Liên kết web site
Thống kê truy cập
  • Đang truy cập: 1
  • Hôm nay: 1
  • Trong tuần: 1
  • Tháng hiện tại: 1
  • Tổng lượt truy cập: 1
Đăng nhập
06/12/2024
Cảnh báo lỗ hổng trong Firefox (CVE-2024-9680) và Windows (CVE-2024-49039) đang bị khai thác trong thực tế
Trong báo cáo mới nhất, các nhà nghiên cứu bảo mật từ ESET đã phát hiện một chiến dịch tấn công tinh vi của nhóm tin tặc RomCom. Chiến dịch này khai thác hai lỗ hổng zero-day nghiêm trọng trong Mozilla Firefox và Microsoft Windows, cho phép thực thi mã độc mà không cần bất kỳ sự tương tác nào từ nạn nhân.

Trong báo cáo mới nhất, các nhà nghiên cứu bảo mật từ ESET đã phát hiện một chiến dịch tấn công tinh vi của nhóm tin tặc RomCom. Chiến dịch này khai thác hai lỗ hổng zero-day nghiêm trọng trong Mozilla Firefox và Microsoft Windows, cho phép thực thi mã độc mà không cần bất kỳ sự tương tác nào từ nạn nhân.

Chi tiết các lỗ hổng

 1. CVE-2024-9680 (CVSS: 9.8):

  • Lỗ hổng use-after-free trong tính năng Animation Timeline của Firefox.
  • Ảnh hưởng đến các ứng dụng dựa trên Firefox như Firefox, Thunderbird, và Tor Browser.
  • Cho phép thực thi mã trong bối cảnh bị hạn chế của trình duyệt.
  • Đã được Mozilla vá vào ngày 9/10/2024, chỉ sau 25 giờ từ khi nhận báo cáo.

2. CVE-2024-49039 (CVSS: 8.8):

  • Lỗ hổng leo thang đặc quyền trong Task Scheduler của Windows.
  • Cho phép thoát khỏi cơ chế sandbox của Firefox và thực thi mã với quyền cao nhất.
  • Đã được Microsoft vá trong bản cập nhật KB5046612 ngày 12/11/2024.

 Phương thức tấn công

RomCom sử dụng chiến thuật kết hợp hai lỗ hổng trên để triển khai mã độc dạng chuỗi (exploit chain), dẫn đến:

1. Tấn công không cần nhấp chuột (Zero-Click Exploitation):

  • Nạn nhân chỉ cần truy cập vào một trang web độc hại chứa mã khai thác.
  • Kết quả: Cài đặt RomCom RAT (Remote Access Trojan) lên hệ thống của nạn nhân.

2. Tên miền giả mạo:

  • Sử dụng các tên miền giả mạo như:
    • redircorrectiv[.]com: Mạo danh Correctiv, một tổ chức báo chí phi lợi nhuận.
    • economistjournal[.]cloud: Tấn công chuyển hướng nạn nhân tới máy chủ lưu trữ payload.
  • Tích hợp mã khai thác vào các trang web này nhằm qua mặt các hệ thống phát hiện tấn công (IDS/IPS).

3. Khai thác lỗ hổng Firefox:

  • Sử dụng phương pháp heap spraying và thao tác các đối tượng hoạt ảnh để kích hoạt lỗi use-after-free.
  • Thực thi shellcode, tải xuống và khởi chạy thư viện độc hại.

4. Khai thác lỗ hổng Windows Task Scheduler:

  • Sử dụng thư viện độc hại tên PocLowIL.
  • Tận dụng giao diện RPC không được tài liệu hóa trong Task Scheduler để thoát sandbox, leo thang quyền và cài mã độc.

Hậu quả

  • Tự động cài đặt RomCom RAT: Công cụ này có khả năng:
  • Khả năng bị lợi dụng bởi nhiều nhóm tấn công:

 

Khuyến nghị

Cập nhật phần mềm:

 

    • Firefox, Thunderbird, Tor Browser: Phiên bản mới nhất đã vá CVE-2024-9680.
    • Windows: Cài đặt bản vá KB5046612 để khắc phục CVE-2024-49039.

 

Duy An
Tin khác
1 2 3 

TRANG THÔNG TIN ĐIỆN TỬ SỞ THÔNG TIN TRUYỀN THÔNG
Thành phần Cổng thông tin điện tử tình Bình Thuận

Địa chỉ: số 192 Đường Phạm Hùng - TP. Phan Thiết - Tỉnh Bình Thuận
Điện thoại: (0252).3833 500
Email: stttt@binhthuan.gov.vn 

 ipv6 readyChung nhan Tin Nhiem Mang
  Designed by VNPT