🔥 Sở Lao động - Thương binh và Xã hội tỉnh Quảng Nam đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Hà Tĩnh đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Microsoft vá lỗ hổng Windows zero-day đã bị khai thác trong các cuộc tấn công ransomware

15/03/2023

Microsoft đã vá một lỗ hổng zero-day có định danh CVE-2023-24880, đã bị những kẻ tấn công sử dụng để phá vỡ dịch vụ chống phần mềm độc hại dựa trên cloud Windows SmartScreen và triển khai ransomware Magniber mà không gây ra bất kỳ cảnh báo nào.

Những kẻ tấn công đã sử dụng các tệp MSI độc hại được ký bằng chữ ký Authenticode để khai thác lỗ hổng cho phép vượt qua tính năng bảo mật này.

Mặc dù chữ ký không hợp lệ, nhưng nó vẫn có thể để đánh lừa SmartScreen và ngăn cảnh báo bảo mật Mark-of-the-Web (MotW) bật lên để nhắc người dùng thận trọng khi mở tệp từ Internet.

CVE-2023-24880 bị khai thác trong thực tế đã được Nhóm phân tích mối đe dọa của Google (TAG) phát hiện và báo cáo với Microsoft vào ngày 15 tháng 2.

Google TAG cho biết "đã phát hiện hơn 100.000 lượt tải xuống các tệp MSI độc hại kể từ tháng 1 năm 2023, với hơn 80% là người dùng ở Châu Âu - một điểm khác biệt đáng chú ý so với các mục tiêu thông thường của Magniber, thường tập trung vào Hàn Quốc và Đài Loan".

Magniber, được kế thừa từ ransomware Cerber, đã hoạt động ít nhất từ tháng 10 năm 2017 và được phát tán thông qua các quảng cáo độc hại bằng cách sử dụng công cụ khai thác Magnitude.

Mặc dù ban đầu tập trung nhắm mục tiêu vào Hàn Quốc, nhóm này hiện đã mở rộng phạm vi tấn công sang toàn thế giới, bao gồm Trung Quốc, Đài Loan, Malaysia, Hồng Kông, Singapore và Châu Âu.

Magniber đã hoạt động khá thường xuyên kể từ đầu năm, với hàng trăm mẫu đã được phát hiện và gửi lên nền tảng phân tích ID Ransomware.

Các bản vá chưa hoàn chỉnh

​CVE-2023-24880 là một biến thể của một lỗ hổng bỏ qua (bypass) tính năng bảo mật Windows SmartScreen khác - CVE-2022-44698 cũng bị khai thác dưới dạng zero-day để lây nhiễm mã độc.

Microsoft đã vá lỗ hổng CVE-2022-44698 trong Bản cập nhật bảo mật hằng tháng, Patch Tuesday, tháng 12 năm 2022 sau nhiều tháng bị khai thác và sử dụng để phát tán mã độc Qbot và phần mềm ransomware Magniber.

Các nhóm ransomware khác, bao gồm EgregorProlock, và Black Basta, cũng được biết là đã hợp tác với Qbot để có quyền truy cập vào mạng của tổ chức mục tiêu.

Google TAG giải thích rằng CVE-2023-24880 xảy ra do Microsoft đã phát hành một bản vá chưa hoàn chỉnh cho CVE-2022-44698, bản vá này chỉ khắc phục một khía cạnh thay vì khắc phục nguyên nhân gốc rễ của lỗ hổng.

"Bởi vì nguyên nhân cốt lõi đằng sau việc bỏ qua tính năng bảo mật SmartScreen không được giải quyết, những kẻ tấn công có thể xác định một biến thể khác của lỗ hổng ban đầu".

TAG cho biết "khi khắc phục một vấn đề bảo mật, sẽ có sự cân nhắc giữa một bản vá khẩn trương, cục bộ và một bản vá có khả năng khắc phục nguyên nhân gốc rễ tốt hơn".

Nguồn: bleepingcomputer.com.

scrolltop