Theo một cách nào đó kỹ thuật hack này cho phép đưa mã độc vào mọi phiên bản hệ điều hành Windows, mà không một công cụ malware nào hiện tại có thể phát hiện được, kể cả Windows 10.

Bạn tự tin rằng chiếc máy tính chạy Windows của mình rất an toàn khi luôn cập nhận các bản vá cho hệ điều hành. Nhưng không, chưa hẳn là vậy!

Theo genk.vn, mới đây các nhà khoa học vừa khám phá ra một kỹ thuật có thể tấn công vào bất cứ hệ điều hành Windows nào được mệnh danh là “AtomBombing”. Thay vì khai thác các lỗ hổng như thường thấy, “AtomBombing” lợi dụng một điểm yếu trong thiết kế của hệ điều hành Windows để tấn công.

%image_alt%

Một kỹ thuật tấn công Code Injection mới giúp malware vượt qua các biện pháp an ninh

Kỹ thuật tấn công AtomBombing lợi dụng Atom Tables, một tính năng cấp hệ thống của Windows. Tính năng này là một bảng cho phép các ứng dụng lưu lại thông tin trên các chuỗi (string), các đối tượng (object) và các loại dữ liệu khác để truy cập vào một cách thường xuyên.

Khi một ứng dụng đặt một chuỗi vào bảng này, nó sẽ nhận lại được một số nguyên 16-bit, được gọi là atom, dùng để truy cập vào chuỗi đó. Hệ điều hành Windows cung cấp một số bảng các atom đó và mỗi bảng lại phục vụ cho một số mục đích khác nhau khi chia sẻ giữa các ứng dụng. Và khi Atom chia sẻ các bảng này, tất cả mọi loại ứng dụng có thể truy cập hoặc chỉnh sửa dữ liệu bên trong các bảng đó.

Một nhóm các nhà nghiên cứu từ công ty an ninh mạng EnSilo, những người đã đưa ra kỹ thuật AtomBombing này, cho biết: lỗi thiết kế này trong Windows có thể cho phép các mã độc hại chỉnh sửa được các bảng atom này và đánh lừa các ứng dụng hợp lệ để chúng thực thi các hành vi độc hại thay cho kẻ tấn công.

Các nhà nghiên cứu cho biết thêm: khi đưa được các mã độc vào các process hợp lệ này, malware sẽ giúp những kẻ tấn công dễ dàng vượt qua các cơ chế bảo mật để bảo vệ hệ thống và đưa vào các phần mềm độc hại.

%image_alt%

AtomBombing có thể thực thi kiểu tấn công MITM, giải mã mật khẩu và nhiều hơn nữa

Bên cạnh việc vượt qua các hạn chế cấp process, kỹ thuật AtomBombing cũng cho phép những kẻ tấn công thực hiện cách thức tấn công trình duyệt man-in-the-middle (MITM), chụp ảnh màn hình từ xa đối với máy tính của người dùng nạn nhân, và truy cập vào các mật khẩu mã hóa được lưu trên trình duyệt.

Google Chrome mã hóa các mật khẩu của bạn bằng cách sử dụng API Windows Data Protection (DPAPI), trong đó sử dụng dữ liệu thu được từ người dùng hiện tại để mã hóa hoặc giải mã dữ liệu và truy cập vào mật khẩu.

Vì vậy, nếu malware được “tiêm vào” (inject) trong một process đang chạy trong phạm vi của người dùng hiện tại, nó có thể truy cập vào toàn bộ các mật khẩu đó dưới dạng văn bản gốc (plain text), chưa được mã hóa.

Hơn nữa, bằng cách tiêm đoạn mã vào trong trình duyệt web, những kẻ tấn công có thể chỉnh sửa nội dung hiển thị cho người dùng.

“Ví dụ, trong một giao dịch ngân hàng, khách hàng luôn được hiển thị chính xác các thông tin thanh toán như khách hàng dự định tiến hành, thông qua màn hình xác nhận.”, Tal Liberman, người đứng đầu nhóm nghiên cứu bảo mật của EnSilo cho biết.

“Tuy nhiên, kẻ tấn công có thể chỉnh sửa dữ liệu để ngân hàng nhận được các thông tin giao dịch sai theo ý muốn của kẻ tấn công, ví dụ số tài khoản cần chuyển tiền đến và số tiền cần chuyển.” Bằng cách này, nạn nhân có thể vô tình chuyển tiền cho kẻ tấn công mà không biết.

Chưa có bản vá cho kỹ thuật tấn công AtomBombing

%image_alt%

Công ty cho biết mọi phiên bản của hệ điều hành Windows, bao gồm cả phiên bản Windows 10 mới nhất, đều bị ảnh hưởng. Điều này còn tồi tệ hơn nữa khi hiện giờ vẫn chưa có bản sửa lỗi nào cho nó.

“Thật không may, vấn đề này không thể vá khi nó không dựa trên các đoạn mã bị hỏng hay bị lỗi – thay vào đó, nó dựa trên cơ chế của các hệ điều hành này được thiết kế.”, Ông Liberman cho biết.

Do kỹ thuật tấn công AtomBombing khai thác các hàm hợp lệ của hệ điều hành để thực hiện cuộc tấn công, điều này cũng có nghĩa là Microsoft không thể khắc phục vấn đề này bằng một bản vá. Thay vào đó họ phải thay đổi cách toàn bộ hệ điều hành này hoạt động, một giải pháp dường như khó có thể khả thi.

Bảo Nguyên tổng hợp

Xem thêm: