Chuyên mục
Lỗ Hổng Bảo Mật

Google ra mắt Backstory – Công cụ bảo mật mạng mới dành cho doanh nghiệp

Hôm nay, liên minh an ninh mạng của Google, Chronicle đã công bố sản phẩm thương mại đầu tiên của mình, được gọi là Backstory, một nền tảng phân tích mối đe dọa cấp doanh nghiệp dựa trên đám mây được thiết kế để giúp các công ty nhanh chóng điều tra các sự cố, xác định lỗ hổng và tìm kiếm các mối đe dọa tiềm ẩn.

Google ra mắt Backstory - Công cụ bảo mật mạng mới dành cho doanh nghiệp - CyberSec365.org
Google ra mắt Backstory – Công cụ bảo mật mạng mới dành cho doanh nghiệp 

Theo đó, cơ sở hạ tầng mạng tại hầu hết các doanh nghiệp luôn tạo ra một lượng lớn dữ liệu và nhật ký hàng ngày và rất khó để có thể tìm ra chính xác những gì đã diễn ra khi xảy ra sự cố bảo mật.

Tuy nhiên, hầu hết các công ty đều không thể thu thập từ xa các dữ liệu này, hoặc ngay cả khi họ thực hiện, họ cũng không thể giữ lại những dữ liệu đó trong hơn một hoặc hai tuần, khiến các nhà phân tích không thể đưa ra phán đoán nếu có sự cố bảo mật xảy ra trước đó.
Backstory giải quyết vấn đề này bằng cách cho phép các tổ chức tải lên và lưu trữ “dữ liệu bảo mật nội bộ từ xa” của họ trên nền tảng đám mây của Google và tận dụng các công nghệ phân tích dữ liệu và máy học để theo dõi và phân tích hiệu quả nhằm phát hiện và điều tra bất kỳ mối đe dọa tiềm tàng nào từ bảng điều khiển hợp nhất.

“Backstory normalizes, indexes, and correlates the data, against itself and against third party and curated threat signals, to provide instant analysis and context regarding risky activity,” Alphabet subsidiary Chronicle said in a blog post.
“With Backstory, our analyst would know, in less than a second, every device in the company that communicated with any of these domains or IP addresses, ever.”

Cũng giống như các giải pháp SIEM, Backstory chuyển đổi dữ liệu logs, chẳng hạn như lưu lượng DNS, NetFlow, nhật ký điểm đầu cuối, nhật ký proxy thành thông tin có ý nghĩa, có thể tìm kiếm và hành động để giúp các công ty hiểu rõ hơn về các mối đe dọa và tấn công mạng, ở quy mô để cung cấp một bức tranh đầy đủ hơn về cảnh quan đe dọa.

Google ra mắt Backstory - Công cụ bảo mật mạng mới dành cho doanh nghiệp - CyberSec365.org
Google ra mắt Backstory – Công cụ bảo mật mạng mới dành cho doanh nghiệp – CyberSec365.org

Backstory cũng so sánh dữ liệu với các dấu hiệu được đánh giá là “mối đe dọa tình báo” được thu thập từ nhiều đối tác của Alphabet bao gồm VirusTotal, Avast, Proofpoint và Carbon Black.

Microsoft gần đây cũng đã công bố các dịch vụ phân tích bảo mật tương tự, được gọi là Threat Hunter và Azure Sentinel, được Microsoft gọi là “native SIEM trên nền tảng đám mây ” để giúp các công ty phát hiện, ngăn chặn và đối phó với các mối đe dọa mạng của họ.
Splunk, một công ty cung cấp một sản phẩm tương tự, đã chứng kiến cổ phiếu của mình giảm 5% tại thời điểm đóng cửa vào thứ Hai sau thông báo về dịch vụ Backstory.

Nguồn: The Hacker News
Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress

Các nhà nghiên cứu bảo mật khuyến cáo quản trị viên nên cập nhật website WordPress của mình lên phiên bản WordPress V5.1.1 mới nhất trước khi tin tặc có thể lợi dụng để chiếm quyền điều khiển hệ thống.

