Các nhà nghiên cứu bảo mật từ Trend Micro đã phát hiện ra một phương pháp tấn công mới cho phép tin tặc vượt qua mã nguồn Microsoft Integrity Guard (CIG). Điều này giúp những kẻ tấn công có thể cài các phần mềm độc hại vào ứng dụng được bảo vệ bởi CIG, bao gồm Microsoft Edge.

    CIG hoạt động như thế nào?

    CIG là một phần của Device Guard, một tính năng bảo mật trong Windows 10Windows Server 2016. Microsoft Edge được hỗ trợ CIG. Các nhà phát triển bên thứ ba cũng được phép triển khai CIG trong các ứng dụng riêng họ. Chẳng hạn, một ứng dụng được thiết kế để hỗ trợ CIG sẽ chỉ tải các thư viện liên kết động (DLL) và tệp nhị phân có liên quan của Microsoft cũng như Windows Store. Điều này giúp ngăn chặn việc cài mã độc không hợp lệ vào các ứng dụng CIG. Ví dụ: CIG sẽ chặn mã độc hiển thị nội dung lừa đảo tài chính của Trojans trong ứng dụng như Edge.

    Tính năng CIG sử dụng cho mã nguồn Windows 10 và Windows Server 2016.
    Tính năng CIG sử dụng cho mã nguồn Windows 10 và Windows Server 2016.

    Cách mà CIGslip vượt mặt CIG?

    Kỹ thuật được gọi là CIGslip dựa vào việc bỏ qua các cơ chế bảo mật của CIG mà không cần phải thay thế hoặc chèn đoạn mã khác vào bộ nhớ hệ thống. Một mã độc CIGslip-Toting có thể vượt qua lớp bảo vệ của CIG bằng cách bắt chước quá trình file DLL khởi chạy. Thông qua cách đó một quy trình không phải của CIG có thể dễ dàng vượt qua lớp bảo vệ và xâm nhập vào hệ thống CIG. Đó là cách mà tin tặc sử dụng để tấn công.

    Với kỹ thuật CIGslip, tin tặc có thể dễ dàng tấn công vào hệ thống qua lỗ hổng mã nguồn CIG.
    Với kỹ thuật CIGslip, tin tặc có thể dễ dàng tấn công vào hệ thống qua lỗ hổng mã nguồn CIG.

    Ảnh hưởng của điều này là gì?

    Theo các nhà nghiên cứu, tin tặc có thể sử dụng CIGslip để tải nội dung lừa đảo lên thiết bị người dùng. Những kẻ tấn công cũng có thể sử dụng CIGslip để phân phối phần mềm quảng cáo và các mối đe dọa khác thường được chuyển qua trình duyệt web.

    Có khắc phục được CIGslip không?

    Sự thật rằng các lỗ hổng bảo mật và sơ hở của phần mềm là nguyên nhân chính giúp tin tặc có thể xâm nhập vào các hệ thống. Trên thực tế, có đến một phần ba ứng dụng chứa các lỗ hổng bảo mật đã được biết đến. Điều đó dẫn đến rằng nếu CIG mở rộng cho các nhà phát triển sử dụng trong các API (Application Program Interfaces) của họ, kẻ tấn công có thể lợi dụng lỗ hổng bảo mật có sẵn để cài mã độc vào hệ thống.

    Những ứng dụng có chứa mã nguồn CIG đều bị ảnh hưởng bởi kỹ thuật này.
    Những ứng dụng có chứa mã nguồn CIG đều bị ảnh hưởng bởi kỹ thuật này.

    Các tổ chức, đặc biệt là các công ty phát triển phần mềm đang sử dụng ứng dụng tùy chỉnh để bảo vệ hoặc che khuất các lỗ hổng bảo mật này. Điều đó phòng ngừa việc tin tặc thông qua lỗ hổng tấn công vào các thiết bị.

    Chia sẻ.