Quản Trị Mạng - Microsoft ngày hôm qua đã tung ra 3 bản cập nhật bảo mật giúp vá 4 lỗ hổng trong Windows và Office. Và, đúng như mong đợi, Microsoft không ra mắt bản vá cho Internet Explorer (IE) để tạo cơ hội cho cuộc thi Pwn2Own, cuộc thi hack sẽ diễn ra trong ngày hôm nay.
Thậm chí, ngay cả hãng này cũng gọi bản vá đợt này là một đợt “dễ thở” cho người dùng. Jerry Bryant, trưởng nhóm Microsoft Security Response Center (MSRC), một đội phụ trách điều tra, vá và giải quyết các vấn đề, nói rằng: “Đây là một tháng nhẹ nhàng”.
Microsoft dường như đã quen với thói quen cung cấp ít hơn các bản vá trong tháng lẻ. Ví dụ, trong tháng 1, họ chỉ cung cấp 3 bản vá trong khi tháng trước đó lại cung cấp tận 22 bản vá lỗi.
Một trong số 3 bản vá được cung cấp – Microsoft gọi chúng là bulletins – được xếp hạng “nghiêm trọng”, mức nguy hiểm cao nhất của hãng này. 2 bản còn lại được đánh giá là “quan trọng”, mức cảnh báo cao thứ 2.
Bulletin MS11-015 là bản vá cập nhật nghiêm trọng duy nhất.
Wolfgang Kandek, CTO của Qualys, nói: “Đây là bản vá chúng tôi dành quan tâm nhiều nhất”.
Bản cập nhật này vá 1 cặp lỗ hổng, bao gồm một trong Windows Media Center và Windows Media Player được tìm thấy ở gần như tất cả các phiên bản của Windows. Lỗ hổng này “trú ngụ” trong các file Digital Video Recording (DVR-MS), được tạo bởi công cụ Stream Buffer Engine (SBE)và lưu trữ với mở rộng file là ".dvr-ms".
Khi nói về loại hình tấn công lỗ hổng này có thể lợi dụng đơn giản bằng cách thuyết phục người dùng truy cập vào các trang có chứa mã độc, Bryant nói: “Đây là lỗ hổng tìm duyệt và sở hữu”.
Andrew Storms, giám đốc điều hành bảo mật tại nCircle Security nói: “Đây là lỗ hổng drive-by. Có 2 phương pháp khai thác, trước tiên là trong một IFRAME, một loại drive-by điển hình. Loại tiếp theo là theo dạng bản đính kèm email, xuất hiện khi người dùng thường xuyên mở chúng, không chỉ là xem trước (trong tài khoản email của họ)”.
Theo Angela Gunn, giám đốc truyền thông về bảo mật trung tâm MSRC của Microsoft, tất cả các phiên bản của Windows, bao gồm Windows XP, Vista và Windows 7, đều có thể bị tấn công trừ phi được vá. Trường hợp ngoại lệ duy nhất: Windows XP Home Edition bởi nó không hỗ trợ codec bị hổng.
Lỗ hổng thứ 2 trong MS11-015,và 2 lỗ hổng khác được vá trong MS11-016 và MS11-017, được phân loại thành lỗ hổng "DLL load hijacking", đôi khi được gọi là lỗ hổng "binary planting" – cấy nhị phân.
Các nhà nghiên cứu lần đầu tiên tiết lộ những lỗi liên quan tới vấn đề DLL load hijacking trong Windows và các phần mềm của Microsoft và rất nhiều ứng dụng dành cho Windows của bên thứ ba vào tháng 8 năm ngoái. Microsoft bắt đầu vá lỗi DLL load hijacking trong phần mềm của họ vào tháng 11 vừa rồi.
Trong tháng 12, Bryant nói rằng Microsoft tin tưởng họ có thể hoàn thành nốt công việc trong vấn đề DLL load hijacking. Tuy nhiên, trong tháng 1 và 2 vừa rồi, hãng này vẫn gặp vấn đề trong việc vá chính lỗi này.
Hôm qua, Bryant đã nói: “Điều này sẽ khiến chúng tôi phải tiếp tục điều tra tiếp. Mặc dù nghĩ rằng đã tìm thấy tất cả lỗ hổng này trong IE, chúng tôi vẫn đang tiến hành điều tra trên các sản phẩm còn lại của hãng”.
Cả Kandek và Storm đều nói rằng dường như Microsoft có thể tiếp tục tiến hành triển khai chữa lỗi DLL load hijacking trong thời gian tới. Kandek nói: “Điều này sẽ diễn ra trong vài năm tới và không chỉ Microsoft thực hiện công việc mà các nhà cung cấp bên thứ 3 cũng sẽ tiến hành”.
