Quản trị mạng - Hôm qua Microsoft đã vá 15 lỗ hổng trong hệ điều hành Windows, Windows Server, ứng dụng Microsoft Word và Excel, trong đó có một lỗ hổng mà tin tặc có thể khai thác rất dễ dàng. Tuy nhiên không có lỗ hổng nào xuất hiện trong Windows 7, hệ điều hành mới nhất của Microsoft.
15 lỗ hổng được vá trong 6 bản cập nhật bảo mật vào ngày hôm qua chưa bằng phân nửa con số kỉ lục của tháng trước với 34 lỗ hổng và 13 bản cập nhật. Trong tổng số 15 lỗ hổng này chỉ có 3 lỗ được Microsoft đánh giá là critical (rất nguy hiểm), và 12 lỗ hổng còn lại được đánh giá ở mức important (nguy hiểm), mức thứ ba trong hệ thống đánh giá gồm 4 mức của Microsoft.
Các chuyên gia đều khuyên người dùng đặc biệt quan tâm tới bản cập nhật MS09-065. Bản cập nhật đó, được đánh giá là critical, dành cho hầu hết các phiên bản Windows đang được hỗ trợ của Windows ngoại trừ Windows 7 và Windows Server 2008 R2.
Ông Andrew Storms, giám đốc điều hành bảo mật của nCircle Network Security, nhận định “Lỗ hổng trong nhân của Windows là nguy hiểm hơn cả. Tin tặc có thể thực hiện các cuộc tấn công chiếm quyền điều khiển qua Internet Explorer, và đây là một trong những tình huống mà người dùng sẽ không được thông báo hay nhắc nhở. Tin tặc hoàn toàn có thể khai thác lỗ hổng này để thực hiện tấn công chiếm quyền điều khiển.”
Richie Lai, giám đốc bộ phận nghiên cứu lỗ hổng của công ty bảo mật Qualys cũng đồng ý với ý kiến trên của Storms khi cho rằng “Bất cứ người dùng nào đều có thể gặp nguy hiểm khi vận hành Internet Explorer, dù lỗ hổng này không tồn tại trong ứng dụng trình duyệt này, tuy nhiên nó lại xuất hiện trong driver mode của nhân Win32k.”
Cả Storms và Lai chỉ đề cập tới một lỗ hổng được đánh giá là critical trong MS09-065, trong khi đó bản cập nhật này vá tới 3 lỗ hổng. Theo Microsoft, nhân của Windows không phân tách chính xác các font Embedded OpenType (EOT), đây là một dạng font được thiết kế chuyên dụng cho các trang Web. Tuy nhiên, người dùng cũng có thể sử dụng những font EOT trong tài liệu Word và PowerPoint.
Tin tặc cũng có thể phát động tấn công bằng cách đính kèm các tài liệu Word hay PowerPoint vào email, sau đó lừa người dùng mở những tài liệu này.
Ngoài việc sử dụng bản vá, người dùng còn có thể dễ dàng ngăn chặn những cuộc tấn công này bằng cách hủy bỏ sự hỗ trợ của Internet Explorer cho các font nhúng. Lai nói rằng “Đó là một cách giảm thiểu tác động, tuy nhiên điều tệ hơn có thể xảy ra đó là một số trang Web sẽ bị ảnh hưởng.” Điều này có nghĩa là Lai “khuyên” người dùng nên để ngỏ PC cho các cuộc tấn công qua tài liệu Word và PowerPoint độc, đây cũng là điều mà Microsoft khuyến cáo trong bản báo cáo đính kèm của lỗ hổng này.
Do Windows 7 và Windows Server 2008 R2 không cần sử dụng bản cập nhật MS09-065 nên Storms và Lai cho rằng Microsoft đã phát hiện ra lỗ hổng này trước khi mã cuối cùng hay phiên bản RTM được phát hành. Vì vậy trong lần cập nhật này Microsoft chỉ vá cho các phiên bản Windows trước, gồm Windows 2000, Windows XP và Vista cũng như Server 2003 và Server 2008.
Chỉ trích việc Microsoft không cung cấp các bản cập nhật bảo mật cho các phiên bản trước của một hệ điều hành khi phiên bản chính thức được tung ra, Storms cho biết “Bản Windows 7 Release Candidate cũng có thể có lỗ hổng này. Đó là lí do vì sao chúng ta không thấy Microsoft vá bản Windows 7 Release Candidate hay Beta. Nếu đang sử dụng bản Release Candidate chúng ta cần phải lưu ý và nâng cấp lên bản RTM.”
Tuy nhiên, trong khi Storms cho rằng Microsoft đã biết rằng lỗ hổng của font EOT là một vấn đề bảo mật và phải tới ngày hôm qua mới vá được cho các phiên bản Windows chứa lỗ hổng này, thì Lai lại cho rằng Microsoft chỉ mới phát hiện ra lỗ hổng này. Lai nói “Tôi nghĩ rằng họ đã vá lỗ hổng này như một phần của tiến trình hoàn thiện mã trong giai đoạn phát triển Windows 7. Thực ra lỗ hổng này chỉ mới được công bố gần đây, và Microsoft đã vá trong các phiên bản Windows khác.”
