ArsTechnica cho biết một lỗ hổng trong Windows Vista, Windows 7 và Windows 8 có thể cho phép bất kì website nào làm chậm máy bạn đến mức phải khởi động lại thì mới dùng được, đôi khi còn dính cả màn hình xanh. Vấn đề xoay quanh cách đặt tên file $MFT. Đây là tên dành riêng cho một loại dữ liệu định nghĩa mà phân vùng NTFS sử dụng và đa số phần mềm cài trên Windows sẽ không thấy được nó, mỗi khi có ai đó cố gắng mở file dạng này thì sẽ bị chặn lại. Nhưng nếu dùng $MFT đặt tên folder thì khác, ví dụ nếu bạn thử mở file c:\$MFT\123 thì ổ NTFS sẽ tạo ra một cơ chế chặn và không bao giờ nhả. Do bị chặn và kẹt lại nên mọi thao tác đọc ghi sau đó sẽ phải xếp vào một hàng đợi mà không bao giờ được giải tỏa khiến máy tính chậm hẳn đi, không phần mềm nào có thể đọc ghi vào đĩa.
Nếu có ai đó chơi xấu và nhúng đường dẫn c:\$MFT\123 vào khung ảnh trong website nào đó, web sẽ làm máy tính của bạn gặp tình trạng như trên khi trình duyệt cố gắng truy cập vào file "ảnh" này. The Verge và ArsTechnica đã thử nghiệm thành công việc này. Còn nhớ hồi Windows 95 và 98 cũng có lỗi tương tự, nếu bạn thử truy cập đường dẫn c:\con\con thì máy sẽ đơ và ngủm, phải bật lại mới xài tiếp được.
Lỗ hổng hiện đã được báo cáo cho Microsoft và đang đợi công ty phát hành bản vá. Anh em nào đang xài Windows 10 thì không cần lo lắng do không nằm trong diện ảnh hưởng của bug.
Nguồn: Ars Technica
Thứ Bảy, 27 tháng 5, 2017
Thứ Năm, 25 tháng 5, 2017
LỖ HỔNG BẢO MẬT TRÊN NHIỀU TRÌNH PHÁT VIDEO PHỔ BIẾN, MỞ PHỤ ĐỀ LÀ DÍNH, 200 TRIỆU NGƯỜI CÓ NGUY CƠ
Nếu bạn thường tự tải file phụ đề về xem phim thì hãy cẩn thận bởi một lỗ hổng cực kỳ nguy hiểm vừa được các chuyên gia bảo mật phát hiện trên nhiều trình phát video, cho phép các hacker có thể chiếm hoàn toàn quyền kiểm soát thiết bị của người dùng ngay từ thời điểm họ bật phụ đề lên. Theo ước tính của hãng bảo mật Checkpoint hiện đã có khoảng 200 triệu người dùng đang đối mặt với nguy cơ bị khai thác lỗ hổng này.
Trong báo cáo vừa công bố, Checkpoint cho biết: “Nghiên cứu của chúng tôi vừa phát hiện ra một vector tấn công hoàn toàn mới, sử dụng kỹ thuật theo dõi trong các cuộc tấn công mạng để triển khai ngay khi trình phát video của người dùng load phụ đề. Các phụ đề này đã được cài đặt các thành phần xấu, sau đó đưa lên các nguồn tin cậy để đánh lừa người dùng và trình phát video. Nghiên cứu của chúng tôi còn phát hiện rằng các kho phụ đề này có thể bị can thiệp và làm cho các phụ đề được chấm điểm cao, từ đó dễ dàng lừa được lòng tin của người dùng hơn.
Đáng chú ý hơn, "Kỹ thuật này đòi hỏi rất ít hoặc thậm chí là không cần những thao tác thận trọng từ phía người dùng, khiến nó trở nên nguy hiểm hơn bao giờ hết. Và khác với các vector tấn công truyền thống vốn đã được các hãng bảo mật và người dùng nhận diện trước đây, phụ đề của phim tưởng chừng như vô hại nhưng lại ẩn chứa mối đe dọa bất ngờ.”
