Hacker sẽ khai thác lỗ hổng trong nhân Windows

Quản trị mạng - Hôm nay, khi nói về 15 lỗ hổng được Microsoft vào thứ ba vừa qua, các nhà nghiên cứu bảo mật đều đồng tình cho rằng tin tặc sẽ nhanh chóng nghiên cứu để phát triển mã tấn công người dùng Internet Explorer.

>> Microsoft phát hành 6 bản cập nhật vá 15 lỗ hổng

Trong số 15 lỗ hổng được vá hôm thứ 3 vừa qua có một lỗ hổng nằm trong nhân của hệ điều hành Windows, “trái tim” của hệ điều hành này. Nhân này thực hiện phân tách không chính xác font Embedded OpenType (EOT), một trong những loại font được thiết kế chuyên dụng cho các trang Web mà có thể được sử dụng trong các tài liệu Microsoft Word và PowerPoint.

Microsoft đã đánh giá lỗ hổng này là critical – rất nguy hiểm, mức đe dọa cao nhất, và đánh giá khả năng khai thác ở mức 1, có nghĩa là lỗ hổng này có thể bị khai thác trong vòng 30 ngày tới. Tuy nhiên các nhà nghiên cứu tin rằng tin tặc sẽ không cần nhiều thời gian đến vậy.

Ông Jason Miller, trưởng nhóm bảo mật dữ liệu chuyên trách quản lý bản vá của nhà cung cấp Shavlik Technologies, nói rằng “Một cuộc tấn công khai thác sẽ xảy ra sớm hơn so với dự đoán. Mục tiêu tấn công sẽ là Internet Explorer, và các ứng dụng trình duyệt sẽ là mục tiêu mà tin tặc thường nhắm tới vì người dùng có thể trở thành nạn nhân khi truy cập vào một trang Web độc.”

Một nhà nghiên cứu khác nói rằng một cuộc tấn công khai thác sẽ xảy ra trong nay mai. HD Moore, nhà phát triển phần mềm xâm nhập mã nguồn mở Metasploit giúp kiểm thử chương trình khung đồng thời là giám đốc bảo mật của hãng bảo mật Rapid7, nói rằng ông đang nghiên cứu khai thác lỗ hổng critical mà Microsoft vá hôm thứ ba vừa qua trong bản cập nhật MS09-065. Moore khẳng định “Tôi chuẩn bị hoàn thành một đoạn mã khai thác.”

Moore nhận định rằng tin tặc sẽ rất hứng thú với lỗ hổng này, đơn giản không chỉ bởi vì nó có thể bị khai thác bởi một cuộc tấn công chiếm quyền điều khiển truyền thống mà còn có thể âm thầm chiếm quyền điều khiển máy tính sử dụng bản Windows XP hay Windows 2000 chưa được vá khi người dùng truy cập vào một trang Web độc. Microsoft cho biết, với hệ điều hành Vista, tiến trình khai thác thành công sẽ cung cấp thêm cho tin tặc khả năng truy cập bổ sung nhưng sẽ không thể cài malware (mã độc) vào hệ thống.

Đề cập tới định dạng font mà tin tặc sẽ sử dụng để khai thác lỗ hổng trong nhân Windows này, Moore lưu ý rằng “Một file EOT có thể sử dụng cả công cụ nén và giải nén.” Do file này có thể được nén và mã hóa, nên hầu hết các phần mềm diệt virus sẽ rất khó, thậm chí không thể, phát hiện ra những font chữ của một trang Web đang được sử dụng để phát động tấn công. Ông nói “Chúng sẽ vượt qua mọi công cụ bảo vệ của người dùng.”

Và do file EOT được phản hồi tại nhân, không phải bởi Internet Explorer, nên những công cụ bảo vệ ứng dụng trình duyệt sẽ trở nên vô ích. Khi nói về ngôn ngữ lệnh – một công cụ tin tặc thường sử dụng để tấn công các ứng dụng trình duyệt, phản biện trước ý kiến cho rằng những phương thức tấn công này có thể bị ngăn chặn bằng cách giới hạn JavaScript hay hủy bỏ chúng hoàn toàn, Moore khẳng định “Mã khai thác không cần sử dụng đến ngôn ngữ JavaScript.”

