Bản vá cho trình duyệt Google Chrome được phát hành thông qua tính năng vá lỗi tự động của trình duyệt. Cập nhật này đã khắc phục một lỗ hổng nghiêm trọng trong công cụ V8 của Google (bao gồm JavaScript và WebAssembly engine). Lỗ hổng này có mức độ rủi ro cao, ảnh hưởng đến người dùng sử dụng các hệ điều hành Windows, MacOS và Linux.
Báo cáo của Google không cho biết nhiều chi tiết về lỗ hổng này. Theo Google, lỗ hổng này có định danh CVE-2021-2114, là lỗ hổng tràn bộ đệm heap trong V8, được đánh giá mức độ nghiêm trọng. Lỗ hổng được báo cáo bởi kỹ sư phần mềm Mattias Buelens vào ngày 24/01/2021. Google đã ghi nhận các báo cáo về việc khai thác lỗ hổng này trong thực tế.
Bản vá được phát hành trong bối cảnh có các báo cáo rằng một khai thác lỗ hổng zero-day trong Google Chrome đang bị lợi dụng trong các cuộc tấn công do chính phủ Triều Tiên hậu thuẫn, nhằm vào nhiều nhà nghiên cứu và nhân vật trong lĩnh vực an ninh tấn công và phòng thủ.
Ngoài một bài đăng kèm cảnh báo trên blog của Nhóm phân tích mối đe dọa của Google, thì hãng chưa lên tiếng về việc liệu lỗ hổng Chrome này có được sử dụng trong chiến dịch kỹ thuật xã hội của Triều Tiên, hay liệu bản vá mới nhất này có khắc phục lỗ hổng trong chiến dịch đó hay không.
Theo trang thông tin tin điện tử SecurityWeek, hai lỗ hổng này “không liên quan đến nhau”, nhưng nhấn mạnh rằng cuộc điều tra toàn diện về điều này vẫn chưa được hoàn thành.
Đổ thêm dầu vào lửa, hãng bảo mật ENKI của Hàn Quốc đã tuyên bố rằng, một lỗ hổng zero-day trên trình duyệt Internet Explorer (IE) của Microsoft cũng có thể liên quan đến chiến dịch tấn công của Triều Tiên.
ENKI cho biết, các nhà nghiên cứu của họ cũng đã bị nhắm tới và phương thức tấn công là sử dụng các tệp MHTML độc hại, dẫn đến việc tải xuống các file độc hại bằng trình duyệt IE. Tuy nhiên, dữ liệu công cộng cho thấy trình duyệt IE vẫn tiếp tục được sử dụng rộng rãi ở Hàn Quốc.
Microsoft cũng đã ghi lại những phát hiện của mình về các vụ tấn công của Triều Tiên chống lại các nhà nghiên cứu mũ trắng, các chuyên gia về mối đe dọa và các chuyên gia bảo mật tấn công, nhưng Microsoft không đề cập đến việc khai thác lỗ hổng zero-day trên IE.
Tuy nhiên, Microsoft mô tả việc sử dụng tệp MHTML nhằm cụ thể vào phiên bản IE cũ hơn. Ngoài tấn công kỹ thuật xã hội thông qua các nền tảng mạng xã hội, Microsoft đã quan sát thấy ZINC (nhóm tin tặc được chính phủ Triều Tiên hậu thuẫn) đã gửi cho các nhà nghiên cứu bản sao của trang blog br0vvnn được lưu dưới dạng tệp MHTML kèm theo hướng dẫn để mở bằng IE. Tệp MHTML chứa một số mã JavaScript bị làm rối, sẽ đưa người dùng đến tên miền được kiểm soát bởi ZINC để thực thi thêm mã JavaScript khác. Trang web đã bị ngừng hoạt động tại thời điểm điều tra và hãng không thể truy xuất gói tin để phân tích thêm.
Một phát ngôn viên của Microsoft cho biết, các phát hiện của ENKI ban đầu được báo cáo thông qua “một kênh không chính xác”. Microsoft có cam kết với khách hàng về việc điều tra các vấn đề bảo mật được báo cáo, và họ sẽ cung cấp bản cập nhật cho các thiết bị bị ảnh hưởng sớm nhất.
Các nhà nghiên cứu bảo mật tại Kaspersky đã liên kết các cuộc tấn công với một nhóm nhỏ thuộc Lazarus - nhóm tin tặc khét tiếng của Triều Tiên được biết đến qua các cuộc tấn công mã độc phá hoại và mã độc tống tiền trên toàn cầu.
Đỗ Đoàn Kết
(Theo Security Week)
11:00 | 01/02/2021
14:00 | 08/03/2021
13:00 | 15/03/2021
16:00 | 25/06/2021
09:00 | 11/03/2021
16:00 | 14/09/2020
09:00 | 25/05/2021
08:00 | 22/06/2020
16:00 | 16/03/2021
16:00 | 04/03/2021
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
16:00 | 31/08/2024
Theo Entropia Intel, từ ngày 26/8, loạt trang web liên quan đến chính phủ Pháp đã ngừng hoạt động do bị tấn công từ chối dịch vụ (DDoS). Sự việc diễn ra sau khi Pháp bắt CEO Telegram Pavel Durov hôm 24/8.
16:00 | 26/07/2024
Nhóm APT có tên là CloudSorcerer đã được phát hiện đang nhắm mục tiêu vào chính phủ Nga bằng cách tận dụng các dịch vụ đám mây để giám sát và kiểm soát (command-and-control, C2) và lọc dữ liệu.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
14:00 | 24/10/2024