Nói một cách rõ ràng hơn, nếu bạn dùng một trình phát video để xem những bộ phim bản quyền đã có sẵn phụ đề thì có thể không bị gì. Nhưng nếu vì bất cứ lý do gì đó mà bạn phải đi tới những trang chia sẻ phụ đề để tải về cho những ngôn ngữ nào đó của quốc gia bạn thì bạn đã có nguy cơ bị khai thác lỗ hổng này. Mặc dù có cả một cộng đồng những người chuyên đi dịch phụ đề vì mục đích tốt là giúp chuyển ngữ cho những người không rành ngoại ngữ cũng có thể xem được phim, nhưng đáng tiếc, đó lại là cách làm khiến cho kẻ xấu lợi dụng nhằm thực hiện ý đồ không tốt.
Bên dưới đây là danh sách chi tiết những phần mềm bị ảnh hưởng bởi lỗ hổng nói trên và cách update để hạn chế bị khai thác:
Mặt khác, các nhà nghiên cứu còn phát hiện rằng hacker có thể dễ dàng tinh chỉnh thuật toán của những trang chia sẻ phụ đề như OpenSubtitles.org để đảm bảo rằng các file độc hại của họ được đứng top trên kết quả tìm kiếm phụ đề. Hãy cẩn thận. Còn bạn nào chưa biết lỗ hổng này đáng sợ ra sao thì hãy xem video bên dưới.
- PopcornTime: Hiện vẫn chưa có bản fix chính thức trên trang chủ của phần mềm nhưng có thể tải về bản đã sửa lỗi tại đây.
- Kodi: Hiện phiên bản sửa lỗi chỉ mới được cung cấp dưới dạng mã nguồn, có thể tải về tại đây.
- VLC: Đã được chính thức sửa lỗi và có thể tải về trực tiếp từ trang chủ.
- Stremio: Đã được chính thức sửa lỗi và có thể tải về trực tiếp từ trang chủ.
Tham khảo Hackernews, Checkpoint
https://tinhte.vn/threads/lo-hong-bao-mat-tren-nhieu-trinh-phat-video-pho-bien-mo-phu-de-la-dinh-200-trieu-nguoi-co-nguy-co.2699902/
Thứ Tư, 24 tháng 5, 2017
NHỮNG TÊN MIỀN NGĂN WANNACRY PHÁT TÁN BỊ DDOS DỮ DỘI, HACKER LÀM CHỈ ĐỂ CHO VUI?
Chỉ trong thời gian chưa đầy 1 năm, 2 thảm họa tin tặc đã làm rối loạn cả thế giới Internet. Đầu tiên là vụ botnet Mirai đánh sập một loạt các trang web lớn hồi tháng 9 năm ngoái bao gồm cả Spotify, Reddit và The New York Times. Đến gần đây là ransomware WannaCry bùng nổ trên toàn cầu, gây tác động đến hoạt động của nhiều hệ thống từ y tế đến vận tải tại hơn 150 quốc gia. Cơn khủng hoảng ransomware WannaCry chỉ tạm lắng khi một chuyên gia bảo mật bất ngờ tìm ra Kill Switch - cụ thể là một tên miền phát tán WannaCry và mua lại, từ đó chặn đứng khả năng lây lan của nó. Và giờ đây, lại có thêm nhiều hacker đang cố tình kết hợp cả 2 hình thức tấn công này để tạo ra một làn sóng tấn công tiếp theo. Họ sử dụng một loại botnet tương tự Mirai để tấn công tên miền chí mạng của WannaCry. Tính đến nay nhiều nhà nghiên cứu bảo mật vẫn đang cố gắng chống trả nhưng trong trường hợp xấu nhất, nếu các hacker thành công thì WannaCry sẽ có thể phát tán một lần nữa, nguy hiểm hơn.
Vây ráp!
Kể từ khi WannaCry bắt đầu phát tán rộng rãi trên Internet, các nhà nghiên cứu bảo mật đã nhận ra một đặc điểm thú vị của nó. Khi nó lây nhiễm vào một chiếc máy tính, nó sẽ ngay lập tức tìm đến một địa chỉ trang web trông rất ngẫu nhiên và đây dường như là một phần của quá trình kiểm tra nhằm đảm bảo rằng nó không chạy trên sandbox - một môi trường cách ly thường được có trong các phần mềm bảo mật, kể cả hệ điều hành và các nhà nghiên cứu thường dùng để thử nghiệm các mẫu malware một cách an toàn. Nếu WannaCry kết nối được với một máy chủ có hiệu lực thông qua tên miền riêng, ransomware này sẽ trở về tình trạng âm thầm giám sát và tạm ngưng hoạt động.
