Microsoft vá lỗi "zero-day" nghiêm trọng trên Windows

Quản Trị Mạng - Microsoft đã tung ra 6 bản cập nhật bảo mật để vá 11 lỗ hổng trong Windows, Internet Explorer (IE), Office và một vài sản phẩm khác trong đó có một lỗi đã bị hacker khai thác. Công ty cũng phát hành bản vá đầu tiên cho Windows 8 Consumer Preview, bản Windows 8 beta được phát hành cuối tháng Hai vừa qua.

Nhưng MS12-027 hiện nhận được nhiều sự chú ý hơn cả.

Andrew Storms, giám đốc các hoạt động bảo mật của nCircle Security cho biết: “Microsoft đang thông báo về những cuộc tấn công có chủ đích diễn ra dữ dội”.

Những thiếu sót mà kẻ tấn công khai thác trước khi có bản vá cho chúng được gọi là những lỗ hổng “zero-day” .

Lỗ hổng được vá trong MS12-027 nằm trong một điều khiển của ActiveX xuất hiện ở các phiên bản Office 32bit 2003, 2007 và 2010. Microsoft cũng đã khuyến cáo SQL Server, Commerce, BizTalk Server, VisualFoxPro và Visual Basic cần bản vá này.

Ông Storms, các chuyên gia bảo mật cũng như Microsoft đều coi MS12-027 là bản cập nhật đầu tiên mà người dùng phải cài đặt.

Hacker đã sử dụng lỗ hổng trong các tài liệu văn bản lỗi định dạng mà khi được mở ra bằng Word hoặc WordPad cuối cùng vẫn dẫn đến sử dụng trình biên tập văn bản gốc được tích hợp sẵn trong mỗi phiên bản Windows bao gồm cả Windows 7. Lợi dụng lỗ hổng này, hacker có thể điều khiển được PC. Microsoft đã xác nhận điều này trong một bài đăng trên blog Security Research & Defense (SRD).

“Chúng tôi coi MS12-027 là bản cập nhật bảo mật ưu tiên cao nhất được đưa ra tháng này bởi vì chúng tôi nhận thức được các cuộc tấn công có chủ đích đang lợi dụng lỗ hổng CVE-2012-0158 bằng cách sử dụng các tài liệu Office được xử lý đặc biệt”, Elia Florio, một kỹ sư trong trung tâm tiếp ứng an ninh của Microsoft phát biểu trên blog SRD.

Microsoft đã không công khai ra công luận khi hãng mới nhận biết được các cuộc tấn công hay công khai ai đã thông báo về lỗ hổng cho đội bảo mật của hãng.

Storms cho rằng một cá nhân hay công ty nào đó bị tấn công đã phát hiện ra lỗi và thông báo cho Microsoft.

Microsoft hiếm khi phân phối một bản vá không định kỳ, tức không rơi vào thứ Hai của tuần thứ hai hàng tháng. Một bản cập nhật như vậy xuất hiện gần đây nhất vào tháng 12 năm ngoái và là bản cập nhật không định kỳ đầu tiên trong năm 2011.

Lỗ hổng này cũng ảnh hưởng tới những phần mềm được viết bởi các nhà phát triển bên thứ ba có sử dụng điều khiển ActiveX trong mã phần mềm. Những hãng này sẽ phải cung cấp cho khách hàng bản cập nhật riêng của hãng.

“Bất cứ nhà phát triển nào đã phát hành một điều khiển ActiveX phải xem xét lại thông tin cảnh báo bảo mật”, Jason Miller, giám đốc nghiên cứu phát triển của Vmware nhận định. “Họ có thể cần phải phát hành thêm các bản cập nhật riêng cho phần mềm của hãng để đảm bảo rằng không sử dụng những file dễ tổn thương trong điều khiển ActiveX”.

“Hacker cũng có thể khai thác lỗi này bằng cách sử dụng các cuộc tấn công kiểu “drive-by-download” để tự động xâm nhập qua lỗ hổng khi người dùng IE truy cập đến một website độc hại”, Microsoft thừa nhận.

Như vậy, sai sót được vá bằng MS12-027 là mối đe dọa kép. ”Có hai kịch bản tấn công. Thứ nhất là bằng các website độc hại và thứ hai là sử dụng tài liệu RTF mà cả hai đều khá phổ biến”, Ông Miller cho biết thêm.

Ông đoán rằng, những kẻ tấn công lợi dụng lỗ hổng khi chúng có cơ hội phân tích lỗi và khai thác. “Số cuộc tấn công sẽ tăng vọt trong tháng này”.

Wolfgang Kandek, trưởng phòng công nghệ của Qualys cũng đồng ý. “Hiện nay, cảnh báo đã được công khai, những kẻ viết malware khác sẽ để ý đến nó và xem có gì ở đó”, Ông nói. “Chúng ta chắc chắn sẽ thấy nhiều cuộc tấn công vào lỗ hổng này”.

Hiện tại đã có 8 trong 11 lỗi được vá và bản vá MS12-027 được xếp hạng “nghiêm trọng” bởi Microsoft, tức ở mức đe dọa cao nhất của hãng. Một bản vá khác xếp hạng “quan trọng” và hai bản được đánh dấu “vừa phải”.

Microsoft coi MS12-023, một bản vá lỗi thứ 5 cho IE là bản cập nhật khác sẽ được phát hành ngay khi có thể.

Công ty cụ thể phát hành một bản cập nhật bảo mật vào những tháng chẵn trong năm; vào những tháng đó, các chuyên viên bảo mật thường nhắc nhở người dùng cập nhật cho trình duyệt trước.

Không phải trong tháng này

“MS12-027 cắt ngang bản cập nhật IE tháng này”, Ông Miller nói.

Ông Storms cũng nhận xét:”Có tháng nào mà IE không phải phần mềm đầu tiên được vá không vậy?", Storms hỏi. "Tôi không thể nhớ nổi nữa”.

2 trong 5 lỗ hổng trong MS12-023 được xếp hạng nghiêm trọng trên IE9, phiên bản trình duyệt mới nhất của Microsoft chạy trên Windows Vista và Windows 7.

Hiện đã có những cảnh báo khác cho Windows, .NET, VPN của Microsoft, Office 2007 và Microsoft Works (mặc dù phần mềm này đã cũ và không còn được bán ra).

Miller nhấn mạnh rằng MS12-024 để vá một lỗ hổng nghiêm trọng trong tất cả các phiên bản của hệ điều hành Windows cũng được áp dụng cho Windows 8 Consumer Preview.

“Mặc dù cảnh báo MS12-024 không đề cập đến Windows 8 Consumer Preview nhưng bất cứ ai đang chạy bản beta này cũng sẽ được cung cấp bản cập nhật đó”, Ông Miller nói. Computerworld xác nhận MS12-024 nằm trong số những bản sửa lỗi khác của Microsoft hiện được phân phối cho Windows 8.

Theo Qualys, lỗi trong MS12-024 để hacker nắm điều khiển bên trong các gói cài đặt phần mềm hợp pháp.

Amol Sarwate, giám đốc phòng thí nghiệm nghiên cứu lỗ hổng bảo mật của Qualys cho biết: “Lỗ hổng sẽ rất thu hút những kẻ cung cấp phần mềm diệt virus giả, một dạng thường được gọi dưới cái tên scareware hay rogueware”.

6 bản cập nhật bảo mật của tháng Tư có thể được tải về và cài đặt qua các dịch vụ Microsoft Update và Windows Update cũng như qua Windows Server Update Services.