[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress - CyberSec365.org
[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress – CyberSec365.org
Theo Simon Scannell – một nhà nghiên cứu bảo mật tại RIPS Technologies GmbH, người trước đây đã báo cáo nhiều lỗ hổng nghiêm trọng trong WordPress, một lần nữa phát hiện ra một lỗ hổng mới trong phần mềm quản lý nội dung (CMS) có khả năng dẫn đến các cuộc tấn công thực thi mã từ xa.
Lỗ hổng xuất phát từ vấn đề giả mạo cross-site request forgery (CSRF) trong phần bình luận của WordPress, một trong những thành phần cốt lõi của nó được bật theo mặc định và ảnh hưởng đến tất cả các cài đặt WordPress trước phiên bản 5.1.1.
Không giống như hầu hết các cuộc tấn công trước đây được ghi nhận chống lại WordPress, khai thác mới này cho phép ngay cả một “kẻ tấn công từ xa, không được xác thực” thỏa hiệp và có được sự thực thi mã từ xa trên các trang web WordPress chứa lỗ hổng.

 “Considering that comments are a core feature of blogs and are enabled by default, the vulnerability affected millions of sites,” Scannell says.

Scannell cũng cung cấp các giai đoạn tấn công bao gồm: 
  • WordPress doesn’t use CSRF validation when a user posts a new comment, allowing attackers to post comments on behalf of an administrator.
  • Comments posted by an administrator account are not sanitization and can include arbitrary HTML tags, even SCRIPT tags.
  • WordPress frontend is not protected by the X-Frame-Options header, allowing attackers to open targeted WordPress site in a hidden iFrame from an attacker-controlled website.
[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress - CyberSec365.org
[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress – CyberSec365.org

 Theo nhà nghiên cứu, kẻ tấn công thậm chí có thể kiểm soát hoàn toàn các trang web WordPress từ xa bằng cách chèn một tải trọng XSS có thể sửa đổi trực tiếp WordPress template và chèn vào một cửa hậu PHP độc hại.
Sau khi Scannell báo cáo lỗ hổng này trở lại vào tháng 10 năm ngoái, nhóm WordPress cố gắng giảm thiểu vấn đề bằng cách giới thiệu một thông báo bổ sung cho quản trị viên trong biểu mẫu nhận xét.
Đến 13/3/2019,  WordPress 5.1.1 chính thức được phát hành với bản vá lỗi cho lỗ hổng nói trên.

Nguồn: The Hacker News
Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi

Các nhà nghiên cứu bảo mật đến từ nhóm XDA Developers đã phát hiện một lỗ hổng bảo mật nghiêm trọng trong các thiết bị Android TV. Lỗ hổng này có khả năng làm rò rỉ các hình ảnh lưu trong Google Photos của người dùng.

[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi - CyberSec365.org
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi – 
Cụ thể, một người dùng có đến từ Ấn Độ có biệt danh là Prashanth đã phát hiện ra lỗ hổng này là chia sẻ trong một Tweet của mình.
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi - CyberSec365.org
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi – CyberSec365.org
Sau đó, anh cũng chia sẻ thểm rằng anh ta có thể xem các hình ảnh riêng tư được lưu trong Google Photos của người khác. Chính xác hơn, anh có thể thấy được danh sách người dùng liên kết xuất hiện bên dưới tab cài đặt
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi - CyberSec365.org
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi – CyberSec365.org
Khi phát hiện ra lỗ hổng, Prashanth đang sử dụng thiết bị Android TV của VU. Tuy nhiên, sau khi chia sẻ thông tin về lỗ hổng này, một số người dùng khác cho biết các thiết bị Android TV của IFFALCO cũng xuất hiện lỗ hổng bảo mật tương tự. Nguy hiểm hơn, người dùng cón có thể xem ảnh người khác trong chế độ Ambient Mode – chế độ giúp chiếc Smart Tivi của bạn có thể tái hiện không gian phía sau bức tường.
Theo báo cáo của XDA Developers và được VU Televisions xác nhận, bản chất lỗ hổng này nằm ở ứng dụng Google Home của Google. Do đó, lỗ hổng này cũng có thể làm ảnh hưởng đến các dòng ti vi khác.

