HelpSystems, công ty đứng sau nền tảng phần mềm thương mại Cobalt Strike, đã phát hành bản cập nhật bảo mật mới để giải quyết một lỗ hổng thực thi mã từ xa có thể cho phép kẻ tấn công kiểm soát các hệ thống bị nhắm mục tiêu.
Cobalt Strike là một red-team framework chủ yếu được sử dụng để mô phỏng hành vi tấn công, nhưng các phiên bản crack của phần mềm đã bị các đối tượng khai thác ransomware và các nhóm tấn công APT lạm dụng cho mục đích gián điệp mạng.
Cobalt Strike bao gồm một máy chủ kiểm soát (C2) và một beacon là payload mặc định được sử dụng để tạo kết nối với máy chủ C2 và tải xuống các payload [mã độc] cho giai đoạn tấn công tiếp theo.
Lỗ hổng có định danh CVE-2022-42948, ảnh hưởng đến phiên bản Cobalt Strike 4.7.1 và bắt nguồn từ một bản vá chưa hoàn thiện được phát hành vào ngày 20/9/2022 để khắc phục lỗ hổng XSS (CVE-2022-39197) có thể dẫn đến thực thi mã từ xa.
Việc thực thi mã từ xa có thể được kích hoạt bằng cách sử dụng Java Swing framework, một bộ công cụ đồ họa giao diện người dùng được sử dụng để thiết kế Cobalt Strike.
Greg Darwin, giám đốc phát triển phần mềm tại HelpSystems, giải thích rằng “một số thành phần trong Java Swing sẽ tự động chuyển đổi bất kỳ dữ liệu dạng text nào thành dạng HTML nếu nó bắt đầu bằng thẻ”.
Tác nhân độc hại có thể lạm dụng tính năng này bằng cách sử dụng thẻ "HTML objectải lên payload tùy ý được lưu trữ trên máy chủ từ xa và đưa nó vào trường ghi chú (note field) cũng như menu khám phá tệp đồ họa (graphical file explorer menu) trong Cobalt strike UI.
Khai thác có thể được giảm thiểu bằng cách vô hiệu hóa tính năng chuyển đổi tự động các thẻ html trên toàn bộ ứng dụng khách.
IBM lưu ý rằng “đây là một phương thức khai thác nguy hiểm”, có thể được dùng để “xây dựng một payload đa nền tảng với đầy đủ tính năng cho phép thực thi mã trên máy của người dùng chạy bất kỳ hệ điều hành hoặc kiến trúc hệ thống nào".
Các phát hiện được đưa ra hơn một tuần sau khi Bộ Y tế và Dịch vụ Nhân sinh Mỹ (HHS) cảnh báo về việc tin tặc đang lạm dụng các công cụ hợp pháp như Cobalt Strike trong các cuộc tấn công nhằm vào lĩnh vực chăm sóc sức khỏe.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Các cơ quan thực thi pháp luật ở Pháp, phối hợp với Tây Ban Nha và Latvia, đã phá vỡ một vòng vây tội phạm mạng sử dụng một công cụ hack để đánh cắp ô tô mà không cần sử dụng chìa khóa vật lý.
Tín nhiệm mạng | Các tác nhân đe dọa đằng sau Venus Ransomware đang tấn công vào các dịch vụ Remote Desktop có thể truy cập công khai để mã hóa các thiết bị Windows.
Tín nhiệm mạng | Thông tin chi tiết về một lỗ hổng bảo mật trong hệ thống Windows Common Log File (CLFS) đã được các nhà nghiên cứu tiết lộ công khai. Lỗ hổng, hiện đã được vá, có thể bị kẻ tấn công khai thác để leo thang quyền trên các máy bị xâm nhập.
Tín nhiệm mạng | Mới đây, công ty bảo mật ThreatFnai cho biết tin tặc đang sử dụng các chiến thuật lừa đảo bằng giọng nói (vishing) để lừa nạn nhân cài đặt phần mềm Android độc hại trên thiết bị của họ.
Tín nhiệm mạng | Tình trạng gọi điện mạo danh Công ty Điện lực thông báo nợ tiền điện nhằm mục đích lừa đảo khách hàng đang diễn ra ngày càng nhiều. Trong trường hợp nghi ngờ cuộc gọi giả mạo Công ty Điện lực, người dùng chỉ cần truy cập vào Danh bạ tín nhiệm trên https://tinnhiemmang.vn là xác thực được số điện thoại đang liên hệ với mình có phải của các đơn vị thuộc EVN hay không.
Tín nhiệm mạng | Thời gian qua, rất nhiều người dân trên cả nước đã nhận được các cuộc gọi mạo danh cơ quan cảnh sát giao thông để thông báo về việc xử lý phạt nguội vi phạm Luật giao thông.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
