Uncategorized

I. Giới thiệu

CVE-2023-23397 là một lỗ hổng nâng cao đặc quyền/bỏ qua xác thực quan trọng trong Outlook, được phát hành trong March Patch Tuesday của Microsoft. Lỗ hổng ảnh hưởng đến tất cả các phiên bản của Windows Outlook, được xếp hạng 9,8 CVSS và là một trong hai zero-day được tiết lộ vào ngày 14 tháng 3.

II. Phân tích

CVE-2023-23397 là lỗ hổng nâng cao đặc quyền (EoP) trong Microsoft Outlook. Đây là một zero-touch exploit, có nghĩa là lỗ hổng bảo mật yêu cầu mức độ phức tạp thấp để khai thác và không yêu cầu tương tác của người dùng.

Tin tặc đã khai thác lỗ hổng CVE-2023-23397 bằng cách lợi dụng tính năng tạo lịch hẹn phổ biến trên Outlook – cho phép gửi email thông báo đến người dùng, từ đó đánh cắp mã băm NTLM của người dùng từ xa.

Kẻ tấn công gửi một tin nhắn cho nạn nhân với thuộc tính Message Application Program Interface (MAPI) mở rộng với đường dẫn Universal Naming Convention (UNC) tới  Server Message Block (SMB, via TCP 445) do kẻ tấn công kiểm soát. Kẻ tấn công gửi lời mời lịch độc hại.msg — định dạng thông báo hỗ trợ lời nhắc trong Outlook — để kích hoạt điểm API dễ bị tấn công PlayReminderSound bằng cách sử dụng “PidLidReminderFileParameter” (tùy chọn âm thanh cảnh báo tùy chỉnh cho lời nhắc).

Khi nạn nhân kết nối với máy chủ SMB của kẻ tấn công, máy chủ này sẽ tự động gửi thông báo New Technology LAN Manager (NTLM) tới người dùng, tin nhắn này có thể được sử dụng để xác thực đối với các hệ thống khác hỗ trợ xác thực NTLM.

Băm NTLMv2 là giao thức mới nhất mà Windows sử dụng để xác thực và giao thức này được dùng cho một số dịch vụ với mỗi phản hồi chứa biểu diễn băm của thông tin người dùng, chẳng hạn như tên người dùng và mật khẩu. Do đó, kẻ tấn công có thể thực hiện một cuộc tấn công chuyển tiếp NTLM để giành quyền truy cập vào các dịch vụ khác hoặc xâm phạm toàn bộ miền nếu người dùng bị xâm phạm là quản trị viên. Mặc dù các dịch vụ trực tuyến như Microsoft 365 không dễ bị tấn công bởi vì chúng không hỗ trợ xác thực NTLM, ứng dụng Microsoft 365 Windows Outlook vẫn dễ bị tấn công.

Tương tác của người dùng là không cần thiết để kích hoạt (ngay cả trước khi xem trước tin nhắn), cũng như không yêu cầu đặc quyền cao. CVE-2023-23397 là một lỗ hổng zero-touch được kích hoạt khi nạn nhân nhận được lời nhắc và thông báo (ví dụ: khi một cuộc hẹn hoặc nhiệm vụ nhắc năm phút trước thời gian được chỉ định). Rất khó để chặn lưu lượng SMB gửi đi cho người dùng từ xa. Kẻ tấn công có thể sử dụng cùng thông tin đăng nhập để có quyền truy cập vào các tài nguyên khác.

*Các kịch bản tấn công có thể xảy ra

• Lateral movement: điều hướng độc hại bằng cách sử dụng hàm băm NTLM được chuyển tiếp

Các cuộc tấn công chuyển tiếp đã trở nên nổi tiếng như một trường hợp sử dụng cho Mimikatz bằng cách sử dụng thói quen kết xuất thông tin đăng nhập NTLM thông qua module sekurlsa. Ngoài ra, các cuộc tấn công pass-the-hat (PtH) (hoặc pass-the hash) và các biến thể của hành vi trộm cắp dữ liệu và thông tin có thể được thực hiện. Khi những kẻ tấn công đã ở trong hệ thống, chúng có thể sử dụng mạng để di chuyển và điều hướng các tuyến của tổ chức qua SMB.