“Vu Televisions were recently informed about a malfunction of the Google Home App in an Android TV. After verifying the incident Vu Televisions informed Google who has confirmed it was a software malfunction of the Google Home App”

Phản hồi của Google Google

Google gần như ngay lập tức đã có phản hồi về các vấn đề trên. Ở giai đoạn đầu, Google đã đưa ra rất nhiều giải pháp để khắc phục. Cuối cùng, Google cũng phải vô hiệu hoá tạm thời ứng dụng Google Photos cho Android TV như một biện pháp khắc phục ngay tạm thời.
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi - CyberSec365.org
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi – CyberSec365.org
Đến thời điểm viết bài, Google vẫn đang làm việc để có thể phát hành bản vá lỗi sớm nhất
Nguồn: Latest Hacking News
Chuyên mục
Lỗ Hổng Bảo Mật

5 cách đơn giản phát hiện camera quay trộm trong nhà nghỉ, khách sạn

Cách đơn giản nhất để phát hiện camera bị giấu kín trong phòng nhà nghỉ, khách sạn hoặc trong nhà bạn là gì? Làm thế nào để phát hiện camera bị giấu sau gương?

Sau đây là những cách đơn giản để phát hiện camera quay lén mà bạn có thể áp dụng ngay!
1. Dùng mắt và tai rà soát kỹ khắp phòng để phát hiện camera quay trộm
Làm thế nào để phát hiện camera được giấu trong phòng, nhà tắm, phòng thay đồ? Cách đơn giản nhất là kiểm tra xung quanh cẩn thận, quan sát kỹ sẽ giúp bạn phát hiện camera ở những khu vực hay được dùng để che giấu chúng.
Dưới đây là những thiết bị dễ bị gắn camera quay trộm:
Máy báo cháy
Thiết bị lọc không khí
Sách
Các vật trang trí treo tường
Ổ điện
Chậu cây nhỏ trên bàn
Hộp khăn giấy
Thú nhồi bông
Gối ôm trên sô-pha, bàn, giá
Đừng coi thường không gian ngoài cửa. Cây xanh hay những chiếc lỗ trên cửa,… có thể chính là điểm ngắm của những kẻ thích rình mò.
Một số đồ vật sẽ để lộ những dây điện, ánh đèn, thấu kính,… là những dấu hiệu khả nghi của camera quay trộm. Nếu bạn phát hiện những ổ điện hay cục sạc bất thường, hãy rút phích cắm ngay lập tức.
Trong khi đi quanh phòng hãy nghe ngóng, nhiều camera quay trộm sẽ có âm thanh rè rè rất nhỏ khi đang hoạt động, nhưng nếu bạn chú ý thì có thể sẽ nghe thấy.
2. Tắt hết đèn trong phòng để phát hiện camera quay trộm
Bạn có thể tắt hết đèn điện để kiểm tra xem có camera quay trộm trong bóng tối bị giấu trong phòng hay không. Ngày nay hầu hết các thiết bị camera sẽ có đèn LED đỏ hoặc xanh.
Đèn LED sẽ nhấp nháy hoặc sáng khi ở trong điều kiện thiếu ánh sáng.
Chất lượng phim của camera hồng ngoại quay hình trong đêm tối
3. Dùng điện thoại iPhone/Android để định vị camera quay trộm
Cách dễ nhất để kiểm tra camera quay trộm trong phòng bằng điện thoại là gọi một cuộc điện thoại.
Camera giấu kín thường phát ra một loại sóng đặc biệt làm nhiễu tín hiệu điện thoại.
