Theo nhóm nghiên cứu Project Zero của Google, ứng dụng truyền và tải file có tên “Transmission” được người dùng BitTorrent sử dụng có thể bị tin tặc lợi dụng cho mục đích tấn công.
Hóa ra, do một lỗ hổng được phát hiện trong ứng dụng ‘Tranmission BitTorrent’ được nhiều người sử dụng, kẻ tấn công có thể kiểm soát máy tính của người dùng BitTorrent bằng cách tải mã độc lên máy tính của họ.
Lỗ hổng này được phát hiện bởi nhóm phát hiện lỗ hổng “Project Zero” của Google. Tavis Ormandy, một thành viên của nhóm này, đã gửi một bài thuyết trình về cách thực hiện cuộc tấn công có thể xảy ra này.
Nhóm Project Zero thường thông báo các cuộc tấn công mà họ phát hiện được 90 ngày sau khi họ báo cáo các cuộc tấn công cho các tổ chức phần mềm có liên quan hoặc các công ty này phát hành bản vá về các lỗ hổng được báo cáo.
Nhưng trong trường hợp mới nhất này, các nhà nghiên cứu cảm thấy cần phải báo cáo về vấn đề này 40 ngày sau, vì các nhà phát triển ứng dụng có tên Transmission đã không thành công trong việc phát triển bản vá cho vấn đề mà nhóm Project Zero đã báo cáo một tháng trước.
Bằng chứng khái niệm về tấn công
‘Bằng chứng khái niệm’, do Ormandy xuất bản, khai thác một chức năng đặc biệt của ứng dụng có tên là Transmission, cho phép người dùng sử dụng BitTorrent với trình duyệt web của họ.
Ormandy cho biết công cụ tấn công do anh phát triển có thể sử dụng được trên trình duyệt Chrome và Firefox. Windows và xác nhận rằng nó hoạt động trên hệ điều hành Linux. Nó cũng tuyên bố rằng các trình duyệt và nền tảng khác cũng dễ bị tấn công bởi cuộc tấn công này.
Ứng dụng BitTorrent có tên Transmission chạy trên kiến trúc ‘máy chủ-máy khách’ nơi người dùng phải cài đặt máy chủ daemon trên hệ thống của họ để truy cập giao diện dựa trên web thông qua trình duyệt cục bộ của họ.
Daemon được cài đặt trên hệ thống của người dùng sẽ tương tác với máy chủ để tải xuống và tải tệp lên qua trình duyệt với lời nhắc JSON RPC.
Ormandy nhận thấy rằng kỹ thuật tấn công này, mà ông gọi là ‘liên kết hệ thống tên miền’, đã lạm dụng thành công thiết lập mà chúng tôi vừa đề cập và với sự trợ giúp của dịch vụ daemon đã cài đặt, đã cho phép tải mã nguồn độc hại lên máy tính của người dùng từ xa trên tất cả các trang web độc hại mà người dùng sẽ truy cập.
Cuộc tấn công diễn ra như thế nào
Lỗ hổng này dựa trên việc thao túng các dịch vụ được cài đặt trên máy chủ cục bộ để chúng tương tác với các trang web của bên thứ ba.
Sau khi tạo tên DNS mà chúng được phép liên lạc, kẻ tấn công có thể khai thác lỗ hổng này bằng cách kết nối nó với tên máy chủ cục bộ của nạn nhân.
1. Người dùng truy cập trang web độc hại (http://saldirgan.com). Trang web này có chuyển hướng iframe đến tên miền phụ do kẻ tấn công kiểm soát.
2. 127 như một giải pháp thay thế cho máy chủ DNS tấn công.0.0.1 và đặt nó tương tác với 123.123.123.123 (địa chỉ do kẻ tấn công kiểm soát) với TTL rất thấp.
3. Khi trình duyệt phân giải 123.123.123.123, nó sẽ hoạt động dưới dạng HTML chờ thời gian đăng nhập DNS hết hạn (hoặc làm ngập bộ đệm bằng phương pháp tra cứu, buộc phải ngắt kết nối). Và vì vậy nó được phép đọc và đặt tiêu đề.
Ormandy cho biết lỗ hổng này (CVE-2018-5072) là “lỗ hổng thực thi mã truy cập từ xa đầu tiên có trên các máy chủ torrent phổ biến khác nhau”, nhưng không chỉ rõ máy chủ torrent nào khác vì thời hạn 90 ngày vẫn chưa hết.