• Truyền payload thông qua WebDAV

Kẻ tấn công có thể tận dụng các dịch vụ WebDAV trong trường hợp không có dịch vụ SMB hợp lệ cho Outlook tồn tại (nghĩa là không được định cấu hình) trong máy khách. Đây là một giải pháp thay thế cho dịch vụ Web/HTTP cũng có thể được đọc dưới dạng đường dẫn UNC bởi các mục .msg và/hoặc Outlook Calendar. Những kẻ tấn công có thể thiết lập một máy chủ WebDAV độc hại để phản hồi các máy khách nạn nhân bị ảnh hưởng bằng các trang độc hại. Các trang này có thể chứa mã bao gồm việc tận dụng kỹ thuật duyệt thư mục tương tự như lỗ hổng CVE-2022-34713 của Microsoft (được đặt tên là DogWalk) để đẩy bất kỳ hình thức tải trọng nào nhằm thực thi mã từ xa, chẳng hạn như webshell.

III.  Khuyến nghị

Để ngăn chặn các cuộc tấn công bằng cách khai thác lỗ hổng CVE-2023-23397:

• Người dùng cần áp dụng bản vá có sẵn ngay lập tức.
• Thêm người dùng vào nhóm Protected Users trên Active Directory và chặn outbound SMB (TCP cổng 445).
• Microsoft đã cung cấp tài liệu và đoạn script có sẵn để giúp các tổ chức kiểm tra xem hệ thống có đang bị ảnh hưởng hay không.

Trước tình hình ngày càng gia tăng của các cuộc tấn công mạng và những lỗ hổng mới được phát hiện mỗi ngày, CVE-2023-23397 trên Microsoft Outlook là một minh chứng rõ ràng cho sự cần thiết của việc bảo vệ hệ thống và dữ liệu cá nhân nhằm tránh bị kẻ xấu thu thập thông tin như tài khoản, địa chỉ email làm mục tiêu để tấn công. Việc nhanh chóng cập nhật bản vá và áp dụng các giải pháp an ninh khác trong doanh nghiệp hoặc tổ chức cần được thực hiện luôn và ngay.

Giải pháp giám sát ATTT & Phòng thủ mã độc CMDD của CMC Cyber Security  vừa được Virus Bulletin (VB) – Tổ chức đánh giá và xếp hạng các phần mềm phòng chống mã độc hàng đầu thế giới xác nhận  lần thứ 6 liên tiếp đạt chứng chỉ VB100.

Trong lần kiểm định này Virus Bullentin đã nâng cấp phương pháp kiểm định lên phiên bản mới 1.3 bằng việc dùng một agent để theo dõi và kiểm tra khả năng phát hiện mã độc của các sản phẩm tại các thời điểm:

• Khi được tải xuống (Transmission block)
• Khi có yêu cầu truy cập (Access block)
• Khi quét thủ công (On-demand)

Theo kết quả được công bố vào ngày 27/8/2021. CMDD đã vượt qua bài kiểm định với việc phát hiện 100% các mẫu kiểm nghiệm và 0% mẫu nhận nhầm

CMDD là sản phẩm nhiều năm liên là sản phẩm ATTT xuất sắc được VNISA bình chọn và nằm trong danh sách các giải pháp được Cục ATTT – Bộ Thông tin Truyền thông khuyến nghị dùng trong các Đơn vị, Cơ quan nhà nước theo chỉ thị 14/Ttg.

Hiện tại CMDD đang được tin tưởng lựa chọn triển khai tại các đơn vị An ninh, Quốc phòng và nhiều địa phương trên cả nước cùng các tập đoàn, tổng công ty lớn.
Kết quả này một lần nữa khẳng định sản phẩm của người Việt hoàn toàn tự tin để vươn ra thế giới. CMC đang có những bước đi thật sự vững chắc và đúng hướng trong việc tạo dựng một sản phẩm chất lượng cao mang tên “Make in Việt Nam”

Tháng 8/2021, CMC Cyber Security đã vinh dự được Frost and Sullivan vinh danh giải thưởng Lãnh đạo Chiến lược cạnh tranh ngành Dịch vụ Quản lý an ninh an toàn thông tin Việt Nam năm 2021.

