Các hệ thống bị ảnh hưởng
Microsoft Window 2000, XP, Server 2003, và Vista đều bị ảnh hưởng. Các ứng dụng có thể bị tấn công gồm có:
- Microsoft Internet Explorer
- Microsoft Outlook
- Microsoft Outlook Express
- Microsoft Windows Mail
- Microsoft Windows Explorer
Giới thiệu
Lỗ hổng tràn bộ đệm điều khiển con trỏ chuột trong Windows đang bị các hacker khai thác rất mạnh.
Để xem các giải pháp đã được cập nhật, vào CBKT07-002 và Microsoft Security Bulletin MS07-017
I. Mô tả
Lỗi tràn bộ đệm tồn tại trong đoạn mã được sử dụng để
xử lý các file con trỏ chuột động. Windows đã không thực hiện việc kiểm tra
tính hợp lệ của kích thước phần header trong file con trỏ chuột động.
Các file con trỏ chuột động có thể được đưa vào các file
HTML. Ví dụ, một website có thể sử dụng một file con trỏ chuột động để làm
icon khi di con trỏ chuột qua một liên kết. Chính vì vậy, nhiều trang web và
các email html độc hại có thể được sử dụng để khai thác lỗ hổng này. Windows
Explorer cũng sẽ tự động xử lý các file này khi thư mục chứa chúng được mở ra
hoặc khi sử dụng chúng làm con trỏ chuột nên việc mở một thư mục chứa file
con trỏ chuột động do hacker tạo ra cũng làm cho máy tính bị lây nhiễm.
Windows Explorer cũng xử lý con trỏ chuột động với một
loạt các file với đuôi mở rộng như .ani, .cur, .ico. Hơn nữa, Windows sẽ tự
động thể hiện các file con trỏ chuột động được tham chiếu trong tài liệu HTML
bất kể đuôi mở rộng của các file đó là gì.
Đây là lỗ
hổng đang bị khai thác rất mạnh.
Để biết thêm
chi tiết, xem tại Vulnerability Note VU#191609
II. Ảnh hưởng
Kẻ tấn công có thể thực thi các mã bất kỳ.
Việc tấn công có thể xảy ra khi người sử dụng bấm chuột vào một liên kết độc
hại, đọc, chuyển một email đặc biệt dạng HTML hoặc truy cập vào thư mục có
chứa một file con trỏ chuột động độc hại.
III. Giải pháp
Cài đặt bản cập nhật từ Microsoft
Microsoft vừa mới công bố bản vá cho lỗ hổng này và những
lỗ hổng khác liên quan tới xử lý ảnh trên Microsoft Security Bullentin MS07-017.
Các giải
pháp khác
Nếu chưa thể
cập nhật các bản vá, có thể thực hiện các biện pháp sau:
- Ngăn chặn truy cập vào các file con trỏ chuột động lạ
ngay tại vùng biên của mạng.
- Bằng cách ngăn chặn truy cập vào các file con trỏ chuột
động lạ thông qua các công cụ như: HTTP proxy, mail server,… người quản trị
hệ thống có thể hạn chế được các nguy hiểm tiềm tàng.
Chỉ dựa vào phần đuôi mở rộng .ANI, .CUR, .ICO là không
triệt để đối với lỗ hổng này. Cơ chế lọc nên dựa vào nội dung của các file,
tức là tìm kiếm bất cứ file nào mà Microsoft Windows chấp nhận sử dụng nó làm
file con trỏ chuột động. Các file con trỏ chuột động được bắt đầu với chuỗi
ASCII: RIFF (mã Hex là 52 49 46 46).
Các file con trỏ chuột động có chứa mã độc có chuỗi anih tiếp sau là giá trị 0x24,
sau đó một chuỗi anih nhưng tiếp sau đó lại là một giá trị khác 0x24.
Đảm bảo các biện pháp ngăn chặn và phát hiện đã được cập nhật dấu hiệu này.
Cấu hình Outlook để hiển thị
thông điệp email dạng thuần văn bản
Kẻ tấn công khai thác lỗ hổng thành công khi người dùng
xem các email độc hại dạng HTML. Hành vi xem email có thể tự động xảy ra nếu
mail client bật chế độ xem trước. Cấu hình Outlook để hiển thị email dạng thuần
văn bản là một biện pháp có thể giúp ngăn chặn việc khai thác lỗ hổng.
Chú ý: Lựa chọn hiển thị email dạng thuần văn bản trong Outlook Express sẽ không có tác
dụng. Cách giải quyết này chỉ thực hiện được khi sử dụng Microsoft
Outlook
Tắt chế độ xem trước
Bằng cách tắt chế độ xem trước trong mail client, các
email sẽ không thể tự động được hiển thị.
Cấu hình Windows Explorer để
sử dụng Windows Classic Folders
Window Explorer mặc định sử dụng cấu hình “Show common
tasks in folders”, khi được chọn file HTML có kèm mã độc sẽ tự động thực thi.
Để giới các nguy hiểm tiềm tàng của lỗ hổng này, người dùng được khuyến cáo
nên sử dụng tuỳ chọn “Use Windows classic folders” theo các bước sau:
1.
Mở
Windows Explorer
2.
Chọn
Folder Options từ menu Tools
3.
Chọn
“Use Windows classic folders” trong phần Tasks
Không bấm vào các liên kết không rõ ràng
Để làm cho người sử dụng vào các website của mình, kẻ
tấn công thường sử dụng các URL mã hóa, các dạng khác nhau của địa chỉ IP, các
URL dài, các lỗi chính tả có chủ ý và những kỹ thuật khác để tạo ra các liên
kết sai lệch. Người sử dụng không nên bấm vào các liên kết không rõ ràng nhận
được từ email, tin nhắn nhanh, diễn đàn, hoặc các kênh IRC. Tốt nhất hãy gõ
URL trực tiếp vào trình duyệt. Dù đây là cách tốt nhưng cách này cũng không
ngăn chặn được sự khai thác điểm yếu này trong tất cả các trường hợp, đặc
biệt là những website tin cậy mà đã bị kẻ tấn công sửa đổi hoặc cho phép các
đoạn mã cross-site.
IV. Nguồn
tham khảo
·
Vulnerability
Note VU#191609 - <http://www.kb.cert.org/vuls/id/191609>
·
Microsoft
Security Bulletin MS07-017
<http://www.microsoft.com/technet/security/Bulletin/ms07-017.mspx>
·
Microsoft
Security Advisory (935423) - <http://www.microsoft.com/technet/security/advisory/935423.mspx>
·
Microsoft
Security Response Center Blog - <http://blogs.technet.com/msrc/search.aspx?q=935423>
·
Unpatched
Drive-By Exploit Found On The Web - <http://www.avertlabs.com/research/blog/?p=230>
·
TROJ_ANICHMOO.AX
- Description and Solution - <http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=
TROJ%5FANICMOO%2EAX |