Marcus Hutchins - một nhà phân tích bảo mật 22 tuổi đến từ Kryptos Logic (hình trên) đã phát hiện ra đặc tính này hồi tuần trước và anh ngay lập tức mua lại tên miền được WannaCry sử dụng. Nhờ vậy, anh đã vô hiệu hóa malware và chặn đường phát tán của nó trước khi nó trở thành dịch bệnh tồi tệ nhất trong lịch sử Internet.
Kể từ đó, các hacker đã chuyển hướng đội quân zombie thiết bị như webcam, modem, và nhiều thiết bị điện tử khác vốn được khai thác để phát tán botnet Mirai nhằm đưa truy cập rác vào trang web Kill Switch, phương pháp này còn gọi là "sinkhole" thường được các nhà nghiên cứu bảo mật sử dụng để định hướng malware vào một nơi để lưu lại. Vậy mục đích của hành động này là gì? Nhằm đánh sập tên miền, kích hoạt những con WannaCry đang ở trong trạng thái chờ trở lại trạng thái hoạt động và lây nhiễm.
Marcus Hutchins cho biết: "Chỉ ngay sau khi thông tin về tên miền Kill Switch của WannaCry được công bố thì một trong những con botnet Mirai bắt đầu tấn công sinkhole." Kể từ đó, những cuộc tấn công diễn ra gần như mỗi ngày với cùng một loại botnet với quy mô và tác động y hệt.
Phạm vi lây lan của WannaCry trên toàn cầu.Tuy nhiên, nếu hình thức tấn công DDoS này thành công thì không phải tất cả các máy tính đã dính WannCry sẽ được tái kích hoạt ngay lập tức. Theo Matt Olney - nhà nghiên cứu bảo mật đến từ Cisco Talos thì con ransomware này sẽ ngưng dò tìm nạn nhân mới sau 24 giờ kể từ khi bắt đầu cài đặt và lây nhiễm thành công vào một chiếc máy tính. Tuy nhiên bất cứ khi nào một trong những chiếc máy tính lây nhiễm được khởi động lại thì nó sẽ bắt đầu tiến trình dò tìm và chỉ cần tên miền Kill Switch bị đánh sập thì WannaCry sẽ tái kích hoạt.
Hutchins cho biết anh không tin rằng nguồn gốc của những đợt tấn công bằng botnet gần đây đến từ tác giả của loại malware này mà thay vào đó là các nhóm hacker khác đang có ý định khởi động lại WannaCry chỉ để xem con ransomware này phát tán như một trò tiêu khiển. Hutchins nhận định: "Họ rõ ràng không có ý định nhằm vào tài chính bởi họ không phải là người tạo ra ransomware. Họ chỉ muốn gây ra nỗi khổ cho mọi người."
Bóng dáng Mirai:
Theo Hutchins cuộc tấn công DDoS đầu tiên quá nhỏ để anh có thể kịp nhận ra. Anh nói: "Nó giống như một cái hôn nhẹ từ một con botnet." Thế nhưng kể từ lần đầu tiên đó, đã có 5 cuộc tấn công và ngày một tăng. Vào hôm thứ 4 vừa qua, botnet Mirai đã tấn công vào tên miền sinkhole với quy mô rất lớn, tạo ra lượng truy cập đến 20 Gigabit/s. Để so sánh thì quy mô của đợt tấn công này chưa bằng 1/15 quy mô của đợt công DDoS bằng botnet Mirai đánh vào hệ thống cung cấp DNS của Dyn vào tháng 9 năm ngoái và làm sập nhiều trang web lớn nhưng lại gấp 20 lần so với con số đo được bởi Arbor Networks đối với một cuộc tấn công DDoS trung bình vào năm 2016.
Botnet Mirai tạo ra đội quân zombie thiết bị để bắt cóc hệ thống IoT.
