻ mạng, hay chia sẻ dạng WebDAV. Những hệ điều hành từ Windows XP trở về sau đều bị ảnh hưởng bởi lỗi trên, kể cả Windows 7. Tuy nhiên, theo nhà nghiên cứu bảo mật Chester Wisniewski của Sophos thì Windows 2000 và Windows XP SP2 (đều không còn được Microsoft hỗ trợ nữa) cũng nằm trong danh sách các hệ điều hành phải “hứng chịu” lỗi trên.
Theo Sophos, lỗ hổng trên dễ dàng qua mặt các cơ chế bảo mật trong Windows 7, bao gồm cả UAC (User Account Control) và không yêu cầu bất cứ một đặc quyền gì khi thực thi shortcut. Trong một bài viết trên blog của mình, hãng Sophos đã biểu diễn thử nghiệm việc “tiêm” thành công một rootkit lên hệ thống Windows 7 bằng cách khai thác lỗ hổng Windows Shell (xem video bên dưới).
Để ngăn chặn, Microsoft khuyên người dùng nên vô hiệu hóa tất cả các shortcut, đồng thời tắt dịch vụ WebClient. Lời khuyên của Microsoft nghe có vẻ khá “hài hước” bởi nếu vô hiệu shortcut thì làm sao người dùng mở nhanh được ứng dụng, còn tắt dịch vụ WebClient đồng nghĩa với việc bạn phải tạm thời “nghỉ chơi” với Microsoft SharePoint.
Mặc dù vậy, Microsoft từ chối đưa ra một bản vá lỗi ngay lúc này, thay vào đó người dùng phải đợi đến ngày 10/8/2010 mới được cung cấp một bản vá lỗi hoàn chỉnh.
Tóm tắt quá trình khai thác lỗ hổng:
Lần đầu, Sophos tạo một shortcut đặc biệt chứa rootkit và lưu trên ổ cứng di động; khi kết nối ổ cứng di động với máy tính có tính năng AutoPlay mặc định bật, rootkit sẽ tự động lây nhiễm vào máy.
Lần thứ hai, Sophos tạo một shortcut đặc biệt chứa lệnh xóa toàn bộ dữ liệu trên ổ cứng di động; khi kết nối ổ cứng di động với máy có tính năng AutoPlay mặc định tắt, nếu người dùng kích hoạt tự tay shortcut thì toàn bộ dữ liệu trên ổ cứng di động sẽ bị xóa sạch.
(Bạn có thể xemm video clip mô tả vụ việc này tại: http://news.goonline.vn/689-8647/bao...ha-du-lieu.htm (http://news.goonline.vn/689-8647/bao-mat-antivirus/microsoft-lo-hong-windows-shell-tan-pha-du-lieu.htm))
(theo goonline.vn)
Microsoft vừa phát đi cảnh báo (http://www.microsoft.com/technet/security/advisory/2286198.mspx) về lỗi bảo mật nguy hiểm liên quan đến Windows Shell.
Lỗ hổng Windows Shell xảy ra khi người dùng thực thi các shortcut dạng .ink. Cách thức khai thác lỗ hổng được mô tả như sau: Kẻ xấu sẽ tạo một shortcut đặc biệt (đã sửa đổi một vài tham biến mặc định để shortcut tự động trỏ đến các ứng dụng phá hoại); khi người dùng thực thi shortcut này thì ngay lập tức sẽ bị… “dính chưởng”.
Lỗ hổng này tỏ ra khá nguy hiểm vì shortcut có thể tự kích hoạt khi người dùng kết nối các thiết bị di động (ổ USB, ổ cứng gắn ngoài, thẻ nhớ,…) với máy tính nếu tính năng AutoPlay bật sẵn, hay trong lúc duyệt file bên trong thiết bị di động nếu đã tắt tính năng AutoPlay.
Theo Microsoft, lỗ hổng cũng có thể bị khai thác từ việc chia sẻ mạng, hay chia sẻ dạng WebDAV. Những hệ điều hành từ Windows XP trở về sau đều bị ảnh hưởng bởi lỗi trên, kể cả Windows 7. Tuy nhiên, theo nhà nghiên cứu bảo mật Chester Wisniewski của Sophos thì Windows 2000 và Windows XP SP2 (đều không còn được Microsoft hỗ trợ nữa) cũng nằm trong danh sách các hệ điều hành phải “hứng chịu” lỗi trên.
Theo Sophos, lỗ hổng trên dễ dàng qua mặt các cơ chế bảo mật trong Windows 7, bao gồm cả UAC (User Account Control) và không yêu cầu bất cứ một đặc quyền gì khi thực thi shortcut. Trong một bài viết trên blog của mình, hãng Sophos đã biểu diễn thử nghiệm việc “tiêm” thành công một rootkit lên hệ thống Windows 7 bằng cách khai thác lỗ hổng Windows Shell (xem video bên dưới).
Để ngăn chặn, Microsoft khuyên người dùng nên vô hiệu hóa tất cả các shortcut, đồng thời tắt dịch vụ WebClient. Lời khuyên của Microsoft nghe có vẻ khá “hài hước” bởi nếu vô hiệu shortcut thì làm sao người dùng mở nhanh được ứng dụng, còn tắt dịch vụ WebClient đồng nghĩa với việc bạn phải tạm thời “nghỉ chơi” với Microsoft SharePoint.
Mặc dù vậy, Microsoft từ chối đưa ra một bản vá lỗi ngay lúc này, thay vào đó người dùng phải đợi đến ngày 10/8/2010 mới được cung cấp một bản vá lỗi hoàn chỉnh.
Tóm tắt quá trình khai thác lỗ hổng:
Lần đầu, Sophos tạo một shortcut đặc biệt chứa rootkit và lưu trên ổ cứng di động; khi kết nối ổ cứng di động với máy tính có tính năng AutoPlay mặc định bật, rootkit sẽ tự động lây nhiễm vào máy.
Lần thứ hai, Sophos tạo một shortcut đặc biệt chứa lệnh xóa toàn bộ dữ liệu trên ổ cứng di động; khi kết nối ổ cứng di động với máy có tính năng AutoPlay mặc định tắt, nếu người dùng kích hoạt tự tay shortcut thì toàn bộ dữ liệu trên ổ cứng di động sẽ bị xóa sạch.
(Bạn có thể xemm video clip mô tả vụ việc này tại: http://news.goonline.vn/689-8647/bao...ha-du-lieu.htm (http://news.goonline.vn/689-8647/bao-mat-antivirus/microsoft-lo-hong-windows-shell-tan-pha-du-lieu.htm))
(theo goonline.vn)