400K Malware Outbreak Caused by Backdoored Russian Torrenting Client

พบการระบาดของมัลแวร์ กระทบผู้ใช้ส่วนใหญ่ในรัสเซียและตุรกีกว่า 400,000 คน ภายในช่วงระยะเวลา 12 ชั่วโมง จากการใช้ backdoor บน BitTorrent สัญชาติรัสเซีย ที่ชื่อว่า "MediaGet"

ไมโครซอฟท์เปิดเผยรายงานเชิงลึกเกี่ยวกับการทำงานของโทรจันตัวนี้ ที่มีชื่อว่า Dofoil หรือ Smoke Loader โดยจะถูกติดตั้งลงบนคอมพิวเตอร์ของผู้ใช้ผ่านทางไฟล์ชื่อ my.

Read more

utorrent: various JSON-RPC issues resulting in remote code execution, information disclosure, etc.

Tavis Ormandy จาก Google Project Zero ได้ออกมาประกาศการค้นพบช่องโหว่บนโปรโตคอล JSON-RPC ซึ่งใช้ในโปรแกรม uTorrent รวมไปถึง Bittorrent ซึ่งทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตรายไปยังเครื่องที่มีช่องโหว่ได้ พร้อมช่องโหว่เล็กน้อยๆ อื่นอีกจำนวนหนึ่ง แนะนำให้อัปเดตเป็นเวอร์ชันเบต้าโดยด่วน

หนึ่งในช่องโหว่ที่มีความร้ายแรงสูงนั้นเกิดขึ้นจากการที่ uTorrent มีการรองรับการเชื่อมต่อผ่านโปรโตคอล JSON-RPC เป็นค่าเริ่มต้นและมีการเก็บข้อมูลซึ่งเกี่ยวข้องกับการพิสูจนต์ตัวตนที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถใช้เทคนิคการโจมตีที่เรียกว่า DNS rebinding attack เพื่อลักลอบดึงข้อมูลที่เกี่ยวข้องกับการพิสูจน์ตัวตนดังกล่าวมาใช้งาน และควบคุมโปรแกรมให้ทำการอัปโหลด/ดาวโหลดไฟล์ไปยังตำแหน่งต่างๆ ในระบบได้

นอกเหนือจากช่องโหว่ที่เกี่ยวข้องกับ JSON-RPC นั้น โปรแกรม uTorrent ยังไม่มีการรองรับฟีเจอร์การป้องกันการของระบบ เช่น ASLR และมีการใช้ฟังก์ชันในการสร้าง token สำหรับพิสูจน์ตัวตนที่ไม่ปลอดภัยอีกด้วย Tavis ยังค้นพบว่า Bittorent นั้นก็ได้รับผลกระทบจากช่องโหว่ JSON-RPC เดียวกัน

Recommendation ในขณะนี้ uTorrent ได้มีการประกาศ uTorrent รุ่น 3.5.3 Beta ซึ่งมีการแก้ไขช่องโหว่ดังกล่าวแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตโปรแกรมเป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : Chromium

Read more