Hãy gọi điện thoại cho bạn bè và đi quanh phòng. Nếu bạn nhận thấy dấu hiệu nhiễu sóng ở một vị trí, khu vực nào đó, bạn có thể dừng lại và kiểm tra kĩ lưỡng để xem liệu có camera bị giấu ở đó hay không.
Bạn có thể sử dụng một ứng dụng miễn phí phát hiện camera quay lén ngay trên điện thoại iPhone hay Android để phát hiện camera trong nhà nghỉ, khách sạn,…
Ví dụ ứng dụng ‘Spy hidden camera detector’ là một ứng dụng khá tốt mà bạn có thể thử dùng.
4. Dùng máy dò phát hiện camera quay lén chuyên dụng
Bạn có thể mua một chiếc máy phát hiện camera quay lén chuyên dụng để kiểm tra camera giấu trong nhà vệ sinh, nơi làm việc, văn phòng, khách sạn, nhà nghỉ,…
Thiết bị này rất dễ cầm theo và dễ sử dụng. Chỉ cần mở nó lên và quét khắp phòng để phát hiện camera quay trộm.
Tuy nhiên điểm yếu của các thiết bị này là được sản xuất chỉ có thể phát hiện một loại tần số nhất định. Nếu camera dùng nhiều tần số thay đổi liên tục thì có thể thiết bị sẽ không phát hiện được.
Tin tốt là những kẻ quay lén thường không lắp đặt những loại camera như thế đâu, vì chúng đắt hơn rất nhiều lần.
Những thiết bị dò tìm camera này nhỏ gọn, giá tầm 2 – 5 triệu đồng
5. Kiểm tra các tấm gương để phát hiện camera quay trộm
Bạn có biết nhiều kẻ xấu thường lắp đặt camera ở mặt sau các tấm gương hai chiều, mà một chiều có thể nhìn xuyên qua, chiều còn lại chỉ như một tấm gương bình thường.
Biện pháp đơn giản để phát hiện gương 2 chiều là đặt tay lên gương. Nếu thấy ngón tay và ảnh có khoảng cách thì đó là gương bình thường, nếu không có khoảng cách thì là gương 2 chiều
Hãy sử dụng các mẹo và kỹ năng trên để phát hiện camera bị giấu trong phòng, nhà nghỉ, khách sạn để đảm bảo riêng tư của bản thân.
Làm gì khi phát hiện camera quay trộm?
Tốt nhất là không động đến thiết bị đó và báo với cơ quan chức năng để xử lý. Cảnh sát sẽ vào cuộc và nhanh chóng tìm kiếm phát hiện kẻ nhìn trộm nhanh chóng và hiệu quả.
Chuyên mục
Lỗ Hổng Bảo Mật

Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal.

Các nỗ lực khai thác lỗ hổng nghiêm trọng được phát hiện trong phần mềm quản lý nội dung (CMS) Drupal vào ngày 20 tháng 2 đã bị Cloudfare chặn bằng cách sử dụng các rules Tường lửa ứng dụng Web (WAF) được thiết kế để bảo vệ trang web của khách hàng khỏi bị xâm phạm.

Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal - CyberSec365.org
Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal – CyberSec365.org
Theo tư vấn bảo mật của nhóm dự án Drupal, các trang web bị ảnh hưởng bởi lỗ hổng có mã hiệu là CVE-2019-6340 là những trang web đã bật mô-đun RESTful Web Services (rest) của Drupal và cũng cho phép các yêu cầu PATCH hoặc POST.
Để tránh phải yêu cầu mỗi khách hàng của họ cập nhật cài đặt sau khi phiên bản vá được Drupal phát hành cùng ngày, Cloudfare “đã xác định loại lỗ hổng” trong vòng 15 phút họ “có thể triển khai các quy tắc để chặn khai thác tốt trước khi bất kỳ cuộc tấn công nào nhắm vào lỗ hổng này. “