Frost and Sullivan là giải thưởng vinh danh những công ty có thành tích xuất sắc cũng như hiệu suất nổi bật tại thị trường khu vực và trên toàn thế giới.

Giải thưởng do Tổ chức nghiên cứu, phân tích thị trường hàng đầu thế giới Frost & Sullivan trao tặng và được đánh giá dựa trên các tiêu chí:

• Hiệu quả chiến lược
• Thực thi chiến lược
• Sự khác biệt hóa trong cạnh tranh
• Giá cả hoặc Giá trị hiệu suất
• Trải nghiệm mua hàng của khách hàng
• Trải nghiệm dịch vụ khách hàng

Giải thưởng Frost & Sullivan là kết quả của sự cố gắng không ngừng nghỉ với những thành tích vượt trội của tập thể CMC Cyber Security và sự tin tưởng của khách hàng trong suốt một năm qua. Cùng chúc cho CMC Cyber Security sẽ gặt hái được nhiều giải thưởng và thành công hơn nữa trong thời gian tới.

Gần đây CMC Cyber Secutiry đã phát hiện ra một số trang web phát tán các tập tin crack giả mạo. Từ đó, mã độc ở công cụ crack đã đánh cắp dữ liệu và thực thi một loạt mã độc khác nhau trên máy người dùng.

1.     Các trang web giả mạo

Khi người dùng tìm kiếm các phiên bản crack của các phần mềm phổ biến, rất có thể sẽ truy cập vào các trang web cung cấp giả mạo có giao diện như hình dưới đây:

Giao diện trang web cung cấp crack

Các trang web đều có đặc điểm chung là:

• Chỉ đăng bài chuyên về crack phần mềm
• Cung cấp mô tả các phần mềm một cách chi tiết để lấy lòng tin
• Cung cấp link download ngay ở đầu bài viết để người dùng dễ mắc bẫy

Sau đó, khi truy cập các đường link download, người dùng sẽ được chuyển hướng qua một loạt trang web rút gọn và đích đến là các trang web http và cung cấp các đường link với giao diện như sau để tải về tập tin crack.

Giao diện trang tải xuống tập tin crack giả

2.     Tập tin crack giả mạo

Tập tin crack mà người dùng tải về có định dạng zip, sau khi giải nén ra sẽ bao gồm 1 file zip khác được nén với mật khẩu. Mật khẩu sẽ được cung cấp trong file text đi kèm.

File text chứa mật khẩu giải nén

Sau khi giải nén, người dùng sẽ có tập tin exe để thực thi. Tập tin crack được đóng gói sử dụng phiên bản mod của chương trình 7zfsx, khi thực thi sẽ tiến hành giải mã và thực thi payload.

Tập tin crack giả mạo mà người dùng đã tải xuống.

Danh sách các tên mà các tập tin crack sử dụng thường sẽ gồm:

• 32_64_ver_2_bit.exe
• x86_x64_setup.exe
• Mainsetupv1.0.exe
• Setup.exe

Các bước thực thi với mỗi tập tin crack lại có một vài thay đổi khác nhau, qua nhiều bước giải mã – làm rối code để khiến việc phát hiện trở nên khó khăn hơn. Sau cùng, đoạn payload sẽ được thực thi bằng kỹ thuật ProcessHollowing RunPE.

Quá trình thực thi của file crack

3.     Phân tích hành vi payload

          Sau khi phân tích payload, phát hiện ra một số hành vi nguy hiểm như:

• Thu thập dữ liệu người dùng từ các trình duyệt web như Mozilla Firefox, Google Chrome,  Brave, Opera, Chromium,… bao gồm cookie, form tự động điền, mật khẩu.
• Thu thập thông tin về tài khoản người dùng, thông tin về máy tính, chụp ảnh màn hình desktop, thông tin ví điện tử crypto.
• Tải và thực thi các mẫu mã độc khác

Quá trình đánh cắp thông tin và tải các mã độc khác.