Mặc dù tiếng chuông cảnh báo đã reo từ hồi tháng 8 và Microsoft đã nhanh chóng cung cấp một công cụ để chặn các mối tấn công nguy hại, hacker đã không sử dụng công nghệ này để làm hại máy tính Windows, hoặc nếu chúng có sử dụng, nỗ lực của chúng cũng không bị phát hiện.
Điều này không làm Storms ngạc nhiên.
Ông nói: “Những lỗ hổng này rất khó để khai thác. Năm ngoái, nó rất dễ, nhưng hóa ra lại không dễ dàng chút nào để khai thác những lỗ hổng này, bởi nó yêu cầu người dùng phải tìm duyệt tới khu vực có chứa mã độc và mở file, và những kẻ tấn công sẽ đặt một DLL mã độc và một file xấu. Đó chỉ là một vài bước”.
HD Moore, trưởng nhóm nhân viên an ninh của Rapid7 và cũng là nhà sáng tạo ra bộ công cụ mã nguồn mở Metasploit toolkit, ngày hôm qua đã thông báo với các doanh nghiệp rằng họ có thể biến việc khai thác bất kì lỗ hổng DLL load hijacking nào trở lên khó khăn hơn đối với bất kì hacker nào bằng cách loại bỏ dịch vụ WebDAV trên tất cả các máy Windows, và chặn cổng outbound 139 và 445.
Năm ngoái, Moore là một trong những người đầu tiên tiết lộ về cấp độ mới của lỗ hổng DLL load hijacking.
Tuy nhiên, Microsoft không vá IE trước khi cuộc thi hack Pwn2Own diễn ra vào ngày hôm nay.
Pwn2Own, sẽ đặt các nhà nghiên cứu bảo mật “chống lại” 4 trình duyệt, bao gồm IE của Microsoft, Safari của Apple, Chrome của Google và Firefox của Mozilla, diễn ra từ ngày 9-11 tại hội nghị CanSecWest ở Vancouver, Canada. Nhà nghiên cứu bảo mật đầu tiên hạ gục được IE, Safari hoặc Firefox sẽ nhận được giải thưởng $15,000, riêng ai hạ được trình duyệt Chrome sẽ nhận được giải thưởng $20,000.
Hôm qua (8/3), Bryant nói rằng không nên làm gián đoạn lịch cập vá của khách hàng với bản cập nhật bảo mật gây ngạc nhiên để tạo cơ hội cho cuộc thi Pwn2Own.
Bryant phát biểu: “Tôi không thấy lý do nào đáng để gián đoạn khách hàng chỉ vì cuộc thi. Hướng ra ngoài là một gián đoạn tiềm năng, và chúng tôi sẽ không làm điều này trừ phi một lỗ hổng đang bị tấn công”.
Microsoft từ chối ưu tiên vá IE trước Pwn2Own cũng không phải là điều ngạc nhiên: Hãng này đã cung cấp bản cập nhật cho IE trong những tháng chẵn, và bản cập nhật cho trình duyệt gần đây nhất được tung ra là vào ngày 8/2 vừa qua.
Bryant cho biết thêm, trong bất kì trường hợp nào, việc bất kì lỗ hổng nào bị khai thác tại Pwn2Own bị rò rỉ ra ngoài cũng không hề nguy hại bởi những lỗi phát hiện ra tại cuộc thi này sẽ được báo cáo tới nhà cung cấp một cách kín đáo.
Tập đoàn HP TippingPoint, sở hữu chương trình nghiên cứu bảo mật Zero Day Initiative (ZDI) đã hào phóng tài trợ Pwn2Own và trả hầu hết các giải thưởng tiền mặt, mua quyền sở hữu các lỗ hổng khám phá được tại cuộc thi và trao lại chúng cho nhà cung cấp. ZDI cho các lập trình viên thời hạn 6 tháng để vá bất kì lỗ hổng nào họ mua trước khi họ đăng tải thông tin chính thức.
Cả Google và Mozilla gần đây đã vá trình duyệt của mình – Google mới vá sớm ngày hôm qua – và Apple được kỳ vọng là sẽ cập nhật Safari trước khi Pwn2Own khởi tranh.
Các bản cập nhật của Microsoft có thể donwload và cài đặt qua các dịch vụ Microsoft Update và Windows Update, cũng như thông qua Windows Server Update Services (WSUS).