Rò rỉ công cụ tấn công Windows của NSA – Khai thác lỗi MS17-010

xpdamage

Những kẻ lừa đảo trực tuyến và tội phạm trực tuyến trên thế giới đã bắt đầu khai thác các công cụ hacker của NSA bị rò rỉ vào cuối tuần trước để tấn công hàng trăm ngàn máy tính Windows bảo mật yếu trên Internet.

Tuần trước, nhóm hacker bí ẩn được biết đến với tên Shadow Brokers đã tiết lộ một loạt các công cụ hacking của Windows nhắm đến Windows XP, Windows Server 2003, Windows 7 và 8, và Windows 2012, được cho là thuộc nhóm Equation Group của NSA.

Microsoft nhanh chóng giảm nhẹ rủi ro về an ninh bằng cách phát hành các bản vá lỗi cho tất cả các lỗ hổng khai thác nhưng vẫn có những rủi ro trong thực tế với các hệ thống không được hỗ trợ cũng như với những người chưa cài đặt các bản vá lỗi.

Nhiều nhà nghiên cứu bảo mật đã thực hiện việc quét Internet trên diện rộng trong vài ngày vừa qua và phát hiện hàng chục nghìn máy tính Windows trên toàn thế giới bị nhiễm DoublePulsar, một loại mã độc  được cấy ghép như là công cụ  gián điệp nghi ngờ của NSA, kết quả từ một công cụ miễn phí được phát hành trên GitHub cho bất cứ ai cũng có thể sử dụng.

Các nhà nghiên cứu an ninh của công ty bảo mật Binary Edge của Thụy Sĩ đã tiến hành quét Internet và phát hiện hơn 107.000 máy tính Windows bị nhiễm DoublePulsar.

Một bản quét khác do Errata Security CEO Rob Graham phát hiện đã phát hiện 41.000 máy bị nhiễm, trong khi một số khác của các nhà nghiên cứu từ Below0day phát hiện hơn 30.000 máy bị nhiễm, phần lớn trong số đó nằm ở Hoa Kỳ.
DoublePulsar là một backdoor được sử dụng để tiêm và chạy mã độc hại trên các hệ thống đã bị nhiễm và được cài đặt bằng khai thác EternalBlue nhằm vào các dịch vụ chia sẻ file SMB trên Windows XP của Microsoft cho đến Server 2008 R2.

Do đó, một máy tính có thể bị tấn công, là nó phải chạy một phiên bản Windows OS dễ bị tổn thương với một dịch vụ chia sẻ dữ liệu phổ biến của Windows (SMB), dịch vụ này được mở ra phổ biến trên Internet.

Sau khi cài đặt, DoublePulsar đã sử dụng các máy tính bị tấn công để tấn công các phần mềm độc hại, spam người dùng trực tuyến và khởi động các cuộc tấn công không gian mạng mạnh hơn nữa lên các nạn nhân khác. Để lén lút, backdoor không ghi bất kỳ tệp tin nào vào máy tính cá nhân mà nó lây nhiễm, ngăn không cho nó tiếp tục tồn tại sau khi một máy tính bị nhiễm đã được khởi động lại.

Mặc dù Microsoft đã vá lỗi phần lớn các lỗ hổng khai thác trong các hệ điều hành Windows bị ảnh hưởng nhưng những người không vá lại dễ bị khai thác như EternalBlue, EternalChampion, EternalSynergy, EternalRomance, EmeraldThread và EducatedScholar.

Hơn nữa, các hệ thống vẫn đang sử dụng các nền tảng cuối cùng của vòng đời sản phẩm như Windows XP, Windows Server 2003 và IIS 6.0, không còn nhận được các cập nhật bảo mật, cũng rất dễ bị khai thác.

Sau khi thông tin này được đưa ra, các lãnh đạo của Microsoft đã phát đi một tuyên bố nói rằng: “Chúng tôi nghi ngờ tính chính xác của các báo cáo và đang điều tra.”

Trong khi đó, những người dùng Windows chưa áp dụng MS17-010 nên được khuyên nên tải về và triển khai các bản vá lỗi càng sớm càng tốt.
Swati – Tin tức Hacking