Mẫu mã độc này được biết đến trước đó với tên CryptoBot, đồng thời các mẫu mã độc khác nhau được tải về có nguy cơ gây ra nhiều tác hại nguy hiểm cho máy tính người dùng đặc biệt là dòng mã hóa dữ liệu (STOP DJVU).

KHUYẾN CÁO

Người dùng khi sử dụng máy tính và internet cần thận trọng, không sử dụng phần mềm crack, kiểm tra tập tin trước khi thực thi, cài đặt và update thường xuyên giải pháp bảo mật (CMC Enpoint Securty/CMC Internet Security/ CMC Antivirus,…) đồng thời thay đổi mật khẩu thường xuyên để tăng cường bảo mật.

Dưới đây là danh sách các trang web nguy hiểm mà cmc ghi nhận được. Ngoài ra, còn có rất nhiều trang web giả mạo khác còn chưa được phát hiện, người dùng cần cẩn trọng nhận dạng các trang web cũng như tập tin theo các dấu hiệu ở trên để tránh bị khai thác.

• activationkeys[.info
• crackrules[.]com
• lcrack[.]net
• freeprosoftz[.]com
• protoolactive[.]com
• crackfullpc[.]com
• 9to5crack[.]com
• crackreview[.]com
• crackkits[.]com
• crackedfine[.]com
• crackmines[.]com
• fulllicensekey[.]com
• iamactivator[.]com
• kalicrack[.]com
• fullcrack4u[.]com

Hiện nay, cuộc Cách mạng công nghiệp 4.0 cùng với sự phát triển mạnh mẽ của trí tuệ nhân tạo (AI), rô-bốt và công nghệ sinh học, sẽ hình thành nên nhiều lĩnh vực hoạt động trên môi trường không gian mạng như: “Internet công nghiệp”, “Nhà máy thông minh”, “Thành phố thông minh”, “Chính phủ điện tử”, Internet kết nối vạn vật (IoT),…

Đứng trước xu thế phát triển của nền kinh tế số và  những thách thức đối với lĩnh vực An ninh an toàn thông tin, CMC CS đã đưa ra thị trường nhiều Sản phẩm/Giải pháp bảo mật có ích cho người dùng và các doanh nghiệp như: Phần mềm diệt virus (CMC IS), Giải pháp phòng chống mã độc và quản trị tập trung (CMDD), Giải pháp tường lửa bảo vệ website (WAF), Giải pháp phòng chống mã độc mã hóa dữ liệu (CryptoSHIELD),…..

Với định hướng chiến lược, xây dựng và phát triển mạng lưới kênh Phân phối Sản phẩm/Giải pháp Bảo mật phủ khắp cả nước và xuất khẩu ra nước ngoài, Công ty chúng tôi (CMC CS) xin gửi lời mời hợp tác đến Quý khách hàng/Đối tác để cùng “Chia sẻ thành công và Hợp tác bền vững cùng CMC CS”.

• Hình thức hợp tác: Nhà phân phối/Đại lý/Cộng tác viên chính thức các Sản phẩm/Giải pháp bảo mật của CMC CS.
• Đối tượng tham gia:
  • Tất cả các công ty, tổ chức, cửa hàng,…
  • Tất cả các cá nhân, học sinh, sinh viên….

Để biết thêm thông tin về hình thức hợp tác và quyền lợi tham gia, xin vui lòng liên hệ với Phụ trách khu vực hoặc theo số:

Hotline: 1900571244

Thị trường MB – MT: Mr Vương: 0388 329 269

Thị trường B2B: Ms.Son: 0909 545460

Website: cmccybersecurity.com

Giải pháp bảo mật CMC Malware Detection and Defense (CMDD) của công ty CMC Cyber Security vừa được Virus Bulletin (VB) – Tổ chức đánh giá và xếp hạng các phần mềm phòng chống mã độc hàng đầu thế giới – xác nhận đạt chứng chỉ VB100 với kết quả kiểm định xuất sắc.
VB100 là một trong những chứng chỉ uy tín nhất trên thế giới trong lĩnh vực kiểm định phần mềm diệt virus. Đây là một chứng chỉ tiêu chuẩn về chất lượng (khả năng bắt diệt mã độc) của các phần mềm chống mã độc trên toàn cầu.

