InPage là một bộ xử lý từ cho nhiều ngôn ngữ như Urdu, Ba Tư, Pashto và Ả Rập. Sản phẩm này được sử dụng rộng rãi ở châu Á và một số nơi khác trên thế giới bao gồm cả các công ty truyền thông, các trường chuyên nghiệp, thư viện, ngân hàng và các tổ chức chính phủ.
Khi phân tích mục tiêu mà tin tặc nhắm đến với những kiểu khai thác khác nhau, các nhà nghiên cứu tại Kaspersky Lab đã phát hiện ra một tập tin khai thác có phần mở rộng InPage (.inp). Tập tin này có chứa mã máy (shellcode), mã này được kích hoạt trên một số phiên bản InPage. Mã máy giải mã chính nó và một tập tin EXE nhúng trong tài liệu có chứa mã độc.
Theo nhà nghiên cứu Denis Legezo của Kaspersky: “InPage sử dụng định dạng tập tin riêng của mình dựa trên định dạng tập tin phức hợp của Microsoft (Microsoft Compound File Format). Khi phân tích các trường của tập tin InPage, các nhà nghiên cứu phát hiện ra trong thành phần “inpage.exe” có một lỗ hổng. Tin tặc đã lợi dụng lỗ hổng này bằng cách thiết lập một trường giống như một trường trong văn bản để có thể điều khiển dòng lệnh và thực thi mã”.
Trong các cuộc tấn công mà hãng bảo mật đã quan sát được, tin tặc gửi những email tấn công lừa đảo có chứa tập tin khai thác InPage tới nhiều cơ quan tài chính và chính phủ ở châu Á, châu Phi và các quốc gia khác như Myanmar, Sri-Lanka, Uganda. Khi tập tin khai thác bị lợi dụng để phát tán backdoors và keyloggers, các nhà nghiên cho rằng zero-day dường như đã đươc nhiều kẻ tấn công.sử dụng.
Kaspersky Lab nói rằng họ đã cố gắng thông báo tới các nhà phát triển InPage về lỗ hổng zero-day này, nhưng không thành công.
Trong khi các kẻ đe dọa thường tận dụng lỗ hổng trong phần mềm sử dụng trên thế giới (như Microsoft Office) thì những lỗ hổng trong các sản phẩm như InPage cũng có thể rất hữu hiệu đối với những cuộc tấn công chủ đích và tấn công cục bộ. Năm ngoái, các chuyên gia đã báo cáo lỗ hổng zero-day có trong HWP (Hangul Word Processor - phần mềm xử lý văn bản sử dụng phổ biến ở Hàn Quốc) đã bị tin tặc lợi dụng trong các cuộc tấn công. Tuy nhiên, khác với InPage, các nhà phát triển HWP dường như đã quan tâm hơn vào vấn đề bảo mật và họ thường xuyên đưa ra những bản cập nhật để vá những lỗ hổng này.
(Theo securityweek.com)