Hutchins cho biết hiện tại anh và các cộng sự tại Kryptos Logic vẫn có thể ngăn chặn kẻ tấn công. Anh cho biết nhóm nghiên cứu của mình đã bắt đầu khai thác các dịch vu chống DDoS của một công ty cung cấp nhưng từ chối tiết lộ tên. Theo Hutchins thì khả năng nhận dạng có thể giúp tin tặc tiến hành cuộc tấn công hiệu quả hơn và dịch vụ từ công ty này có thể giúp "hấp thụ" mọi cuộc tấn công trong tương lai và thậm chí có thể kiểm soát tên miền Kill Switch từ Kryptos Logic nếu cần thiết. Tuy nhiên trước khi Hutchins có thể tiếp cận hoàn toàn vào dịch vụ phòng thủ này thì anh cho biết áp lực để giữ cho tên miền sinkhole tồn tại và an toàn vẫn rất nặng nề. Anh tiết lộ mình đã thức suốt đêm sau khi mua lại tên miền Kill Switch để giữ nó ổn định và tiếp tục thức trắng thêm 3 tiếng sau đó cho đến ngày thứ 3.
Mặc dù tên miền của Hutchins đã có được sự bảo vệ cần thiết nhưng nó không phải là chìa khóa duy nhất ngăn ngừa WannaCry phát tán. Hồi cuối tuần qua, một biến thể khác của loại ransomware này đã xuất hiện và nó được thiết kế để khai thác một địa chỉ web khác. Nhà nghiên cứu bảo mật Matt Suiche đến từ Comae Technologies tại Dubai cũng đã nhanh chóng đăng ký tên miền mà biến thể này khai thác để tạo nên Kill Switch mới. Suiche cho biết anh cũng đã xử lý ít nhất là một cuộc tấn công DDoS nhằm vào tên miền vừa mua nhưng từ chối tiết lộ thêm cũng như không đề cập đến cách bảo vệ tên miền này.
Vẫn chưa rõ ai đứng đằng sau những vụ tấn công nhằm vào tên miền sinkhole nhưng Hutchins cho rằng anh chắc chắn đây không phải là những người tạo ra WannaCry. Anh cho biết những cuộc tấn công dường như cứ thế xuất hiện kể từ khi cha đẻ của botnet Mirai công bố mã nguồn của nó. Hutchins cho rằng giờ đây việc xác định những kẻ tấn công sẽ trở nên khó khăn hơn bởi những hacker không cần trình độ cao vẫn có thể tạo ra mối đe dọa, làm xáo trộn thế giới Internet chỉ để tiêu khiển.
Tuy nhiên, trong trường hợp này thì những cuộc tấn công dùng botnet Mirai không chỉ đơn thuần là một sự phiền toái hay gián đoạn tạm thời. Nổ lực tấn công này nhằm tìm cách tái kích hoạt WannaCry tiềm năng sẽ khiến cho hàng ngàn người mất dữ liệu, có thể là mất vĩnh viễn và thậm chí đe dọa đến các hệ thống chăm sóc sức khỏe. Những cuộc tấn công liên tiếp vào tên miền sinkhole của Hutchins thật sự tàn bạo và thậm chí còn nặng nề hơn so với mục đích ban đầu của loại ransomware này. Hutchins nhận định: "Những lập trình viên tạo ra WannaCry ban đầu hướng đến mục tiêu là tiền. Giờ đây người ta cố gắng phát tán chỉ để cho vui, làm tổn thương người khác. Điều này thật tệ hại."
Theo: MSN
https://tinhte.vn/threads/nhung-ten-mien-ngan-wannacry-phat-tan-bi-ddos-du-doi-hacker-lam-chi-de-cho-vui.2699674/
Chủ Nhật, 21 tháng 5, 2017
BẢN QUYỀN MIỄN PHÍ PHẦN MỀM BẢO MẬT F-SECURE (PHẦN LAN) CHỐNG ĐƯỢC WANNACRY CHO WINDOWS VÀ MAC
F-Secure (Phần Lan) là hãng bảo mật nổi tiếng với các sản phẩm bảo vệ an toàn cho máy tính Windows, Mac, smartphone (Android, Windows Phone, iOS) chống lại sự tấn công và xâm nhập của các loại virus, mã độc... F-Secure SAFE là một trong những sản phẩm như vậy.
F-Secure SAFE là gói phần mềm bảo mật, cung cấp đầy đủ các tính năng cần thiết để bảo vệ an toàn cho máy tính của người dùng.
Ưu điểm lớn nhất của F-Secure Safe là có thể cài đặt và sử dụng trên nhiều nền tảng khác nhau, từ Windows, Mac OSX đến iOS, Android... Điều này có thể giúp người dùng có thể sử dụng phần mềm này để bảo vệ toàn diện các thiết bị mà mình đang có.
