Một lỗ hổng bảo mật chưa được vá ảnh hưởng đến Microsoft Windows đã bị khai thác bởi 11 nhóm do nhà nước bảo trợ từ Trung Quốc, Iran, Bắc Triều Tiên và Nga như một phần của các chiến dịch trộm cắp dữ liệu, gián điệp và có động cơ tài chính kéo dài từ năm 2017.

Lỗ hổng zero-day, được Sáng kiến Zero Day (ZDI) của Trend Micro theo dõi là ZDI-CAN-25373, đề cập đến một vấn đề cho phép những kẻ tấn công thực thi các lệnh độc hại ẩn trên máy của nạn nhân bằng cách khai thác các tệp Windows Shortcut hoặc Shell Link (.LNK) được tạo thủ công. Các cuộc tấn công khai thác các đối số dòng lệnh ẩn bên trong các tệp .LNK để thực thi các payload độc hại, gây khó khăn cho việc phát hiện. Việc khai thác ZDI-CAN-25373 khiến các tổ chức phải đối mặt với rủi ro đáng kể về trộm cắp dữ liệu và gián điệp mạng

Cụ thể, điều này liên quan đến việc chèn thêm các ký tự khoảng trắng (0x20), Tab ngang (0x09), Xuống dòng (0x0A), Tab dọc (\x0B), Form Feed (\x0C) và Carriage Return (0x0D) vào các đối số để tránh bị phát hiện. Gần 1.000 tệp .LNK khai thác ZDI-CAN-25373 đã được phát hiện cho đến nay, với phần lớn các mẫu liên quan đến Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) và ScarCruft (Earth Manticore). Trong số 11 tác nhân đe dọa do nhà nước bảo trợ đã được phát hiện lạm dụng lỗ hổng này, gần một nửa trong số đó có nguồn gốc từ Bắc Triều Tiên. Bên cạnh việc khai thác lỗ hổng vào nhiều thời điểm khác nhau, phát hiện này cho thấy sự hợp tác giữa các cụm mối đe dọa khác nhau hoạt động trong bộ máy an ninh mạng của Bình Nhưỡng.

Số lượng mẫu từ các nhóm APT khai thác ZDI-CAN-25373 Dữ liệu đo từ xa chỉ ra rằng các chính phủ, tổ chức tư nhân, tổ chức tài chính, think tank, nhà cung cấp dịch vụ viễn thông và các cơ quan quân sự/quốc phòng có trụ sở tại Hoa Kỳ, Canada, Nga, Hàn Quốc, Việt Nam và Brazil đã trở thành mục tiêu chính của các cuộc tấn công khai thác lỗ hổng này. Trong các cuộc tấn công được ZDI phân tích, các tệp .LNK đóng vai trò là phương tiện phân phối cho các họ phần mềm độc hại đã biết như Lumma Stealer, GuLoader và Remcos RAT, cùng nhiều loại khác. Đáng chú ý trong số các chiến dịch này là việc Evil Corp khai thác ZDI-CAN-25373 để phân phối Raspberry Robin.

Về phần mình, Microsoft đã xếp loại vấn đề này ở mức độ nghiêm trọng thấp và không có kế hoạch phát hành bản vá. “ZDI-CAN-25373 là một ví dụ về (Trình bày sai lệch giao diện người dùng (UI) về thông tin quan trọng (CWE-451)),” các nhà nghiên cứu cho biết. “Điều này có nghĩa là giao diện người dùng Windows đã không hiển thị cho người dùng thông tin quan trọng (các lệnh đang được thực thi)”. “Bằng cách khai thác ZDI-CAN-25373, tác nhân đe dọa có thể ngăn người dùng cuối xem thông tin quan trọng (các lệnh đang được thực thi) liên quan đến việc đánh giá mức độ rủi ro của tệp”.

Cập nhật Một phát ngôn viên của Microsoft đã chia sẻ tuyên bố dưới đây : Chúng tôi đánh giá cao công việc của ZDI trong việc gửi báo cáo này theo quy trình phối hợp công bố lỗ hổng. Microsoft Defender đã có các biện pháp phát hiện để phát hiện và chặn hoạt động đe dọa này, và Smart App Control cung cấp thêm một lớp bảo vệ bằng cách chặn các tệp độc hại từ Internet. Theo thông lệ bảo mật tốt nhất, chúng tôi khuyến khích khách hàng thận trọng khi tải xuống các tệp từ các nguồn không xác định như đã được chỉ ra trong các cảnh báo bảo mật, được thiết kế để nhận dạng và cảnh báo người dùng về các tệp có khả năng gây hại. Mặc dù trải nghiệm UI được mô tả trong báo cáo không đáp ứng ngưỡng để được xử lý ngay lập tức theo hướng dẫn phân loại mức độ nghiêm trọng của chúng tôi, chúng tôi sẽ xem xét giải quyết vấn đề này trong bản phát hành tính năng trong tương lai.

Điều đáng chú ý là .LNK nằm trong danh sách các phần mở rộng tệp nguy hiểm bị chặn trên các sản phẩm của Microsoft như Outlook, Word, Excel, PowerPoint và OneNote. Do đó, việc cố gắng mở các tệp như vậy được tải xuống từ web sẽ tự động kích hoạt cảnh báo bảo mật khuyên người dùng không nên mở các tệp từ các nguồn không xác định. Microsoft cũng chỉ ra rằng phương pháp được ZDI vạch ra có tính ứng dụng thực tế hạn chế đối với kẻ tấn công, và mã quét nội dung của Microsoft Defender có khả năng quét các tệp này và nhận ra kỹ thuật này để xác định các tệp độc hại.

(Câu chuyện đã được cập nhật sau khi xuất bản để bao gồm phản hồi từ Microsoft.)

Security365