Malware vẫn cố gắng né tránh các biện pháp bảo vệ của Windows 7

Quản trị mạng – Windows 7 có bổ sung thêm một số tính năng bảo mật mới, tuy nhiên các tấn công social engineering cho thấy rằng chúng ta vẫn chưa thể yên tâm với những biện pháp bảo mật mà hệ điều hành này cung cấp.

Các chuyên gia về bảo mật đồng ý rằng, Windows 7 có một số tính năng bảo mật nâng cao có thể tránh các tấn công vào các lỗ hổng trong phần mềm cũ. Tuy nhiên điều gì sẽ xảy ra nếu những kẻ có mưu đồ xấu trên mạng có thể thuyết phục bạn download malware về máy tính của mình?

“Windows 7 an toàn hơn và việc nâng cấp lên hệ điều hành này là một bước cải tiến đáng kể. Tuy nhiên điều này không thể ngăn chặn được hết malware trong các tấn công của nó”, Chester Wisniewski, một chuyên gia bảo mật của Sophos đã phát biểu như vậy.

Các khai thác được thực hiện như thế nào

Kẻ lừa đảo thường sử dụng hai thủ đoạn để cài đặt malware vào một máy tính. Các khai thác thường thực hiện bằng cách găm một phần mã tấn công ẩn trong trang web – thường một site với mục đích tốt nhưng đã bị hack. Khi người dùng duyệt đến trang này, khai thác sẽ tìm kiếm các lỗi phần mềm trong Windows hoặc trong các chương trình khác như Adobe Flash hoặc QuickTime. Nếu nó phát hiện ra các lỗ hổng trong các phần mềm này, khai thác có thể bí mật cài đặt malware mà không để lộ bất cứ dấu vết tấn công nào.

Ngược lại, các tấn công social engineering thường cố gắng dụ dỗ bạn thực hiện download và cài đặt bot malware bị giả mạo cứ như thể là một chương trình hoặc đoạn video hữu dụng. Một số tấn công thường kết hợp cả hai, đầu tiên kẻ lừa đảo gửi một email khuyên người khác mở một file PDF đính kèm để khởi chạy một khai thác ẩn trong file, sau đó thực hiện tìm kiếm lỗi trong Adobe Reader.

"Các nâng cấp bảo mật trong Windows 7 có thể ngăn chặn nhiều tấn công nhắm vào các lỗ hổng phần mềm. Ví dụ như tấn công ActiveX, đã có lần là nguyên nhân gây mất lòng tin đối với người dùng Internet Explorer, có thể biến mất với tính năng Protected Mode của IE8", H.D. Moore, một chuyên gia bảo mật của Rapid7, người viết công cụ test Metasploit đã cho biết như vậy.

Address Space Layer Randomization tạo khó khăn trong việc tìm ra lỗ hổng của một chương trình đang chạy trong bộ nhớ máy tính, điều này rõ ràng đã gây khó cho những kẻ tấn công. Tính năng Data Execution Prevention có liên quan sẽ cố gắng ngăn chặn tấn công lợi dụng các lỗi có thể bị phát hiện.

“Bộ đôi này có một ảnh hưởng rất lớn, mặc dù ASLR và DEP đã được mở rộng để bảo vệ nhiều chương trình trong Windows 7 hơn so với Vista tuy nhiên chúng không bao phủ được hết tất cả các ứng dụng”, Wisniewski cho biết.

Vista an toàn hơn XP?

Để biết được những gì có thể ảnh hưởng, chúng ta có thể quan sát cách Vista đối chọi lại với malware như thế nào. Báo cáo bảo mật mới nhất của Microsoft đã thống kê nửa đầu năm 2009, trước khi phát hành Windows 7. Báo cáo này được dựa trên dữ liệu từ Malicious Software Removal Tool, công cụ mà Microsoft phân phối thông qua Automatic Updates để chống lại sự tiêm nhiễm của malware. Theo dữ liệu thu thập được này, tốc độ tiêm nhiễm của các máy tính Vista thấp hơn 62% hệ thống XP.