Đặc biệt phần mềm này đã được cập nhật để giúp bảo vệ máy tính chống lại WannaCry, loại mã độc tống tiền đã khiến cả thế giới phải “đau đầu”.
Hướng dẫn đăng ký bản quyền và cài đặt phần mềm
Mặc định, bản quyền của F-Secure SAFE có giá lên đến 59,90 Euro, trong khi đó phiên bản dùng thử của phần mềm chỉ cho phép sử dụng trong 30 ngày. Hiện tại hãng bảo mật F-Secure đang có chương trình khuyến mãi cung cấp miễn phí bản quyền của phần mềm với hạn dùng trong 6 tháng.
Người dùng có thể thực hiện theo các bước sau để tận dụng chương trình khuyến mãi này:
- Đầu tiên download bản dùng thử của phần mềm tại đây (phiên bản dành cho Windows) hoặc tại đây (phiên bản dành cho Mac).
- Tiếp theo, truy cập vào đây, điền thông tin họ, tên, địa chỉ email và mật khẩu để khởi tạo một tài khoản của hãng bảo mật F-Secure, sau đó nhấn vào nút “Konto erstellen” ở bên dưới.
Lưu ý: mật khẩu bạn khởi tạo phải có ít nhất 8 ký tự và có chứa cả chữ cái lẫn ký tự số.
Bạn cần phải ghi nhớ email và mật khẩu đã dùng đăng ký ở trên để sử dụng trong quá trình kích hoạt bản quyền phần mềm.
- Chờ trong giây lát, một email được gửi đến hộp thư của bạn từ hãng bảo mật F-Secure, bên trong nội dung có chứa một đường link để kích hoạt tài khoản đã đăng ký. Bạn nhấn vào đường link có trong email để kích hoạt tài khoản.
Lưu ý: nếu sử dụng hộp thư Gmail để đăng ký thì email được gửi đến sẽ chứa trong tab “Nội dung cập nhật”.
- Tiến hành cài đặt phần mềm. Trong quá trình cài đặt đòi hỏi máy tính phải có kết nối Internet để phần mềm download thêm những dữ liệu cần thiết cho quá trình cài đặt và sử dụng.
- Trong quá trình cài đặt, một hộp thoại hiện ra yêu cầu người dùng đăng nhập vào tài khoản F-Secure. Bạn sử dụng thông tin đã khai báo ở trên (địa chỉ email và mật khẩu) để đăng nhập tại hộp thoại này, rồi nhấn nút “Login”.
- Bước tiếp theo, phần mềm yêu cầu người dùng đặt tên cho thiết bị mà mình muốn sử dụng và cài đặt F-Secure SAFE. Bạn có thể để nguyên mặc định và nhấn nút “Continue”. Sau đó nhấn nút “Accept and Install” để đồng ý với các điều khoản sử dụng và bắt đầu cài đặt phần mềm.
Sau khi hoàn tất quá trình cài đặt, bạn đã có thể sử dụng phần mềm với đầy đủ bản quyền trong thời hạn 6 tháng. Ngay sau khi cài đặt xong, phần mềm sẽ tự động cập nhật cơ sở dữ liệu virus mà không cần yêu cầu người dùng phải thực hiện điều này bằng tay.
Về cơ bản, F-Secure SAFE là một phiên bản khác của phần mềm F-Secure Internet Security, gói bảo mật toàn diện nhất của F-Secure, điểm khác biệt đó là F-Secure Safe hỗ trợ nhiều nền tảng và nhiều loại thiết bị khác nhau.
Ưu điểm của F-Secure SAFE là phần mềm bảo mật thuộc dạng “cài đặt và quên đi”, nghĩa là sau khi cài đặt, phần mềm sẽ tự động thực hiện các thiết lập nhằm bảo vệ an toàn cho thiết bị mà không cần phải có sự can thiệp của người dùng. Điều này giúp người dùng có thể an tâm về khả năng bảo mật trên thiết bị của mình.
Đặc biệt, F-Secure SAFE đã được cập nhật để bảo vệ máy tính chống lại WannaCry, giúp máy tính người dùng an toàn trước loại mã độc tống tiền nguy hiểm nhất hiện nay.
Phạm Thế Quang Huy
Đăng ký:
Bài đăng (Atom)