Quản trị mạng - Hôm nay các nhà nghiên cứu bảo mật cho biết tin tặc có thể khai thác một lỗ hổng trong Adobe Flash để chiếm quyền điều khiển hầu hết các trang Web cho phép người dùng tải dữ liệu lên, bao gồm cả Gmail của Google, sau đó âm thầm tấn công người dùng khi truy cập vào những trang Web này.
Adobe không đưa ra lời phản biện nào trước ý kiến của các nhà nghiên cứu mà chỉ nói rằng quản trị viên và chuyên viên thiết kế Web phải có trách nhiệm bảo vệ ứng dụng và trang Web để ngăn chặn những cuộc tấn công kiểu như vậy.
Ông Mike Murray, trưởng phòng thông tin bảo mật của Foreground Security, hãng cung cấp giải pháp bảo mật có trụ sở tại Orlando bang Florida, nói rằng “Lỗ hổng này rất nguy hiểm. Bất kì trang Web nào cho phép người dùng tải dữ liệu lên đều dễ bị tấn công, và hầu hết các trang này không được cấu hình để ngăn chặn.”
Mike Bailey, nhà nghiên cứu bảo mật cấp cao của Foreground, cho biết thêm lỗ hổng này nằm trong một policy có cùng nguồn gốc với ActionScript của Flash, nó được thiết kế để hạn chế khả năng truy cập của một đối tượng Flash tới những vùng lưu trữ dữ liệu khác ngoại trừ miền mà nó sinh ra. Nếu tin tặc có thể chèn đối tượng Flash độc vào một trang Web qua các vùng lưu trữ dữ liệu được người dùng tạo trên đó, thường cho phép người dùng tải file lên trang hay dịch vụ này, thì chúng có thể chạy những tập lệnh độc trong vùng chứa dữ liệu của miền đó.
Bailey nói rằng “Đây là một điều thật khủng khiếp. Có quá nhiều trang cho phép người dùng tải dữ liệu lên, rất nhiều trang trong số này cho phép người dùng tải dữ liệu về. Mọi người dùng đều có thể bị tấn công.”
Trong một bài viêt đăng trên blog của Foreground ngày hôm nay, Bailey đã mô tả phương pháp tin tặc khai thác lỗ hổng trong Flash. Ông nói tiếp “Phương thức khai thác khá đơn giản. Tất cả những gì chúng cần làm là tạo một đối tượng Flash độc rồi tải nó lên máy chủ Web.”
Ông đã lấy một ví dụ cụ thể để giải thích tiến trình này. Ông nói “Nếu một diễn dàn cho phép người dùng tải hình ảnh lên để đặt làm avatar, thì ai đó sẽ có thể tải lên một file Flash độc giống như một ảnh avatar. Bất cứ ai sau đó xem avatar này có thể sẽ bị tấn công.”
Adode đã cho Foreground biết rằng lỗ hổng này không thể vá, Murray và Bailey tiết lộ. Thay vào đó, Adobe đang cố gắng hướng dẫn quản trị viên ngăn chặn lỗ hổng này, tuy nhiên phương pháp này tỏ ra không mấy hiệu quả.
Brad Arkin, giám đốc bộ phận bảo mật của Adobe, cũng cho rằng dù có phát hành một bản vá cho Flash thì cũng không thể khắc phục được lỗ hổng này. Ông nói “Chúng tôi thấy lỗ hổng này là một vấn đề chung tác động tới mọi trang Web cho phép chạy các tập lệnh, không chỉ Flash mà còn nhiều thứ khác nữa, như Javascript, Silverlight, … Dù Flash có cung cấp một số công cụ bảo vệ thì các trang dữ liệu động cho phép người dùng tải file lên vẫn sẽ bị tác động.”
Adobe đã cảnh báo cho các nhà phát triển ứng dụng Web và quản trị viên Web về sự nguy hiểm của việc cho phép người dùng tải dữ liệu lên trang, Arkin cho biết thêm. Ông tranh luận “Vấn đề thực sự ở đây đó là các nhà phát triển cần thận trọng trong việc sử dụng các công cụ có thể bị sử dụng sai mục đích. Nói chung, đây là một vấn đề thường gặp trong việc quản lý dữ liệu động.”
Bailey và Murray cùng lặp lại ý kiến trên đồng thời nói rằng hầu hết các trang Web vẫn chưa chú ý tới lời khuyên này.
Bailey nói “Một số trang Web lớn đã hiểu ra được vấn đề. Trong nhiều trường hợp, các trang Web sẽ lưu trữ dữ liệu người dùng tải lên vào một miền khác, có thể vì lí do thực thi.” Foreground cho biết những trang và dịch vụ đã khóa máy chủ gồm Windows Live Hotmail của Windows và Youtube của Google. Bailey nhấn mạnh “Tuy nhiên vẫn còn rất nhiều quản trị viên hệ thống vẫn chưa hiểu ra được vấn đề này.”
Thậm chí một số trang Web của Adobe cũng dễ bị tác động bởi hình thức tấn công này. Murray tự hỏi “Làm thế nào để người dùng có thể tự bảo vệ khi mà Adobe cũng không thể bảo vệ chính họ?”
Dịch vụ Gmail của Google cũng bị đe dọa bởi cuộc tấn công Flash độc vì Gmail cho phép người dùng đăng lên và tải về các file đính kèm, mặc dù vậy Bailey nói rằng để có thể khai thác được dịch vụ Web Mail của Google thì tin tặc dẽ phải tiêu tốn khá nhiều thời gian và công sức.
Mặc dù Foreground chưa phát hiện bất kì cuộc tấn công nào sử dụng phương thức này, tuy nhiên Murray khẳng định rằng đã có những bằng chứng cho thấy tin tặc đang lên kế hoạch hành động. Ông dự đoán “chúng ta sẽ thấy Flash được sử dụng theo phương pháp này”, đồng thời chỉ ra một loại sâu mới được viết gần đây để khai thác một lỗ hổng tương tự trong phần mềm của Adobe đã phát tán trên Web và lây nhiễm vào nhiều máy tính. “Trường hợp xấu nhất có thể xảy ra đó là ai đó nắm bắt được phương thức này và âm thầm phát động tấn công rộng rãi trên Internet.”
Mối lo ngại này là lý do chính khiến Foreground công bố thông tin mà họ đang nắm giữ dù Adobe không thể phát hành một bán vá để vá lỗ hổng này. Murray nói rằng “Chúng tôi sẽ tiếp tục theo dõi lỗ hổng này.”
Phương pháp phòng vệ duy nhất hiện nay mà người dùng có thể sử dụng chống lại những cuộc tấn công này là ngừng sử dụng Flash, hoặc tắt bỏ nó, hoặc hạn chế sử dụng nó trên các trang an toàn có trang bị những công cụ như add-on NoScript của Firefox và ToggleFlash của Internet Explorer.
Murray nói “Phương pháp tốt nhất là tẩy chay Flash, nhưng chúng tối biết điều này là không thể với hầu hết người dùng vì Flash được sử dụng quá phổ biến trên Web. Hầu hết người dùng Internet đều dễ bị tấn công khi truy cập vào trang Web cho phép dữ liệu được cập nhật không phù hợp. Đó không phải là sự cường điệu mà đó là sự thật. Lỗ hổng này có thể tác động tới bất kì trang phương tiện xã hội nào và mọi ứng dụng Web. Đó là lí do vì sao những cuộc tấn công khai thác lỗ hổng này đặc biệt nguy hiểm. Những người dùng cuối sẽ không bao giờ biết được họ bị tấn công.”
Hiện Adobe vẫn chưa có bất cứ bình luận gì thêm về việc này.
Adobe không đưa ra lời phản biện nào trước ý kiến của các nhà nghiên cứu mà chỉ nói rằng quản trị viên và chuyên viên thiết kế Web phải có trách nhiệm bảo vệ ứng dụng và trang Web để ngăn chặn những cuộc tấn công kiểu như vậy.
Ông Mike Murray, trưởng phòng thông tin bảo mật của Foreground Security, hãng cung cấp giải pháp bảo mật có trụ sở tại Orlando bang Florida, nói rằng “Lỗ hổng này rất nguy hiểm. Bất kì trang Web nào cho phép người dùng tải dữ liệu lên đều dễ bị tấn công, và hầu hết các trang này không được cấu hình để ngăn chặn.”
Mike Bailey, nhà nghiên cứu bảo mật cấp cao của Foreground, cho biết thêm lỗ hổng này nằm trong một policy có cùng nguồn gốc với ActionScript của Flash, nó được thiết kế để hạn chế khả năng truy cập của một đối tượng Flash tới những vùng lưu trữ dữ liệu khác ngoại trừ miền mà nó sinh ra. Nếu tin tặc có thể chèn đối tượng Flash độc vào một trang Web qua các vùng lưu trữ dữ liệu được người dùng tạo trên đó, thường cho phép người dùng tải file lên trang hay dịch vụ này, thì chúng có thể chạy những tập lệnh độc trong vùng chứa dữ liệu của miền đó.
Bailey nói rằng “Đây là một điều thật khủng khiếp. Có quá nhiều trang cho phép người dùng tải dữ liệu lên, rất nhiều trang trong số này cho phép người dùng tải dữ liệu về. Mọi người dùng đều có thể bị tấn công.”
Trong một bài viêt đăng trên blog của Foreground ngày hôm nay, Bailey đã mô tả phương pháp tin tặc khai thác lỗ hổng trong Flash. Ông nói tiếp “Phương thức khai thác khá đơn giản. Tất cả những gì chúng cần làm là tạo một đối tượng Flash độc rồi tải nó lên máy chủ Web.”
Ông đã lấy một ví dụ cụ thể để giải thích tiến trình này. Ông nói “Nếu một diễn dàn cho phép người dùng tải hình ảnh lên để đặt làm avatar, thì ai đó sẽ có thể tải lên một file Flash độc giống như một ảnh avatar. Bất cứ ai sau đó xem avatar này có thể sẽ bị tấn công.”