Microsoft thừa nhận rằng thông tin về lỗ hổng EOT đã được công bố trước ngày hôm qua. Bản báo cáo đính kèm thông tin thêm “Trong khi bản báo cáo ban đầu được bộ phận có trách nhiệm cung cấp, thì sau đó lỗ hổng này được một nhóm khác công bố.”
Storms hi vọng sẽ được “chứng kiến” tin tặc khai thác lỗ hổng EOT. Ông nói “Chúng ta sẽ còn nhắc đến lỗ hổng này sau này, không chỉ vì nó có thể bị khai thác qua IE rất dễ dàng mà còn có thể tấn công qua các tài liệu Word và PowerPoint.”
Microsoft cũng đã phát hành một số bản cập nhật critical cho Vista, Windows Server 2008 và Windows 2000 Server. Với hệ điều hành Windows 2000 Server, có một lỗ hổng trong quá trình triển khai License Logging Server, một công cụ ban đầu được thiết kế để giúp người dùng quản lý Server Client Access Licenses (CAL), Storms khuyến cáo người dùng nên sử dụng bản vá ngay lập tức dù hệ thống được bảo vệ tốt.
Ông cho biết “Windows 2000 Server mặc định đã kích hoạt Logging Server, tuy nhiên những hệ điều hành này có thể sử dụng nhiều hệ thống tường lửa, và người dùng đang sử dụng Windows 2000 Server biết rõ rằng đó là một phiên bản cũ và sẽ có những biện pháp phù hợp.”
Excel và Word cũng được vá trong ngày hôm nay. 8 lỗ hổng trong Excle được vá trong bản cập nhật MS09-067, và một lỗ hổng trong Word với bản cập nhật MS09-068. Cả hai bản cập nhật này cũng được dùng cho các phiên bản Office dành cho Mac, gồm Office 2004 và Office 2008.
Nói về những lỗ hổng trong các định dạng file nhị phân cũ, không xuất hiện trong các định dạng XML mà Microsoft giới thiệu trong bản Office 2007 dành cho Windows, và bản Office 2008 dành cho Mac, Storms lưu ý rằng “Đây là những lỗ hổng trong định dạng file mà chúng ta đã từng thấy rất nhiều lần trước đây.”
Người dùng có thể tải và cài đặt các bản cập nhật bảo mật của tháng này qua dịch vụ Microsoft Update và Windows Update, cũng như qua dịch vụ Windows Server Update Services.
15 lỗ hổng được vá trong 6 bản cập nhật bảo mật vào ngày hôm qua chưa bằng phân nửa con số kỉ lục của tháng trước với 34 lỗ hổng và 13 bản cập nhật. Trong tổng số 15 lỗ hổng này chỉ có 3 lỗ được Microsoft đánh giá là critical (rất nguy hiểm), và 12 lỗ hổng còn lại được đánh giá ở mức important (nguy hiểm), mức thứ ba trong hệ thống đánh giá gồm 4 mức của Microsoft.
Các chuyên gia đều khuyên người dùng đặc biệt quan tâm tới bản cập nhật MS09-065. Bản cập nhật đó, được đánh giá là critical, dành cho hầu hết các phiên bản Windows đang được hỗ trợ của Windows ngoại trừ Windows 7 và Windows Server 2008 R2.
Ông Andrew Storms, giám đốc điều hành bảo mật của nCircle Network Security, nhận định “Lỗ hổng trong nhân của Windows là nguy hiểm hơn cả. Tin tặc có thể thực hiện các cuộc tấn công chiếm quyền điều khiển qua Internet Explorer, và đây là một trong những tình huống mà người dùng sẽ không được thông báo hay nhắc nhở. Tin tặc hoàn toàn có thể khai thác lỗ hổng này để thực hiện tấn công chiếm quyền điều khiển.”
Richie Lai, giám đốc bộ phận nghiên cứu lỗ hổng của công ty bảo mật Qualys cũng đồng ý với ý kiến trên của Storms khi cho rằng “Bất cứ người dùng nào đều có thể gặp nguy hiểm khi vận hành Internet Explorer, dù lỗ hổng này không tồn tại trong ứng dụng trình duyệt này, tuy nhiên nó lại xuất hiện trong driver mode của nhân Win32k.”
Cả Storms và Lai chỉ đề cập tới một lỗ hổng được đánh giá là critical trong MS09-065, trong khi đó bản cập nhật này vá tới 3 lỗ hổng. Theo Microsoft, nhân của Windows không phân tách chính xác các font Embedded OpenType (EOT), đây là một dạng font được thiết kế chuyên dụng cho các trang Web. Tuy nhiên, người dùng cũng có thể sử dụng những font EOT trong tài liệu Word và PowerPoint.