Cuộc tấn công đầu tiên vào lỗ hổng này xuất hiện chỉ 48 giờ sau khi lỗ hổng bị tiết lộ

Sau khi phân tích sâu bản vá của Drupal, nhóm bảo mật của công ty đã phát hiện ra rằng việc khai thác tiềm năng sẽ dựa trên quá trình deserialization có thể bị lạm dụng với sự trợ giúp của maliciously crafted serialized Object.
Điều tồi tệ nhất là những kẻ tấn công có thể khai thác lỗ hổng CVE-2019-6340 mà không cần bất kỳ yêu cầu xác thực nào, cho phép tất cả dữ liệu trên hệ thống được sửa đổi hoặc xóa.
Sau nhiều lần điều chỉnh, Cloudfare cuối cùng đã triển khai quy tắc WAF mà họ đặt tên là D0020, rất hiệu quả trong việc tự động chặn những kẻ tấn công đang cố gắng khai thác lỗ hổng cực kỳ nghiêm trọng có trong các bản cài đặt Drupal chưa được vá.
Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal - CyberSec365.org

Theo nhóm bảo mật của Cloudflare, lúc đầu, các tác nhân đe dọa chỉ thăm dò các phiên bản Drupal  bằng cách gọi từ xa các lệnh như phpinfo và thực hiện tải trọng thử nghiệm, các cuộc tấn công đã sớm cố gắng giảm tải trọng cửa sau được thiết kế để giúp kẻ gian duy trì quyền truy cập của họ ngay cả khi máy chủ đã đã được vá sau này.

Nguồn: Bleeping Computer
Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215

Các cuộc tấn công bắt đầu hai ngày sau khi Cisco phát hành bản vá, một ngày sau khi các nhà nghiên cứu công bố mã khai thác demo.

[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 - CyberSec365.org
[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 – CyberSec365.org
Chỉ 2 ngày sau khi Cisco chính thức phát hành bản vá cho lỗ hổng nghiêm trọng trong các thiết bị định tuyến của mình, và chỉ 1 ngày sau khi các nhà nghiên cứu công bố bằng chứng khai thác, các tin tặc đã tiến hành các cuộc tấn công rà quét và khai thác các lỗ hổng nói trên nhằm chiếm quyền các thiết bị chưa kịp cập nhật.
Lỗ hổng, có mã hiệu là CVE-2019-1663, đáng chú ý khi nó được phát hành vào ngày 27/2/2019 với mức độ đánh giá lỗ hổng là “rất nghiêm trọng” và điểm đánh giá là 9,8/10.
Cụ thể, lỗ hổng này được đánh giá là “rất nghiêm trọng” bởi nó rất dễ để khai thác và gần như không đòi hỏi kẻ tấn công phải có những kỹ năng phức tạp. Lỗ hổng này hoàn toàn bỏ qua các phương thức xác thực và các bộ định tuyến của Cisco sẽ dễ dàng bị tấn công từ xa qua Internet mà không cần kẻ tấn công phải tiếp cận với thiết bị.
Các thiết bị bị ảnh hưởng bởi lỗ hổng này bao gồm Cisco RV110, RV130, và RV215, cùng tất cả các thiết bị WiFi được triển khai trong các doanh nghiệp nhỏ và hộ gia đình.
Điều này có nghĩa là chủ sở hữu của các thiết bị này sẽ không chú ý đến các cảnh báo bảo mật của Cisco và hầu hết các bộ định tuyến này sẽ vẫn chưa được cập nhật – giống như trong các môi trường doanh nghiệp lớn nơi nhân viên CNTT đã triển khai các bản sửa lỗi của Cisco.
Theo báo cáo của hãng bảo mật Rapid7, có hơn 12.000 thiết bị này có sẵn trực tuyến, với phần lớn nằm ở Mỹ, Canada, Ấn Độ, Argentina, Ba Lan và Romania.
Tất cả các thiết bị này hiện đang bị tấn công, theo công ty bảo mật mạng Bad Packets, báo cáo phát hiện vào ngày 1 tháng 3.
[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 - CyberSec365.org
[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 – CyberSec365.org
Bên cạnh đó, hãng này cũng cho biết có thể tin tặc đã sử dụng công cụ khai thác được công bố trước đó một ngày bởi Pen Test Partners, một công ty bảo mật mạng có trụ sở tại Anh. Trong công bố này, Pen Test Partners cho biết cho nguyên nhân chính của CVE-2019-1663 là các lập trình viên của Cisco đang sử dụng chức năng không an toàn của ngôn ngữ lập trình C – có tên là strcpy (sao chép chuỗi).
Bài đăng trên blog của công ty bao gồm một lời giải thích về cách sử dụng chức năng lập trình C này để lại cơ chế xác thực của các bộ định tuyến Cisco RV110, RV130 và RV215 mở cho bộ đệm tràn cho phép kẻ tấn công tràn vào trường mật khẩu và đính kèm các lệnh độc hại được thực thi với quản trị viên quyền trong quá trình xác thực.
Những kẻ tấn công đọc bài đăng trên blog dường như đang sử dụng ví dụ được cung cấp trong bài viết Pen Test Partners để chiếm lấy các thiết bị dễ bị tấn công.
Bất kỳ chủ sở hữu của các thiết bị này sẽ cần phải áp dụng các bản cập nhật càng sớm càng tốt. Nếu họ tin rằng bộ định tuyến của họ đã bị xâm phạm, nên khởi động lại phần sụn của thiết bị
Chuyên mục
Lỗ Hổng Bảo Mật

Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core

Phát biểu tại một hội nghị hôm nay, Dor Azouri – một nhà nghiên cứu bảo mật đến từ hãng bảo mật SafeBreach, đã tiết lộ một khai thác mới tác động đến hệ điều hành Windows IoT Core, cho phép các tin tặc đe dọa toàn quyền kiểm soát các thiết bị dễ bị tấn công.

Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core - CyberSec365.org
Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core – CyberSec365.org
Azouri cho biết lỗ hổng này chỉ ảnh hưởng đến Windows IoT Core, phiên bản HĐH Windows IoT dành cho các thiết bị thông minh. Phiên bản này thường chỉ chạy 1 ứng dụng duy nhất, chẳng hạn như thiết bị thông minh, bảng điều khiển, thiết bị cá nhân và các thiết bị khác.
Lỗ hổng này không ảnh hưởng đến Windows IoT Enterprise, phiên bản cao cấp hơn của hệ điều hành Windows IoT, phiên bản hỗ trợ cho chức năng của máy tính để bàn và có khả năng được tìm thấy triển khai trong robot công nghiệp, dây chuyền sản xuất và công nghiệp khác môi trường.
Azouri cho biết vấn đề bảo mật mà anh ta phát hiện cho phép kẻ tấn công thực thi mã lệnh tuỳ ý với các đặc quyền “SYSTEM ” trên các thiết bị Windows IoT Core.

“This exploit works on cable-connected Windows IoT Core devices, running Microsoft’s official stock image,” 

“Phương pháp được mô tả trong bài viết này khai thác dịch vụ “Sirep Test Service” được tích hợp và chạy trên các phiên bản chính thức được cung cấp tại trang web của Microsoft”, Azouri cho biết. “Dịch vụ này là phần client của thiết lập HLK mà quản trị viên có thể xây dựng để thực hiện kiểm tra trình điều khiển / phần cứng trên các thiết bị IoT. Nó sử dụng giao thức Sirep / WPCon.”

Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core - CyberSec365.org
Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core – CyberSec365.org

Theo Azouri, với lỗ hổng này, kẻ tấn công có thể kiểm soát hoàn toàn các thiết bị IoT sử dụng hệ điều hành Windows IoT của Microsoft. Trong các thử nghiệm của mình, Azouri đã phát hiện một mã độc truy cập từ xa (RAT) được đặt tên là SirepRAT, sẽ được công bố trên GitHub trong thời gian tới.
Được biết, hệ điều hành Windows IoT là hệ điều hành miễn phí thuộc dự án Windows Embedded. Hệ điều hành này có thị phần lớn thứ 2 trong thị trường thiết bị IoT, với 22,9% thị phần. Đứng trước nó là Linux với 71,8 thị phần. Hiện tại, Microsoft vẫn chưa đưa ra bất kỳ bình luận nào về vấn đề này

Chuyên mục
Lỗ Hổng Bảo Mật

Android chính thức đạt được chứng nhận FIDO2 – hỗ trợ đăng nhập an toàn mà không cần mật khẩu

Tất cả các thiết bị Android đang chạy từ Android 7.0 Nougat trở lên và được cập nhật phiên bản Google Play Services mới được phát hành ngày 25/2/2019 đều chính thức nhận được chứng nhận FIDO2.

Android chính thức đạt được chứng nhận FIDO2 - hỗ trợ đăng nhập an toàn mà không cần mật khẩu - Cybersec365.org
Android chính thức đạt được chứng nhận FIDO2 – hỗ trợ đăng nhập an toàn mà không cần mật khẩu – Cybersec365.org

Cụ thể, với chứng nhận này, người dùng có thể sử dụng cảm biến vân tay tích hợp sẵn trong các thiết bị Android để đăng nhập vào các ứng dụng hoặc website có hỗ trợ giao thức FIDO2 mà không cần sử dụng mật khẩu.
Theo phát biểu của Google và Liên minh Xác thực (FIDO Alliance), giao thức FIDO2 (Fast Identity Online) cung cấp giải pháp xác thực không cần mật khẩu dựa trên tiêu chuẩn khóa mã công khai, sử dụng phần cứng trong các thiết bị như khoá bảo mật để xác thực.

Android chính thức đạt được chứng nhận FIDO2 - hỗ trợ đăng nhập an toàn mà không cần mật khẩu - Cybersec365.org
Android chính thức đạt được chứng nhận FIDO2 – hỗ trợ đăng nhập an toàn mà không cần mật khẩu – Cybersec365.org

Được biết, giao thức FIDO2 được kết hợp từ giao thức API WebAuthn của W3C cho phép các nhà phát triển tích hợp xác thực FIDO vào các trình duyệt web và Client FIDO to Authenticator Protocol (CTAP) cho phép người dùng đăng nhập mà không cần mật khẩu.
Chứng nhận FIDO2 hoạt động tốt trên các thiết bị Mac OS X, Windows, Linux, Chrome OS và được hỗ trợ tốt bởi tất cả các trình duyệt web chính bao gồm Google Chrome, Microsoft Edge, Mozilla Firefox và Apple Safari.

Nguồn: The Hacker News
Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng trên LinkedIn

Ngày 21/2/2019, các nhà nghiên cứu bảo mật thuộc hãng bảo mật Proofpoint cho biết họ đã phát hiện một chiến dịch phát tán mã độc, giả dạng các nhà tuyển dụng để phát tán cửa hậu (backdoor) có tên gọi More_eggs, nhắm mục tiêu vào những người đang tìm việc.

Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng – Cybersec365.org
Theo đó, chiến dịch tấn công này được thực hiện trong một khoảng thời gian dài. Kẻ tấn công tạo các tài khoản tuyển dụng trên LinkedIn và tiến hành kết bạn, nhắn tin trực tiếp với nạn nhân để làm quen và sau đó gởi các liên kết, email chứa mã độc đến nạn nhân 
Cụ thể, các nhà nghiên cứu tại Proofpoint cho biết chiến dịch này đã được theo dõi từ giữa năm 2018. Kẻ tấn công cố gắng thiết lập một mối quan hệ thân thiết với các nạn nhân được chọn thông qua LinkedIn. Trong các thông tin liên hệ, kẻ tấn công sử dụng các thông tin cho biết mình đến từ bộ phận nhân sự của một công ty với lời mời hợp tác làm việc.
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng – Cybersec365.org
Trong vòng 1 tuần kể từ khi kết bạn, kẻ tấn công sẽ tiếp tục gởi các thông tin hối thúc nạn nhân để nhắc nhở về những kết nối và lời đề nghị của mình. Cách trình bày của kẻ tấn công rất chuyên nghiệp với tiêu đề, nội dung và đường link ẩn để dẫn dụ nạn nhân nhấp vào xem thông tin
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng – Cybersec365.org
Thông thường, kẻ tấn công sẽ dùng các đường link ẩn, giả mạo các công ty quản lý nhân sự để lấy sự tin tưởng của nạn nhân. Sau khi truy cập, các website này sẽ từ động tải xuống một tập tin Office chứa các macro độc hại. Nếu người dùng kích hoạt macro, mã độc More_eggs sẽ tự động đươcụ tải xuống. Trong trường hợp người dùng không sử dụng macro, trình tải xuống JScript sẽ tiến hành tải mã độc này xuống máy nạn nhân.
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng – Cybersec365.org
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng - Cybersec365.org
Phát hiện chiến dịch phát tán mã độc giả mạo nhà tuyển dụng – Cybersec365.org
Trong quá trình theo dõi, các nhà nghiên cứu nhận ra rằng chiến dịch này sử dụng rất nhiều phương thức phát tán mã độc bao gồm:
  • Sử dụng URL dẫn để một website và tự động tải xuống tập tin Office chứa mã Macro  hoặc sử dụng mã JScrip trung gian.
  • Sử dụng trình rút gọn URL chuyển hướng đến cùng một trang đích
  • Đính kèm tệp Office chứa URL độc hại và gởi qua Email
  • Phát tán tệp Office được đặt mật khẩu đính kèm với mã Macro
Tuy nhiên, tất cả các phương thức đều nhằm phát tán mã độc More_egss.
Nguồn: Proofpoint
Chuyên mục
Lỗ Hổng Bảo Mật

Windows 10 Build 18343 phát hành cho người dùng tham gia Insider Program, hỗ trợ Windows Sandbox

Windows 10 19H1 Build 18343 đã chính thức được Microsoft phát hành cho người dùng thuộc chương trình Windows Insiders với tuỳ chọn Fast Ring. Bản cập nhật này sẽ được Microsoft phát hành rộng rãi trong bản cập nhật Windows 10 vào ngày 10/4/2019

Windows 10 Build 18343 phát hành cho người dùng tham gia Insider Program, hỗ trợ Windows Sandbox - Cybersec365.org
Windows 10 Build 18343 phát hành cho người dùng tham gia Insider Program, hỗ trợ Windows Sandbox – Cybersec365.org
Theo công bố của Microsoft, bản cập nhật Windows 10 Build 18343 không giới thiệu bất kỳ tính năng mới nào. Thay vào đó, bản cập nhật này đang hoàn thiện và sửa các lỗi còn tồn đọng trong phiên bản cập nhật Windows 10 19H1, bao gồm các cập nhật bảo mật cho Windows Sandbox.

Windows Sandbox

Windows Sandbox là một tính năng mới, đang được Microsoft thử nghiệm và sẽ phát hành chính thức trong bản cập nhật tháng 4/2019. Tính năng này được cho là sẽ tạo ra một môi trường máy ảo nhằm cô lập và chạy thử một ứng dụng trước khi chạy chính thức trong hệ thống.
Trong bản cập nhật này, Windows Sandbox đã được Microsoft cải tiến cho phép tuỳ chỉnh cấu hình của máy Sandbox như vGPU, Networking và các tệp chia sẻ giữa máy thật và máy Sandbox
Nguồn: BleepingComputer