Chủ tịch HĐQT CMC Nguyễn Trung Chính (phải) giới thiệu về giải pháp CMDD tại sự kiện với Bộ trưởng Thông tin truyền thông Nguyễn Mạnh Hùng (thứ hai từ phải) và Bộ trưởng Khoa học Công Nghệ Huỳnh Thành Đạt (thứ ba từ phải qua).

Để đạt chứng chỉ này, tổ chức VB đòi hỏi phần mềm tham gia kiểm định phải phát hiện trên 99.5% các virus trong tập mẫu và chỉ được nhận nhầm ít hơn 0.01% tập các file sạch. Tập mẫu virus được hội đồng các chuyên gia thu thập trên toàn cầu, chúng được xác định là những virus nguy hiểm có mức độ lây lan rộng (Virus In the Wild).
Ông Vũ Lâm Bằng, Giám đốc Trung tâm Nghiên cứu và Phát triển sản phẩm CMDD, Công ty CMC Cyber Security chia sẻ: “Thời gian qua chúng tôi đã tập trung vào cải tiến sản phẩm để đảm bảo các tiêu chí nhanh, nhẹ và hiệu quả. Đạt VB100 là sự ghi nhận lớn với nỗ lực nghiên cứu của đội ngũ phát triển. Bản thân CMDD vẫn là sự lựa chọn hàng đầu nhiều năm qua cho các đơn vị, cơ quan, đơn vị tổ chức trọng yếu. Với chứng chỉ VB100, chúng tôi sẽ tự tin hơn để bước chân ra thị trường quốc tế theo mục tiêu chiến lược Go Global của tập đoàn CMC”.
CMC Malware Detection and Defense (CMDD) là giải pháp giám sát, bảo vệ hệ thống CNTT thế hệ mới dành cho doanh nghiệp, tổ chức và đã được triển khai cho các cơ quan Chính phủ, khối An ninh Quốc phòng, nhiều địa phương và Tập đoàn lớn ở Việt Nam.
CMDD giúp giám sát theo thời gian thực toàn bộ tình trạng hệ thống đến từng máy tính trong hệ thống, ngăn chặn hiệu quả các loại mã độc, phát hiện tấn công và phòng chống xâm nhập, đồng thời cho phép thiết lập các chính sách An toàn thông tin. Là giải pháp bảo mật “Make in Vietnam” chiến lược của CMC, CMDD còn cho phép kết nối chia sẻ thông tin với Trung tâm giám sát an ninh mạng Quốc gia.

Kết quả kiểm định của CMDD Nguồn: virusbulletin.com

“Trong thời gian tới, chúng tôi sẽ tiếp tục cải tiến công nghệ và phát triển thêm các tính năng đa dạng hơn để sản phẩm đáp ứng tốt hơn vai trò của mình trong việc bảo vệ các hệ thống công nghệ thông tin của khách hàng”, ông Bằng cho biết thêm.
Phó cục trưởng Cục An toàn thông tin, Bộ TT&TT Nguyễn Khắc Lịch cho biết: “Việc một sản phẩm phát hiện, phòng chống tấn công mã độc của Việt Nam đạt được một chứng chỉ quốc tế uy tín với kết quả xuất sắc là một dấu mốc quan trọng, ghi nhận chiến lược Make in Vietnam đã bước đầu có những thành công nhất định”.
Chứng chỉ VB100 lần đầu tiên được giới thiệu vào năm 1998 bởi Virus Bulletin. Tổ chức Virus Bulletin đã thực hiện những kiểm định độc lập các phần mềm diệt virus trên toàn cầu. Các bài kiểm định của Virus Bulletin được công nhận rộng rãi trong ngành công nghiệp phần mềm. Các bài kiểm tra tập trung vào khả năng nhận diện tập mẫu virus, tốc độ quét, cũng như khả năng chống nhận diện nhầm của các phần mềm diệt virus.