Khuyến cáo không nên mở tệp tin .m3u trên Telegram Desktop vì có thể bị rò rỉ địa chỉ IP

Kẻ tấn công có thể sử dụng kỹ thuật PtH để đăng nhập vào hệ thống mà không cần biết mật khẩu thật

Người dùng Telegram phiên bản Desktop hiện đối mặt với một lỗ hổng bảo mật nghiêm trọng cho phép kẻ tấn công thu thập thông tin hệ thống thông qua tập tin (file) mang định dạng .m3u.

Cụ thể, chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) đã đưa ra cảnh báo, người dùng không nên mở tệp tin .m3u trên Telegram Desktop, vì có thể dẫn đến rò rỉ địa chỉ IP, cổng kết nối (Port) và NTLMv2 hash của Windows. Thông tin này ban đầu được chia sẻ trên nhóm cộng đồng CyberJutsu Academy, dựa trên một bài viết từ X/Twitter.

Theo đó, tệp .m3u vốn là danh sách phát nhạc hoặc video, nhưng hacker có thể nhúng các đường dẫn độc hại vào bên trong. Khi mở trên Telegram Desktop, phần mềm có thể tự động tải nội dung từ các địa chỉ bên ngoài, làm rò rỉ IP, Port và NTLMv2 hash của Windows.

Việc bị lộ NTLMv2 hash là đặc biệt nguy hiểm vì kẻ tấn công có thể sử dụng kỹ thuật PtH để đăng nhập vào hệ thống mà không cần biết mật khẩu thật. Nếu thành công, hacker có thể chiếm quyền kiểm soát toàn bộ mạng nội bộ, gây hậu quả nghiêm trọng.

 Người dùng không nên mở tệp tin .m3u trên Telegram Desktop, vì có thể dẫn đến rò rỉ địa chỉ IP. Ảnh minh họa

Thực tế Pass-the-Hash (PtH) là một kiểu tấn công an ninh mạng. Trong quá trình sử dụng, windows có thiết lập hệ thống SSO, lưu trữ thông tin xác thực và sử dụng chúng trong quá trình người dùng truy cập các tài nguyên được chia sẻ trong mạng (file, máy in,…) mà không cần nhập lại mật khẩu.

Quá trình xác thực này sử dụng giao thức NTLMv2 để và hash NTLMv2 sử dụng NTLM hash trong phương thức trao đổi khóa Challenge/Response. Tính năng này cho phép kẻ tấn công xác thực thông qua NTLM hash mà không cần đến mật khẩu hoặc dùng kỹ thuật MITM để đánh cắp trực tiếp NTLMv2 hash để xác thực.

Không giống như các cuộc tấn công đánh cắp thông tin đăng nhập khác, PtH không yêu cầu kẻ tấn công phải biết hoặc bẻ khóa mật khẩu để có quyền truy cập vào hệ thống. Thay vào đó, nó sử dụng phiên bản đã lưu trữ của mật khẩu để bắt đầu một phiên mới.

Khi ngày càng nhiều tổ chức tận dụng công nghệ đăng nhập một lần (SSO) để hỗ trợ lực lượng lao động từ xa, những kẻ tấn công đã nhận ra lỗ hổng cố hữu của mật khẩu và thông tin đăng nhập người dùng được lưu trữ.

Trong các cuộc tấn công PtH, kẻ xấu đóng giả làm người dùng hợp pháp, đặc biệt khó bị phát hiện vì hầu hết các giải pháp an ninh mạng truyền thống không thể phân biệt giữa người dùng thực và kẻ tấn công giả mạo.

Chuyên gia an ninh mạnh cũng khuyến cáo người dùng không nên mở tệp tin .m3u từ bất kỳ nguồn không tin cậy nào, đặc biệt là trên Telegram Desktop. Nếu cần bảo vệ thông tin cá nhân, người dùng nên sử dụng VPN để ẩn địa chỉ IP, tránh bị thu thập dữ liệu khi kết nối Internet. Ngoài ra, việc cập nhật hệ điều hành và phần mềm Telegram lên phiên bản mới nhất là điều cần thiết để giảm thiểu rủi ro bảo mật.

Bên cạnh đó, việc bật xác thực hai lớp (2FA) cũng là một biện pháp quan trọng để bảo vệ tài khoản trước nguy cơ chiếm đoạt. Bằng cách chủ động phòng tránh, người dùng có thể hạn chế nguy cơ bị tấn công và bảo vệ an toàn cho hệ thống của mình.

