Lỗ hổng của ứng dụng FB Messenger cho Windows giúp tin tặc thực thi mã độc trên máy nạn nhân

0
495

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security.

lỗ hổng bảo mật trên Facebook Messenger cho Windows

Các nhà nghiên cứu an ninh mạng tại Reason Labs – bộ phận chuyên nghiên cứu các mối đe dọa thuộc nhà cung cấp giải pháp bảo mật Reason Cybersecurity, hôm nay đã tiết lộ chi tiết về một lỗ hổng bảo mật mà họ phát hiện gần đây trên ứng dụng Facebook Messenger cho hệ điều hành Windows.

Lỗ hổng bảo mật nằm trong Messenger phiên bản 460.16 này có thể cho phép kẻ tấn công lợi dụng ứng dụng nhắn tin này để thực thi các file độc hại đã có sẵn trên hệ thống bị xâm phạm nhằm giúp mã độc có thể duy trì quyền truy cập liên tục và mở rộng phạm vi ảnh hưởng.

Reason Labs đã chia sẻ phát hiện của mình với Facebook vào tháng 4, và ngay sau đó, “gã khổng lồ công nghệ” này đã nhanh chóng vá lỗ hổng bằng việc phát hành phiên bản cập nhật Facebook Messenger cho người dùng Windows thông qua Microsoft store.

Facebook Messenger

Theo các nhà nghiên cứu, ứng dụng bị xâm phạm đã kích hoạt một lệnh gọi để tải Windows Powershell từ đường dẫn C:\python27. Đường dẫn này thường được tạo khi máy tính cài đặt Python version 2.7 và không tồn tại trong hầu hết các cài đặt của hệ điều hành Windows.

Kẻ tấn công có thể chiếm quyền điều khiển các lệnh gọi như vậy nhằm tải các tài nguyên không tồn tại có tiềm năng và lén lút cấy mã độc trên đó. Hơn nữa, vì thư mục bị nhắm mục tiêu được đặt ở vị trí bảo mật thấp, các chương trình độc hại có thể truy cập vào đường dẫn mà không cần có đặc quyền của quản trị viên hệ thống.

Để kiểm tra xem lỗ hổng này có thể bị khai thác hay không, nhóm nghiên cứu đã tạo ra một reverse shell được ngụy trang thành Powershell.exe và tiến hành triển khai nó trên thư mục Python. Sau đó, họ cho chạy ứng dụng Messenger đã được kích hoạt lệnh gọi và thực hiện thành công reverse shell, vậy nên, kết quả này cho thấy những kẻ tấn công hoàn toàn có thể khai thác lỗ hổng bảo mật và thực hiện các cuộc tấn công dai dẳng trong tương lai.

Thông thường, những kẻ tấn công sử dụng phương pháp bền bỉ (persistence methods) thường dựa vào các registry key, tác vụ theo lịch trình, và các dịch vụ để duy trì quyền truy cập liên tục vào hệ thống. Tuy nhiên, loại lỗ hổng đặc biệt này được đánh giá là phức tạp và tốn nhiều công sức hơn để có thể khai thác.

Kẻ tấn công cần phải quan sát để phát hiện xem liệu ứng dụng có đang thực hiện một lệnh gọi không mong muốn hay không hoặc chúng phải đi sâu vào xem xét mã nhị phân của ứng dụng để tìm được một chức năng có thể thực hiện một lệnh gọi như vậy.

Facebook Messenger

Lỗ hổng này đã được khắc phục trong phiên bản 480.5 – là bản phát hành mới nhất mà phòng nghiên cứu Reason Lab đã thử nghiệm. Người dùng đang sử dụng phiên bản ứng dụng cũ chứa lỗi bảo mật này được khuyến cáo nên nhanh chóng cập nhật lên phiên bản mới nhất để tránh những rủi ro không đáng có.

Mặc dù không có dấu hiệu nào cho thấy lỗ hổng đã bị khai thác trước khi phát hiện của Reason được công bố, nhưng những lỗ hổng bảo mật như vậy vẫn tiềm ẩn những nguy cơ và rủi ro rất lớn.

Bởi lẽ những kẻ tấn công an ninh mạng hoàn toàn có thể sử dụng những lỗ hổng tương tự để duy trì quyền truy cập vào các thiết bị trong một thời gian dài. Và việc truy cập liên tục như vậy có thể cho phép chúng thực hiện các thủ đoạn nguy hại khác, chẳng hạn như cấy mã độc tống tiền ransomware hay trích xuất, đánh cắp dữ liệu và gây ra rò rỉ thông tin.

Các nhóm tin tặc cũng thường sử dụng các phương pháp bền bỉ (persistent methods) để thực hiện các vụ hack chuyên biệt nhắm vào các tổ chức tài chính, văn phòng chính phủ, và các cơ sở công nghiệp khác.

Ngoài ra, lỗi bảo mật này có thể sẽ gây ra hậu quả nghiêm trọng hơn rất nhiều nếu nó bị khai thác bởi những kẻ tấn công với ý đồ xấu. Facebook Messenger có đến 1,3 tỷ người dùng hoạt động thường xuyên mỗi tháng. Mặc dù, con số này đã bao gồm tất cả người dùng sử dụng ứng dụng trên mọi loại thiết bị khác nhau, tuy nhiên, vẫn có rất nhiều người dùng trong số đó, truy cập ứng dụng này thông qua hệ điều hành Windows có trên máy tính của họ.

Vấn đề này càng trở nên đáng lo ngại hơn khi các ứng dụng tin nhắn đều đang ghi nhận lượng truy cập tăng lên đáng kể từ khi đại dịch coronavirus bắt đầu bùng phát. Do bị hạn chế đi lại, cùng với các thông báo đóng cửa, và buộc phải làm việc tại nhà, người dùng phụ thuộc rất nhiều vào các ứng dụng nhắn tin và công cụ hội nghị trực tuyến để liên lạc và hợp tác làm việc.

Messenger của Facebook là một trong những ứng dụng được sử dụng phổ biến nhất hiện nay. Vào tháng 3, Facebook đã ghi nhận mức tăng trưởng lên đến 50% cho chức năng nhắn tin và 1.000 phần trăm tăng trưởng cho thời gian trong các cuộc gọi nhóm có sự tham gia của từ ba thành viên trở lên.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây