Trong bản vá Patch Tuesday tháng 8/2020 vừa được tung ra, Microsoft đã vá một lỗ hổng cho phép hacker biến các tập tin MSI thành tập tin Java có thể phát tán mã độc trên Windows 10. Và quan trọng hơn, tập tin độc hại này vẫn giữ nguyên được chữ ký số hợp pháp.
Lỗ hổng này được đặt tên mã CVE-2020-1464 và được Microsoft mô tả là lỗ hổng mạo danh trong cách Windows xác thực các tập tin chữ ký số. Kẻ tấn công khai thác thành công lỗ hổng này có thể vượt qua các tính năng bảo mật và tải vào hệ thống những tập tin độc hại, nguy hiểm.
Tuy nhiên, sau đó hai nhà nghiên cứu bảo mật là Tal Be'ery và Peleg Hadar đã hé lộ rằng lỗ hổng này được báo cáo cho Microsoft từ hai năm trước, vào ngày 18/8/2020. Ở thời điểm đó, Microsoft tuyên bố họ sẽ không vá lỗ hổng này.
Theo nhà nghiên cứu bảo mật Bernardo Quintero của hãng VirusTotal, phần mềm VirusTotal đã phát hiện ra tập tin Java chứa mã độc vào năm 2018. Ông đã ngay lập tức báo cáo với Microsoft vào ngày 18/8 nhưng gã khổng lồ phần mềm phản hồi rằng họ sẽ không vá lỗ hổng này.
Tháng 01/2019, Quintero đã cũng công bố thêm nhiều chi tiết về CVE-2020-1464. Sau khi kiểm tra tập tin Java chứa mã độc, ông phát hiện ra rằng nó là một tập tin MSI được nối thêm một tập tin Java. Mặc dù đã bị sửa đổi nhưng Windows vẫn coi tập tin này có chữ ký số hợp lệ từ Google, bạn có thể xem trong bức ảnh bên dưới.
Vì một số giải pháp bảo mật sử dụng chữ ký số để xác định xem tệp có quyền khởi chạy hay không nên hacker có thể dùng kỹ thuật này để vượt qua hệ thống bảo mật. Sau đó, chúng chiếm quyền kiểm soát và gây ra những thiệt hại khó lường cho nạn nhân.
Sau khi cập nhật bản vá cho CVE-2020-1464, Windows 10 sẽ loại bỏ chữ ký số của các tập tin MSI nếu chúng bị biến thành tập tin Java chứa mã độc. Các bạn có thể so sánh thuộc tính của một tập tin Java chứa mã độc trên Windows 10 1909 và Windows 10 2004 (phải) trong ảnh bên dưới.
Hacker cũng có thể thêm các tập tin khác vào tập tin MSI tuy nhiên chỉ có tập tin Java mới có thể được dùng để triển khai mã độc.
Hiện vẫn chưa rõ tại sao Microsoft từ chối vá lỗ hổng vào năm 2018 nhưng lại tiến hành khắc phục sau hai năm. Microsoft cũng không công nhận Quintero là người đầu tiên phát hiện ra lỗ hổng này.