Moore cho rằng trên những PC sử dụng Vista, công cụ Sandbox được tích hợp trong IE7 và IE8, được phát triển để ngăn chặn mã tấn công từ ứng dụng trình duyệt xâm nhập vào hệ thống cũng có thể sẽ trở nên vô dụng.

Moore cho rằng những hacker dày dạn cũng có thể khai thác một số bản sửa lỗi mà Microsoft đã âm thầm đưa vào bản cập nhật MS09-065. Nhận xét thêm về hành động bất bình thường của Microsoft, ông nói “Có rất nhiều bản sửa lỗi trong bản cập nhật này.” Mặc dù Microsoft chỉ nêu ra 3 lỗ hổng của Windows trong bản cập nhật đó, Moore khẳng định rằng ông có thể tìm ra ít nhất 8 lỗ hổng.

Miller bổ sung thêm Microsoft nói rằng lỗ hổng EOT nguy hiểm đã được công bố trước khi bản vá được phát hành vào hôm thứ 3. Đề cập tới một cơ sở dữ liệu của những lỗ hổng đã được phát hiện, những loại mã proof-of-concept (mã khai thác lỗ hổng Zero-day) và mã khai thác, Miller nói “Nếu một đoạn mã khai thác được đăng trên một trang Web như milw0rm.com thì hậu quả thật khó lường.” Tin tặc thường sử dụng những mẫu mã tấn công được đăng trên milw0rm rồi thay đổi chúng để tạo ra những mã khai thác nguy hiểm. Miller nhận xét “Đó là một ổ chứa mã khai thác.”


Milw0rm đã đăng một đoan mã khai thác EOT từ ngày 11 tháng 8, nhưng Moore cho biết mã này chỉ đánh sập Windows và không thể sử dụng để chiếm quyền điều khiển PC.

Tuy nhiên Moore cho rằng vẫn còn một tia hi vọng. Mặc dù ông không mạo hiểm dự đoán thời điểm một đoạn mã khai thác được phát tán (phụ thuộc vào những kẻ thực hiện tấn công và lượng thời gian mà chúng sẵn sàng sử dụng), ông nói rằng việc viết những mã khai thác nhân là rất khó. Nhiều nhà nghiên cứu, gồm cả Moore, đã phát triển thủ công mã khai thác, tuy nhiên mã này chỉ tác động tới một phần nhỏ của máy tính. Moore cho biết “Nhân trên mỗi PC có đôi chú khác biệt do sử dụng các phần mềm nhóm ba khác nhau.”

Moore từ chối tiết lộ chi tiết thời điểm ông hoàn thành mã khai thác lỗ hổng EOT.

Hôm thứ 3, Microsoft đã khẳng định rằng Windows 7 và người anh em Windows Server 2008 R2 không có lỗ hổng này do đó chúng miễn dịch với các cuộc tấn công. Tuy nhiên trong một cuộc phỏng vấn ngày hôm qua, ông Andrew Storms, giám đốc điều hành bảo mật của nCircle Network Security nói rằng những người dùng đang sử dụng bản Windows 7 Release Candidate vẫn có thể bị tấn công.

Chỉ trích việc Microsoft không cung cấp các bản cập nhật bảo mật cho các phiên bản trước của một hệ điều hành khi phiên bản chính thức được tung ra, Storms nói “Bản Windows 7 Release Candidate cũng có thể có lỗ hổng này. Đó là lí do vì sao chúng ta không thấy Microsoft vá bản Windows 7 Release Candidate trong MS09-065. Nếu đang sử dụng bản Release Candidate chúng ta cần phải lưu ý và nâng cấp lên bản RTM.”

Cả Miller, Moore và Storms đều khuyến cáo người dùng đặc biệt chú ý tới bản cập nhật MS09-065. Microsoft cũng đồng tình và khuyên người dùng triển khai bản cập nhật đó trước tiên.

Người dùng có thể tải và cài đặt các bản cập nhật bảo mật của tháng này qua dịch vụ Microsoft Update và Windows Update, cũng như qua dịch vụ Windows Server Update Services.
Thứ Năm, 12/11/2009 09:31
51 👨 868
0 Bình luận
Sắp xếp theo