Sâu Conficker cũng có lỗi bảo mật

Các chuyên gia nghiên cứu bảo mật cho biết đã phát hiện một lỗ hổng trong Conficker rất có lợi cho quá trình phát hiện PC bị lây nhiễm con sâu máy tính nguy hiểm này.

Những người đã có công phát hiện ra lỗi bảo mật này là Tillmann Werner và Felix Leder – thành viên của Dự án Honeynet. Đây là một tổ chức của những người tình nguyện giám sát và theo dõi các hiểm họa xuất hiện trên mạng Internet.

Trong quá trình nghiên cứu hai chuyên gia này đã phát hiện thấy các PC bị nhiễm Conficker thường phát sinh một số lỗi bất bình thường mỗi khi phải gửi đi các thông tin RPC (Remote Procedure Call).

Sau đó nhờ phát hiện này mà Werner, Leder phối hợp với Dan Kaminsky – chuyên gia nghiên cứu bảo mật danh tiếng đã phát hiện được lỗi bảo mật nguy hiểm DNS trong năm ngoái – phát triển thành công một công cụ quét (scanner) có khả năng phát hiện nhanh những PC bị lây nhiễm sâu máy tính Conficker.

Sau đó công cụ quét này đã tiếp tục được chỉnh sửa để bổ sung thêm các giải pháp bảo mật phát hiện ở cấp độ hệ thống doanh nghiệp của các hãng bảo mật danh tiếng khác như McAfee, nCircle và Qualys. Dự kiến tính năng quét Conficker mới trên đây cũng sẽ được bổ sung thêm cho công cụ quét nguồn mở miễn phí Nmap Scanner (http://nmap.org/).

Phát hiện quan trọng

Wolfgang Kandek – Giám đốc công nghệ của Qualys Inc – cho biết điều mà Tillmann Werner và Felix Leder phát hiện thấy là các PC bị nhiễm Conficker phản ứng khá nhau với các tham số (parameter) RPC khác nhau. “Nhìn có vẻ đơn giản nhưng thực sự đây là một điều vô cùng quan trọng”.

Tương tự như các loại mã độc khác, sâu Conficker cũng được tích hợp một bản vá chính lỗi bảo mật mà nó đã dùng để đột nhập vào PC nhằm ngăn chặn không cho mã độc cùng loại đột nhập và chiếm mất chiếc PC mà nó mất bao công mới xâm nhập được. Hay nói một cách khác là tác giả phát triển sâu Conficker muốn bảo vệ những PC mà chúng chiếm được để dùng vào mục đích độc hại khác như tiếp tục phát tán Conficker hoặc thư rác, lừa đảo trực tuyến …

Bởi vì Conficker tự chủ động vá lỗi cho người dùng nên doanh nghiệp gặp rất nhiều khó khăn trong việc phát hiện những PC bị lây nhiễm trong hệ thống mạng nếu chỉ sử dụng các công cụ quét chuẩn.

Werner và Leder đã phát hiện được điểm khác biệt giữa một chiếc PC được cài đặt bản sửa lỗi hợp pháp của Microsoft với những chiếc PC được sâu Conficker “giúp” bít lỗi.

Phát hiện này đã giúp quá trình phát hiện PC nhiễm Conficker trở nên dễ dàng thuận tiện hơn rất nhiều,” ông Kandek khẳng định. “…bởi vì khi đó nhà quản trị mạng có thể thực hiện việc quét phát hiện từ xa mà không cần phải truy cập trực tiếp đến máy trạm để kiểm tra”.

Có một điểm đáng chú ý nữa là bản sửa lỗi tích hợp với sâu Conficker không hoàn toàn bít kín được lỗi Windows. “Thực chất lỗi vẫn còn đó nhưng nó chỉ mở đối với chính Conficker cũng như những ai biết cách khai thác,” ông Kandek cho biết.

Song vấn đề này cũng khiến nhiều người lo ngại về việc sẽ có một ai đó sẽ lợi dụng công cụ quét do Werner, Leder và Kaminsky phát triển để tìm kiếm cũng như khai thác để chiếm đoạt quyền điều khiển những PC bị lây nhiễm Conficker hiện tại.

Tôi không cho rằng lỗi mà Conficker để lại nhưng trên dễ bị khai thác. Tác giả phát triển con sâu máy tính này là một kẻ rất thông minh. Hắn đủ biết phải làm thế nào để bảo vệ được chính bản thân mình,” ông Kandek khẳng định.

Ngày 1/4 “đen tối”

Trong những ngày qua hầu hết giới bảo mật đều tin rằng ngày 1/4 tới đây – hay còn gọi là ngày nói dối – sẽ là ngày mà sâu Conficker được nâng cấp sử dụng một cơ chế giao tiếp mới để kết nối với máy chủ điều khiển của tin tặc nhặm nhận lệnh tấn công mới.

Điều khiến các chuyên gia bảo mật lo ngại hiện nay là hiện họ chưa hề có được bất kỳ dấu hiệu nào giúp nhận biết những mệnh lệnh tấn công mà tác giả phát triển sâu Conficker sẽ được ra trong lần này.

Chính vì thế mà các chuyên gia bảo mật chỉ khuyến cáo người dùng nên thật sự cẩn thận trong ngày này. Tốt nhất là nên luôn bật tính năng Automatic Updates của Windows để cài đặt các bản sửa lỗi mới nhất cũng như thường xuyên nâng cấp phần mềm diệt virus.

Thứ Tư, 01/04/2009 13:53
31 👨 951
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp