Diễn đàn Bảo mật Thông tin - ISF vừa phát hành báo cáo thể hiện cách nhìn tương lai về những mối đe dọa an ninh lớn nhất trong vòng 2 năm tới. ISF là tổ chức phi lợi nhuận chuyên nghiên cứu và phân tích những vấn đề an ninh cũng như quản lý rủi ro theo yêu cầu của các thành viên, định kỳ mỗi năm phát hành báo cáo mang tên "Viễn cảnh các mối đe dọa" để giúp các thành viên có cái nhìn tương lai về những mối đe dọa an ninh lớn nhất trong vòng 2 năm tới. Đây là 9 mối đe dọa lớn nhất cho đến 2017 mà bất kỳ cá nhân, tổ chức nào phải quản lý và giảm thiểu tác hại.

* Chi tiết tại http://www.pcworld.com.vn/articles/cong-nghe/an-ninh-mang/2015/03/1238555/9-moi-de-doa-an-ninh-thong-tin-lon-nhat-trong-24-thang-toi/.

EBay vừa vá 2 lỗ hổng bảo mật trong trang web của mình cho phép tin tặc upload file .exe trá hình các file được phép tải lên, xây dựng đường dẫn URL hoàn chỉnh rồi trỏ nạn nhân đến file độc hại thông qua tấn công drive-by download. Lỗ hổng đầu tiên có nguyên nhân trong khâu kiểm tra header của ảnh được tải lên bởi người dùng. Tin tặc có thể lợi dụng điều này tải một file độc hại giả mạo một hình ảnh, máy chủ vẫn chấp nhận và lưu trữ chúng.

Nếu tin tặc có thể tải lên một file tùy ý, hắn có thể nhúng malware vào file đó. Nhưng lỗ hổng thứ hai còn tiềm tàng các cuộc tấn công nghiêm trọng hơn. Lỗ hổng này bắt nguồn từ việc khi người dùng tải lên một file thành công, máy chủ eBay sẽ trả về một thông báo mới đường dẫn đến file chính xác. Tin tặc có thể tải lên file .exe độc hại, sau đó sử dụng URL trong tấn công drive-by download hoặc giấu file độc hại vào file ảnh sau đó sẽ khởi chạy trên hệ thống đầu cuối khi file ảnh được mở.

* Chi tiết tại https://threatpost.com/ebay-fixes-file-upload-and-patch-disclosure-bugs/111898.

Lần này nhóm SEA đã tấn công Bluehost, Justhost, Hostgator, HostMonster và FastDomain, đó là các công ty lưu trữ web hàng đầu thế giới. Nhóm SEA đã đăng trên Twitter của họ về vấn đề này bao gồm ảnh chụp màn hình tương ứng của từng nhà lưu trữ hosting. Lý do mà họ tấn công các công ty hosting này là họ đã lưu trữ thông tin các website của khủng bố. 

* Chi tiết tại http://thehackernews.com/2015/03/website-hosting-services.html.

Hacker mũ trắng người Ý Christian Galeone vừa thông báo tới Oracle về lỗ hổng an ninh nghiêm trọng có thể ảnh hưởng tới các công ty lớn và thậm chí cả nhân viên của họ. Lỗ hổng Path Traversal / LFI (Local File Inclusion) được phát hiện trên website Java JDK7.

Sau khi nhận thông báo về lỗ hổng, đội an ninh của Oracle đã tiến hành vá ngay trong ngày. Sau khi khai thác, chuyên gia cảnh báo phát hiện các dữ liệu quan trọng. Lỗ hổng không những cho phép hiển thị thông tin Web Server bao gồm R00t Access mà trong Source Code còn để lộ hơn 460 địa chỉ email cá nhân của nhân viên. 

* Chi tiết tại http://blog.hackersonlineclub.com/2015/04/oracle-security-at-risk-javanet-pwn3d.html.

Nhằm cải tiến trình duyệt Chrome, gần đây Google đã loại bỏ tổng cộng 192 tiện ích mở rộng (extension) xấu có nguy cơ ảnh hưởng 14 triệu người dùng khỏi Web Store của hãng. Hành động này được thực hiện sau khi nhóm nghiên cứu thuộc ĐH California tiến hành nghiên cứu về tiện ích ad injector (tiêm quảng cáo) và đưa ra phương thức “bắt” các extension xấu.

Hơn 100.000 người dùng Chrome phàn nàn về tiện ích tiêm quảng cáo đang gây rắc rối cho người dùng của tất cả các trình duyệt bất kể là họ đang dùng hệ điều hành gì. Hơn thế nữa, tiện ích còn gây bất lợi cho các hãng quảng cáo và Publisher (chủ webiste). Bên cạnh nguy cơ dẫn đến các cuộc tấn công man-in-the-middle (MitM), người dùng còn có thể bị đánh lừa cài đặt những phần mềm nguy hiểm. 

* Chi tiết tại http://news.softpedia.com/news/Google-Bans-192-Bad-Extensions-Affecting-14-Million-Chrome-Users-477226.shtml.

Nhà nghiên cứu bảo mật Kamil Hismatullin phát hiện ra một lỗ hổng đơn giản nhưng vô cùng nghiêm trọng trong YouTube cho phép hacker xóa bất cứ video nào bằng cách làm hệ thống nhận diện sai video đó thuộc về hacker. Kamil đã được mời với mức lương 1.337 USD khi tham gia Google Vulnerability Research Grants nghiên cứu về bảo mật các sản phẩm của Google. Ông đã làm việc với YouTube Creative Studio và tìm ra lỗ hổng cục bộ cho phép xóa bất kì video nào bằng cách điền video ID vào bất kì session token nào.

* Chi tiết tại http://www.techworm.net/2015/04/google-fixes-youtube-bug-that-allowed-hackers-to-delete-any-video.html.

Thành viên thứ tư của nhóm hacker quốc tế nhận tội ăn cắp tài sản trị giá 100 triệu USD từ Microsoft và dữ liệu của quân đội mỹ. Trong tháng 10/2014, một nhóm 4 thành viên tuổi teen bị buộc tội ăn cắp tài sản trị giá 100 triệu USD từ Microsoft, trò chơi Epic, phần mềm Valve, Zombie Studios và xâm phạm chiếm quyền truy cập vào các phần mềm độc quyền quân đội Mỹ sử dụng huấn luyện phi công trực thăng của họ. Nhóm này thậm chí đã cố gắng bán các dữ liệu bí mật mà mình hack được.

Trong số 4 thành viên của nhóm này bao gồm 2 người Mỹ và 1 người Canada. Thành viên thứ tư Austin Alcala, một thiếu niên 19 tuổi, sống với cha mẹ ở Indiana. Cả 4 thành viên đã nhận hành vi phạm tội của mình. Theo Bộ Tư pháp Mỹ, nhóm hacker này đã "đánh cắp phần mềm và dữ liệu liên quan đến game console Xbox và Xbox Live hệ thống chơi game trực tuyến.

* Chi tiết tại http://www.techworm.net/2015/04/arrested-hacker-pleads-guilty-to-100-million-theft-of-microsoft-valve-u-s-army-data.html.

QUÂN TẠ (tổng hợp)