Trojan tấn công vào lỗi nguy hiểm trong Windows

Một lỗi nguy hiểm chưa được vá trong Windows vừa được Microsoft xác nhận có thể bị tin tặc khai thác để nắm quyền điều khiển hệ thống đang được loại trojan mới "ưu ái" khai thác.

Microsoft đã chính thức kết thúc hỗ trợ kỹ thuật cho phiên bản Windows XP SP2 vào ngày 13/07 vừa qua, tương tự với phiên bản Windows Vista vào ngày 13-4-2010. Do đó, lỗi nguy hiểm vừa được phát hiện đe dọa người dùng Windows XP SP2 có thể sẽ không được Microsoft cung cấp bản vá, thay vào đó hãng phần mềm này khuyến cáo người dùng nên nâng cấp ngay lên Windows XP SP3 để có thể cập nhật bản vá khi nó được phát hành.

Hiện Microsoft vẫn đang hỗ trợ các phiên bản hệ điều hành Windows bao gồm: Windows XP SP3, Vista, Server 2003, Windows 7, Server 2008, Server 2008 R2 và cả các phiên bản thử nghiệm sắp được phát hành là Windows 7 SP1 và Server 2008 R2 SP1.

Lỗi nguy hiểm nằm trong các tập tin "shortcut" (định dạng *.Ink) của Windows, các tập tin này thường nằm ở giao diện desktop hay trình đơn Start. Kẻ tấn công sẽ sử dụng một ổ lưu trữ USB chứa tập tin "shortcut" đã được nhúng mã độc vào máy tính người dùng. Nếu nạn nhân xem nội dung trên ổ flash USB bằng các trình quản lý tập tin như Windows Explorer thì sẽ bị chiếm dụng hệ thống.

Ngoài ra, lỗi cũng có thể được khai thác từ xa không thông qua ổ flash USB. Các tập tin "shortcut" đã nhúng mã độc có thể được phát tán qua internet.

Chester Wisniewski, chuyên gia bảo mật cấp cao của hãng Sophos cho biết lỗi này có thể khai thác thành công ngay cả khi hai chức năng AutoRun và AutoPlay (tự kích hoạt nội dung trên ổ đĩa) đã được khóa. Rootkit sẽ qua mặt hệ thống kiểm tra an ninh trong Windows bao gồm cả UAC có trong Windows Vista và Windows 7 (UAC - User Account Control, cửa sổ yêu cầu xác nhận hành động thường hiện ra mỗi khi người dùng thực hiện một thao tác trên Windows).

Hiện Microsoft chưa công bố chính thức ngày phát hành bản vá. Người dùng Windows có thể phải chờ đến bản vá định kỳ vào ngày 10-8.

Cách ngăn lỗi tạm thời

Người dùng được Microsoft khuyến cáo nên tạm thời khóa chức năng hiển thị tập tin "shortcut" và tắt dịch vụ WebClient cho đến khi có bản vá chính thức. Do thao tác khóa hiển thị shortcut phải thực hiện trong hệ thống Registry nên có thể gây ra những trục trặc cho Windows nên bạn đọc cần sao lưu registry trước khi thực hiện.

Để khóa hiển thị tập tin shortcut, bạn làm như sau:

- Vào Start, Run, gõ regedit và Enter để mở hệ thống Registry.

- Tìm đến khóa giá trị: HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler, nhấn vào trình đơn File và chọn Export.

- Trong hộp thoại Export Registry File, điền tên LNK_Icon_Backup.reg và nhấn Save. Tập tin sao lưu sẽ được đưa vào thư mục My Documents.

- Chọn giá trị (Default) ở khung bên phải của Registry Editor, nhấn Enter để thay đổi giá trị. Bạn loại bỏ giá trị, để trống và nhấn Enter để xác nhận thay đổi.

Thoát khỏi Registry Editor, khởi động lại máy tính để thực thi thay đổi. Desktop của bạn sẽ mất các tập tin shortcut.

Để tắt dịch vụ WebClient, bạn gõ Services.msc vào trong hộp thoại Start - Run rồi nhấn OK. Phải chọn lên WebClient, nhấn Stop để ngừng nếu dịch vụ này đang hoạt động hoặc Disabled để khóa.

Sau khi cập nhật bản vá lỗi, bạn có thể khôi phục lại registry và kích hoạt trở lại dịch vụ WebClient.