Tin tặc cũng có thể phát động tấn công bằng cách đính kèm các tài liệu Word hay PowerPoint vào email, sau đó lừa người dùng mở những tài liệu này.
Ngoài việc sử dụng bản vá, người dùng còn có thể dễ dàng ngăn chặn những cuộc tấn công này bằng cách hủy bỏ sự hỗ trợ của Internet Explorer cho các font nhúng. Lai nói rằng “Đó là một cách giảm thiểu tác động, tuy nhiên điều tệ hơn có thể xảy ra đó là một số trang Web sẽ bị ảnh hưởng.” Điều này có nghĩa là Lai “khuyên” người dùng nên để ngỏ PC cho các cuộc tấn công qua tài liệu Word và PowerPoint độc, đây cũng là điều mà Microsoft khuyến cáo trong bản báo cáo đính kèm của lỗ hổng này.
Do Windows 7 và Windows Server 2008 R2 không cần sử dụng bản cập nhật MS09-065 nên Storms và Lai cho rằng Microsoft đã phát hiện ra lỗ hổng này trước khi mã cuối cùng hay phiên bản RTM được phát hành. Vì vậy trong lần cập nhật này Microsoft chỉ vá cho các phiên bản Windows trước, gồm Windows 2000, Windows XP và Vista cũng như Server 2003 và Server 2008.
Chỉ trích việc Microsoft không cung cấp các bản cập nhật bảo mật cho các phiên bản trước của một hệ điều hành khi phiên bản chính thức được tung ra, Storms cho biết “Bản Windows 7 Release Candidate cũng có thể có lỗ hổng này. Đó là lí do vì sao chúng ta không thấy Microsoft vá bản Windows 7 Release Candidate hay Beta. Nếu đang sử dụng bản Release Candidate chúng ta cần phải lưu ý và nâng cấp lên bản RTM.”
Tuy nhiên, trong khi Storms cho rằng Microsoft đã biết rằng lỗ hổng của font EOT là một vấn đề bảo mật và phải tới ngày hôm qua mới vá được cho các phiên bản Windows chứa lỗ hổng này, thì Lai lại cho rằng Microsoft chỉ mới phát hiện ra lỗ hổng này. Lai nói “Tôi nghĩ rằng họ đã vá lỗ hổng này như một phần của tiến trình hoàn thiện mã trong giai đoạn phát triển Windows 7. Thực ra lỗ hổng này chỉ mới được công bố gần đây, và Microsoft đã vá trong các phiên bản Windows khác.”
Microsoft thừa nhận rằng thông tin về lỗ hổng EOT đã được công bố trước ngày hôm qua. Bản báo cáo đính kèm thông tin thêm “Trong khi bản báo cáo ban đầu được bộ phận có trách nhiệm cung cấp, thì sau đó lỗ hổng này được một nhóm khác công bố.”
Storms hi vọng sẽ được “chứng kiến” tin tặc khai thác lỗ hổng EOT. Ông nói “Chúng ta sẽ còn nhắc đến lỗ hổng này sau này, không chỉ vì nó có thể bị khai thác qua IE rất dễ dàng mà còn có thể tấn công qua các tài liệu Word và PowerPoint.”
Microsoft cũng đã phát hành một số bản cập nhật critical cho Vista, Windows Server 2008 và Windows 2000 Server. Với hệ điều hành Windows 2000 Server, có một lỗ hổng trong quá trình triển khai License Logging Server, một công cụ ban đầu được thiết kế để giúp người dùng quản lý Server Client Access Licenses (CAL), Storms khuyến cáo người dùng nên sử dụng bản vá ngay lập tức dù hệ thống được bảo vệ tốt.
Ông cho biết “Windows 2000 Server mặc định đã kích hoạt Logging Server, tuy nhiên những hệ điều hành này có thể sử dụng nhiều hệ thống tường lửa, và người dùng đang sử dụng Windows 2000 Server biết rõ rằng đó là một phiên bản cũ và sẽ có những biện pháp phù hợp.”
Excel và Word cũng được vá trong ngày hôm nay. 8 lỗ hổng trong Excle được vá trong bản cập nhật MS09-067, và một lỗ hổng trong Word với bản cập nhật MS09-068. Cả hai bản cập nhật này cũng được dùng cho các phiên bản Office dành cho Mac, gồm Office 2004 và Office 2008.
Nói về những lỗ hổng trong các định dạng file nhị phân cũ, không xuất hiện trong các định dạng XML mà Microsoft giới thiệu trong bản Office 2007 dành cho Windows, và bản Office 2008 dành cho Mac, Storms lưu ý rằng “Đây là những lỗ hổng trong định dạng file mà chúng ta đã từng thấy rất nhiều lần trước đây.”
Người dùng có thể tải và cài đặt các bản cập nhật bảo mật của tháng này qua dịch vụ Microsoft Update và Windows Update, cũng như qua dịch vụ Windows Server Update Services.