Lỗ hổng ZDI-CAN-25373 Windows Shortcut: Mối đe dọa đang diễn ra

28/03/2025
2 mins read
Nội dung
Tổng quan về lỗ hổng
Sự khai thác bởi các nhóm đe dọa
Kỹ thuật được sử dụng bởi kẻ tấn công
Phát hiện và ứng phó
Các chỉ số xâm nhập (IOC)
Kết luận

Tổng quan về lỗ hổng

  • Mô tả lỗ hổng: Lỗ hổng cho phép kẻ tấn công thực thi các lệnh độc hại ẩn trên máy của nạn nhân thông qua việc sử dụng các tệp lối tắt (.lnk) được chế tạo. Điều này xảy ra do việc xử lý không chính xác dữ liệu do người dùng cung cấp trong các tệp .lnk, cho phép kẻ tấn công ẩn các đối số dòng lệnh trong các tệp này.
  • CVE-ID: Lỗ hổng được theo dõi với mã ZDI-CAN-25373, còn được biết đến với tên ZDI-25-148.
  • Điểm CVSSv3: Lỗ hổng có điểm CVSSv3 là CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:H/RL:U/RC:C, cho thấy đây là lỗ hổng có độ nghiêm trọng cao.

Sự khai thác bởi các nhóm đe dọa

  • Các nhóm do nhà nước bảo trợ: Lỗ hổng đã bị khai thác bởi các nhóm đe dọa tiên tiến (APT) do nhà nước bảo trợ từ Bắc Triều Tiên, Iran, Nga và Trung Quốc. Những nhóm này đang sử dụng lỗ hổng để thực hiện gián điệp mạng và các tội phạm tài chính, đặc biệt là nhằm vào các nền tảng tiền điện tử và thông tin nhạy cảm của chính phủ.
  • Số lượng khai thác: Gần 1.000 tệp .lnk độc hại khai thác ZDI-CAN-25373 đã được xác định, nhưng số lượng thực tế của các nỗ lực khai thác có thể cao hơn nhiều, cho thấy đây là một mối đe dọa đáng kể và kéo dài.

Kỹ thuật được sử dụng bởi kẻ tấn công

  • Thực thi lệnh ẩn: Kẻ tấn công nhúng các đối số dòng lệnh ẩn trong các tệp .lnk, và chúng sẽ được thực thi khi nạn nhân mở tệp lối tắt. Điều này gây khó khăn trong việc phát hiện vì nội dung độc hại không hiển thị với người dùng.
  • Tải trọng độc hại: Việc khai thác ZDI-CAN-25373 khiến các tổ chức gặp rủi ro lớn về đánh cắp dữ liệu và gián điệp mạng. Các tải trọng độc hại bao gồm các phần mềm thu thập thông tin như Lumma và các trojan truy cập từ xa (RAT) như Remcos.

Phát hiện và ứng phó

  • Theo dõi các tệp khả nghi: Các tổ chức nên quét hệ thống của họ để tìm các tệp lối tắt có thể chứa các lệnh độc hại nhúng. Việc hạn chế thực thi các lối tắt không rõ nguồn gốc từ các nguồn không đáng tin cậy cũng là điều cần thiết.
  • Giải pháp Phát hiện và Ứng phó Điểm cuối (EDR): Các công cụ bảo mật tiên tiến có thể phát hiện hành vi bất thường liên quan đến việc khai thác lối tắt. Việc giáo dục nhân viên để nhận biết các tệp khả nghi và tránh thực thi các lối tắt không rõ nguồn gốc cũng rất quan trọng.
  • Bảo vệ từ Trend Micro: Khách hàng của Trend Micro được bảo vệ khỏi các nỗ lực khai thác lỗ hổng thông qua các quy tắc và bộ lọc được phát hành vào tháng 10 năm 2024 và tháng 1 năm 2025.

Các chỉ số xâm nhập (IOC)

  • Truy vấn tìm kiếm: Khách hàng của Trend Vision One có thể sử dụng ứng dụng Tìm kiếm để tìm kiếm hoặc theo dõi các chỉ số độc hại được đề cập trong bài viết với dữ liệu trong môi trường của họ. Ví dụ bao gồm việc phát hiện thực thi cmd.exe hoặc powershell.exe khả nghi từ các tệp LNK.

Kết luận

Sự khai thác ZDI-CAN-25373 chỉ ra rằng cần thiết phải các nhà cung cấp như Microsoft hành động nhanh chóng đối với các lỗ hổng đã được báo cáo. Cho đến khi một bản vá chính thức được phát hành, các nhóm an ninh mạng phải luôn cảnh giác trước mối đe dọa đang diễn ra này, đảm bảo có các biện pháp bảo vệ điểm cuối và mạng toàn diện để phát hiện và ứng phó với mối đe dọa này.