Quản Trị Mạng - Hôm qua, Microsoft đã cho ra mắt 12 bản cập nhật bảo mật vá 22 lỗi trong Windows, Internet Explorer (IE), Office và phần mềm Internet server của hãng.
Một chuyên gia nghi ngờ rằng hàng chục bản cập nhật được cho ra mắt lần này với mục đích để ngăn chặn hacker khai thác Windows 7 trong cuộc thi do hội nghị thế giới về an ninh mạng Pwn2Own.
Andrew Storms, Giám đốc điều hành bảo mật tại nCircle Security, nói: “Tôi nghĩ đây là một bước tiến chiến lược của Microsoft nhằm ngăn chặn (các nhà nghiên cứu) khỏi việc sử dụng lỗ hổng này như một cơ chế để qua mặt ASLR”, khi ông nói về bản cập nhật MS11-009 giúp vá một lỗi trong công cụ script JScript và VBScript bên trong Windows.
Tại Pwn2Own, diễn ra từ 9-11/3 tại hội nghị bảo mật CanSecWest, những kẻ tấn công được trang bị các lỗ hổng chưa được vá và trao đổi những khai thác sẽ cố gắng hack các trình duyệt chạy trên Windows 7. Để thực hiện được điều này, họ cần phải bước qua ASLR - Address Space Layout Randomization – một trong những công nghệ chống khai thác của Windows 7.
3 trong số 12 bản cập nhật lần này được đánh giá là nghiêm trọng, mức xếp hạng cao nhất của Microsoft. 9 bản cập nhật còn lại được xếp vào hạng quan trọng, mức cao thứ 2.
Microsoft tập trung chủ yếu vào 3 bản cập nhật lần này và khuyến cáo người dùng cài đặt chúng càng sớm càng tốt, trong khi một số nhà nghiên cứu bảo mật khác lại chỉ chú ý tới 2 trong số 3 bản cập nhật này.
Jason Miller, trưởng nhóm bảo mật dữ liệu chuyên trách quản lý bản vá của nhà cung cấp Shavlik Technologies, cho rằng: “Đây là một tháng quan trọng đối với các bulletin, nhưng người dùng nên vá MS11-003 và MS11-006 ngay lập tức bởi chúng đều tập trung chủ yếu vào lỗ hổng zero-day”.
MS011-003, bản cập nhật dành cho IE, giúp vá lỗi mà Microsoft phát hiện ra vào ngày 22/12/2010, chỉ một vài tuần sau khi hãng bảo mật của Pháp Vupen đưa ra lời khuyên rằng tất cả các phiên bản của IE đều có lỗ hổng. Không lâu sau đó, Microsoft đã cảnh bảo người dùng rằng những kẻ tấn công đã từng khai thác lỗ hổng này.
Theo Storms, Microsoft gọi nó là lỗ hổng IE. Ông nói: “Họ đã đánh trúng mục tiêu với bản cập nhật lần này” khi nói về quyết định của Microsoft.
Jerry Bryant, quản lý cao cấp của trung tâm Microsoft Security Response Center (MSRC), nhận thấy rằng nhóm chống virus của công ty, có nhiệm vụ theo dõi số lượng tấn công bằng cách sử dụng dữ liệu của họ cũng như số liệu được cung cấp bởi khách hàng, cho thấy số lượng tấn công tăng mạnh chỉ trong tuần trước.
“Microsoft đã làm đúng công việc của mình. Tất cả mọi người đều muốn các lỗ hổng được vá, nhưng tôi không muốn (Microsoft) bỏ đi bất kì thứ gì”, Miller cho biết.
Trong khi đó, MS11-006 sẽ vá một lỗi nghiêm trọng về cách Windows XP, Vista, Server 2003 và Server 2008 dịch các bức ảnh nhỏ thumbnail bên trong folder. Lỗi này được khám phá vào giữa tháng 12 tại một cuộc hội thảo bảo mật ở Hàn Quốc, và Microsoft đã đưa ra lời khuyên vào ngày 4/1/2011. Tại thời điểm đó, hãng này cũng nói rằng họ không cho ra mắt một bản vá ngoài dải đối với vấn đề này.
Bản vá nghiêm trọng thứ 3, MS11-007, chỉ là bản vá “xào lại” của một trong những bản vá Microsoft đã đưa ra vào tháng 12 vừa qua.
Giống như bản cập nhật 2 tháng trước, bản cập nhật lần này ở trong driver Windows OpenType Compact Font Format, được dùng bởi các trình duyệt lớn, bao gồm Firefox, Chrome, Safari và Opera, để dịch font chữ. Hacker có thể khai thác máy tính chạy một trong những trình duyệt này bằng kiểu tấn công drive-by rất đơn giản bằng cách thu hút người dùng truy cập vào các trang có chứa mã độc.
Người dùng IE sẽ được an toàn khỏi những tấn công như vậy bởi trình duyệt của Microsoft không dựa vào driver bị lỗi này để dịch font chữ.
Theo Miller, việc áp dụng bản vá MS11-007 sẽ giúp bảo vệ máy tính không chạy trình duyệt của Microsoft. Ông nói: “Bản vá này cũng khá quan trọng trong số các bulletin được ra mắt lần này”.
Một bản cập nhật khác cũng gây được sự chú ý của Storms và Miller là MS11-004, giúp vá một lỗ hổng đơn trong giao thức FTP (giao thức truyền file) của IIS (Internet Information Services – các dịch vụ thông tin Internet), một phần mềm Web server của Microsoft.
Bản vá này đã ảnh hưởng tới Windows Vista, Windows 7, Server 2008 và Server 2008 R2, nhưng lại không có tác động gì tới XP hoặc Server 2003.
Mặc dù Microsoft trước đây đã nói rằng lỗ hổng IIS không thể bị khai thác bởi những kẻ tấn công khi chúng chạy mã độc vào máy tính mục tiêu, nhưng với bản vá lần này dường như lại ngược lại.
Chengyun Chu và Mark Wodrich, 2 kỹ sư của MSRC đăng tải trên trang blog rằng: “Các cuộc nghiên cứu thêm đã cho thấy lỗ hổng này có thể bị khai thác nếu bảo vệ DEP (ngăn cản thực thi dữ liệu) và ASLR bị “qua mặt”. Tuy nhiên, vẫn chưa có một khai thác nào được khám phá, và không mã khai thác nào bị phát tán rộng rãi”.
Trong cuộc phỏng vấn ngày hôm qua, Bryant nói rằng trong khi Microsoft đã nhận thức được khả năng lỗ hổng IIS hoàn toàn có thể bị khai thác thì đội ngũ kỹ sư của hãng này vẫn chưa thể tìm thấy giải pháp đối với vấn đề ASLR, điều kiện tiên quyết đối với một vụ tấn công.
Miller cố gắng thuyết phục người dùng Windows nên chú ý tới lỗ hổng IIS. Ông nói: “Bất kì khi nào Microsoft đưa ra thông tin gì trên trang blog của hãng, bạn nên chú ý tới chúng” khi ông nói về bài đăng của Chu và Wodrich.
Các bản vá bảo mật lần này có thể download và cài đặt thông qua các dịch vụ Microsoft Update và Windows Update, cũng như thông qua Windows Server Update Services.