Adode đã cho Foreground biết rằng lỗ hổng này không thể vá, Murray và Bailey tiết lộ. Thay vào đó, Adobe đang cố gắng hướng dẫn quản trị viên ngăn chặn lỗ hổng này, tuy nhiên phương pháp này tỏ ra không mấy hiệu quả.
Brad Arkin, giám đốc bộ phận bảo mật của Adobe, cũng cho rằng dù có phát hành một bản vá cho Flash thì cũng không thể khắc phục được lỗ hổng này. Ông nói “Chúng tôi thấy lỗ hổng này là một vấn đề chung tác động tới mọi trang Web cho phép chạy các tập lệnh, không chỉ Flash mà còn nhiều thứ khác nữa, như Javascript, Silverlight, … Dù Flash có cung cấp một số công cụ bảo vệ thì các trang dữ liệu động cho phép người dùng tải file lên vẫn sẽ bị tác động.”
Adobe đã cảnh báo cho các nhà phát triển ứng dụng Web và quản trị viên Web về sự nguy hiểm của việc cho phép người dùng tải dữ liệu lên trang, Arkin cho biết thêm. Ông tranh luận “Vấn đề thực sự ở đây đó là các nhà phát triển cần thận trọng trong việc sử dụng các công cụ có thể bị sử dụng sai mục đích. Nói chung, đây là một vấn đề thường gặp trong việc quản lý dữ liệu động.”
Bailey và Murray cùng lặp lại ý kiến trên đồng thời nói rằng hầu hết các trang Web vẫn chưa chú ý tới lời khuyên này.
Bailey nói “Một số trang Web lớn đã hiểu ra được vấn đề. Trong nhiều trường hợp, các trang Web sẽ lưu trữ dữ liệu người dùng tải lên vào một miền khác, có thể vì lí do thực thi.” Foreground cho biết những trang và dịch vụ đã khóa máy chủ gồm Windows Live Hotmail của Windows và Youtube của Google. Bailey nhấn mạnh “Tuy nhiên vẫn còn rất nhiều quản trị viên hệ thống vẫn chưa hiểu ra được vấn đề này.”
Thậm chí một số trang Web của Adobe cũng dễ bị tác động bởi hình thức tấn công này. Murray tự hỏi “Làm thế nào để người dùng có thể tự bảo vệ khi mà Adobe cũng không thể bảo vệ chính họ?”
Dịch vụ Gmail của Google cũng bị đe dọa bởi cuộc tấn công Flash độc vì Gmail cho phép người dùng đăng lên và tải về các file đính kèm, mặc dù vậy Bailey nói rằng để có thể khai thác được dịch vụ Web Mail của Google thì tin tặc dẽ phải tiêu tốn khá nhiều thời gian và công sức.
Mặc dù Foreground chưa phát hiện bất kì cuộc tấn công nào sử dụng phương thức này, tuy nhiên Murray khẳng định rằng đã có những bằng chứng cho thấy tin tặc đang lên kế hoạch hành động. Ông dự đoán “chúng ta sẽ thấy Flash được sử dụng theo phương pháp này”, đồng thời chỉ ra một loại sâu mới được viết gần đây để khai thác một lỗ hổng tương tự trong phần mềm của Adobe đã phát tán trên Web và lây nhiễm vào nhiều máy tính. “Trường hợp xấu nhất có thể xảy ra đó là ai đó nắm bắt được phương thức này và âm thầm phát động tấn công rộng rãi trên Internet.”
Mối lo ngại này là lý do chính khiến Foreground công bố thông tin mà họ đang nắm giữ dù Adobe không thể phát hành một bán vá để vá lỗ hổng này. Murray nói rằng “Chúng tôi sẽ tiếp tục theo dõi lỗ hổng này.”
Phương pháp phòng vệ duy nhất hiện nay mà người dùng có thể sử dụng chống lại những cuộc tấn công này là ngừng sử dụng Flash, hoặc tắt bỏ nó, hoặc hạn chế sử dụng nó trên các trang an toàn có trang bị những công cụ như add-on NoScript của Firefox và ToggleFlash của Internet Explorer.
Murray nói “Phương pháp tốt nhất là tẩy chay Flash, nhưng chúng tối biết điều này là không thể với hầu hết người dùng vì Flash được sử dụng quá phổ biến trên Web. Hầu hết người dùng Internet đều dễ bị tấn công khi truy cập vào trang Web cho phép dữ liệu được cập nhật không phù hợp. Đó không phải là sự cường điệu mà đó là sự thật. Lỗ hổng này có thể tác động tới bất kì trang phương tiện xã hội nào và mọi ứng dụng Web. Đó là lí do vì sao những cuộc tấn công khai thác lỗ hổng này đặc biệt nguy hiểm. Những người dùng cuối sẽ không bao giờ biết được họ bị tấn công.”
Hiện Adobe vẫn chưa có bất cứ bình luận gì thêm về việc này.