Trước đây, chuyên gia Hiếu PC đã nhiều lần cảnh báo cộng đồng về các đường link và tệp tin có thể chứa mã độc, đánh cắp thông tin người dùng. Anh từng nhấn mạnh nguy cơ từ các đường link giả mạo website ngân hàng, trang đăng nhập Facebook, Google, hay các tệp tin có đuôi .exe, .scr, .zip bị nhúng mã độc. Bên cạnh đó, các tệp tin Word, Excel chứa macro cũng là công cụ phổ biến của hacker nhằm đánh cắp dữ liệu hoặc cài đặt phần mềm gián điệp trên máy nạn nhân.

Ngoài ra, nhiều chiến dịch lừa đảo gần đây còn lợi dụng các file PDF hoặc các link Google Drive giả mạo để dụ người dùng tải về phần mềm độc hại. Hiếu PC khuyến cáo rằng, nếu nhận được tin nhắn có chứa file hoặc đường link lạ, người dùng cần kiểm tra kỹ trước khi bấm vào để tránh bị tấn công.

Trong thời gian gần đây, tình trạng lừa đảo trực tuyến ngày càng gia tăng với nhiều hình thức mới và tinh vi hơn. Kẻ xấu không chỉ lợi dụng các tệp tin có định dạng đặc biệt để đánh cắp thông tin mà còn sử dụng mạng xã hội, email giả mạo và tin nhắn SMS để dụ người dùng nhấp vào các đường link độc hại. Nhiều cuộc tấn công còn khai thác lỗ hổng trên các nền tảng nhắn tin phổ biến như Telegram, WhatsApp và Facebook Messenger để phát tán phần mềm độc hại.

Các chuyên gia an ninh mạng liên tục cảnh báo người dùng cần hạn chế tải về và mở file từ nguồn không rõ ràng, đồng thời nâng cao nhận thức về các thủ đoạn lừa đảo mới. Ngoài ra, việc sử dụng phần mềm bảo mật, quét virus thường xuyên và theo dõi các cảnh báo từ cộng đồng an ninh mạng cũng là cách hiệu quả để bảo vệ dữ liệu cá nhân trước các mối đe dọa ngày càng tinh vi.

Làm thế nào để giảm thiểu nguy cơ bị tấn công PtH?

Theo chuyên gia an ninh mạng, người dùng nên triển khai xác thực đa yếu tố (MFA) yêu cầu các bước xác minh bổ sung ngoài mật khẩu để đảm bảo rằng chỉ thông tin xác thực không thể cấp quyền truy cập. Nâng cấp lên các giao thức bảo mật bao gồm việc thay thế NTLM bằng các tùy chọn mạnh hơn, chẳng hạn như cơ chế xác thực Kerberos.

 Hạn chế quyền truy cập tài khoản đặc quyền thông qua quản lý quyền truy cập đặc quyền (PAM) và nguyên tắc đặc quyền tối thiểu để kiểm soát và giám sát các tài khoản nhạy cảm. Bảo mật Active Directory (AD) và Windows Server, đồng thời thường xuyên theo dõi cả hai hệ thống.

Áp dụng chính sách quản lý mật khẩu mạnh bằng cách sử dụng mật khẩu phức tạp và yêu cầu cập nhật mật khẩu thường xuyên.  Áp dụng mô hình không tin cậy, giả định rằng tất cả người dùng và thiết bị đều có thể bị xâm phạm do đánh cắp thông tin đăng nhập, yêu cầu xác minh ở mọi bước.

Triển khai các giải pháp bảo mật tiên tiến, chẳng hạn như tường lửa, công cụ phát hiện điểm cuối và giám sát mạng, để xác định và ngăn chặn các mối đe dọa mạng trước khi chúng leo thang.

Theo các chuyên gia bảo mật, khi nhận được tin nhắn yêu cầu truy cập vào bất kỳ đường link nào, người dùng cần bình tĩnh, kiểm tra lại xem liệu đó có phải link giả mạo hay không vì thực tế các link này chứa rất nhiều ký tự khác biệt với đường link chính thức của các cơ quan, tổ chức. Hoặc khi nhận được tin nhắn yêu cầu truy cập vào bất kỳ đường link nào, người dùng cần bình tĩnh, kiểm tra lại xem liệu đó có phải link giả mạo hay không vì thực tế các link này chứa rất nhiều ký tự khác biệt với đường link chính thức của các cơ quan, tổ chức.

  An Dương (T/h)