Các lỗi DLL chưa được vá cho phép tin tặc khai thác Windows 7 và IE9

Microsoft đang điều tra những khẳng định của một công ty bảo mật Slovenia dự kiến sẽ demo các cuộc tấn công vào cuối tháng này.

Mặc dù Microsoft đã vá nhiều lỗ hổng “tấn công nạp DLL” (DLL load hijacking) kể từ mùa Hè năm ngoái, Windows và Internet Explorer 9 (IE9) vẫn có thể bị khai thác, hôm 6/5/2011 công ty bảo mật Acros Security (Slovenia) cảnh báo.

Microsoft xác nhận họ đang điều tra những khẳng định của Acros. Các nhà nghiên cứu của Acros sẽ trình diễn những cuộc tấn công mới tại hội nghị bảo mật Hack in the Box ở Amsterdam (Hà Lan) vào cuối tháng này.

"Chúng tôi sẽ tiết lộ làm thế nào mà IE8, IE9 có thể được sử dụng trên Windows 7, Vista và XP để tấn công người dùng mà không có bất kỳ cảnh báo bảo mật nào, ngay cả trong chế độ bảo vệ (Protected mode). Chúng tôi còn demo cách từ xa làm cho nhiều ứng dụng có vẻ như an toàn (ví dụ, Word 2010 và PowerPoint 2010) bị tổn thương", hôm thứ Sáu 6/5/2011, CEO Mitja Kolsek của Acros nói.

Một số người gọi kiểu tấn công này là “tấn công nạp DLL” nhưng Acros gọi là "gieo nhị phân", được ông HD Moore (tác giả của bộ công cụ xâm nhập Metasploit và giám đốc bảo mật của Rapid7) công khai hồi tháng 8/2010. Ông Moore đã tìm thấy hàng chục ứng dụng Windows dễ bị tổn thương. Báo cáo của ông Moore được tiếp nối bởi những người khác, bao gồm cả một số từ ông Kolsek và Acros.

Nhiều ứng dụng Windows không gọi DLL bằng cách sử dụng tên đường dẫn đầy đủ, thay vào đó chỉ sử dụng tên file, tạo cho tin tặc một cách để lừa ứng dụng nạp file độc hại với cùng tên như file DLL cần thiết. Nếu kẻ tấn công có thể lừa người dùng truy cập vào các website độc hại, duyệt những thư mục chia sẻ từ xa, hoặc làm họ cắm ổ đĩa USB vào và mở file, chúng có thể “cầm tù” PC và “gieo” phần mềm độc hại (malware) lên đó.