Điều này có thể được giải thích một cách dễ dàng, người dùng Vista thường có nhiều hiểu biết hơn và ít trở thành nạn nhân của malware hơn. Tuy nhiên các mẫu thử cho XP và Vista, những thứ mà Microsoft không đưa vào trong báo cáo, có thể làm lệch lạc các thống kê.

Tuy nhiên Wisniewski của Sophos cho rằng, ASLR và DEP cũng là các hệ số. Và vì các tính năng này được mở rộng trong Windows 7, nên chúng ta hoàn toàn có lý để hy vọng chúng sẽ tiếp tục có hiệu quả.

“Tôi không nghĩ vấn đề này sẽ được giải quyết một sớm một chiều vì có khá nhiều cách mà các kẻ tấn công có thể và sẽ tiếp tục tấn công các hệ điều hành mới tuy nhiên nó là một tấm chắn để gia cố thêm lớp bảo vệ cho người dùng”, Moore nói thêm.

Hack người, không hack chương trình

Nhận định các tấn công khai thác có thể khó thắng thế trước Windows 7, tuy nhiên các tấn công social engineering vẫn rất nguy hiểm. Về lý thuyết, User Account Control giảm được độ bực mình hơn đối với người dùng thì chắc chắn sẽ ít có khả năng vô hiệu hóa các download độc hại vào máy tính hơn.

Trong tháng 10 năm ngoái, Sophos đã thực hiện một bài test để xem Windows 7 và UAC xử lý với malware ra sao. Đầu tiên, các nhà thí nghiệm này đã lấy mười mẫu mã độc đầu tiên có trong phòng thí nghiệm của họ. Sau đó chạy các mẫu này trên một máy tính Windows mới có các thiết lập UAC mặc định, không có phần mềm antivirus nào được cài đặt.

Hai mẫu không thể chạy trên Windows 7. Tuy nhiên ở thiết lập mặc định, UAC chỉ khóa được một mẫu, còn lại 7 mẫu vẫn qua mặt được các thiết lập bảo mật mặc định này.

Bài test của Sophos đã kết luận hai điểm. Đầu tiên, Wisniewski và những đồng nghiệp cho rằng, UAC không được thiết kế để có thể ngăn chặn malware như những gì nó vẫn được giới thiệu – vì vậy bạn không nên hy vọng nó có thể bảo vệ được máy tính của mình.

Thứ hai những kẻ xấu có thể đánh lừa bạn download về Trojan horse, ASLR và DEP không khắc phục được vấn đề này. Bộ lọc SmartScreen của IE8 và các tính năng tương tự trong các trình duyệt khác có thể khóa các tấn công đã được biết trước, tuy nhiên thế giới malware lại vô cùng hiểm độc và liên tục có những bước phát triển.

Những trò lừa đảo Social engineering có thể như như sử dụng một tài khoản mạng xã hội bị hack để gửi đi các mồi nhử malware đến bạn bè của chủ tài khoản, hay gửi một liên kết đến một đoạn video giả mạo hoặc ẩn bên dưới là một URL độc trong một liên kết rút ngắn giống như kiểu vẫn được sử dụng trên Twitter (để có thêm thông tin về các tấn công nguy hiểm, bạn có thể tham khảo thêm bài viết Ngăn chặn 11 kiểu tội phạm bảo mật khó phát hiện).

May rủi trong các mưu đồ bất lương chẳng hạn như các đoạn video hướng dẫn bạn cài đặt một file mã (tuy nhiên thay vì đó lại dẫn bạn thực hiện một download malware), hay các tài liệu giả mạo được đính kèm trong các thư điện tử cứ như đến từ các đồng nghiệp của mình, điều đó minh chứng cho sự thực rõ ràng rằng người dùng Windows 7 vẫn không thể yên tâm với các biện pháp bảo mật mà họ được hưởng.