Tin tặc bắt cóc Windows Update để phát tán mã độc

Các chuyên gia nghiên cứu bảo mật của Symantec cảnh báo tin tặc hiện đã bắt cách lợi dụng bộ phận chuyển tệp tin của Windows Update để tuồn mã độc vào PC mà không lo bị tường lửa phát hiện.

Giao thức dịch vụ chuyển tệp tin thông tin dưới nền (BITS) thường được dùng để tải các tệp tin cập nhật về PC thông Windows Update. Giao thức này bắt đầu được ứng dụng từ phiên bản Windows XP đầu tiên. Thậm chí cả Vista hiện vẫn ứng dụng công nghệ này.

Đây là một dạng dịch vụ chuyển tệp tin tự động đồng bộ không hề gây cản trở đến các hoạt động mạng khác và có khả năng tự động khôi phục lại trong trường hợp kết nối bị ngắt.

Elia Florio - một chuyên gia nghiên cứu thuộc đội phản ứng nhanh với các tình huống bảo mật máy tính khẩn cấp của Symantec - cho biết hiện một số đối tượng lập trình Trojan đã bắt đầu áp dụng phương thức gọi dịch vụ BITS để giúp chúng tải thêm về nhiều mã độc trên hệ thống bị nhiễm.

"Đơn giản là bởi BITS là một yếu tố cấu thành nên hệ điều hành nên nó không cần phải đi qua tường lửa để kiểm tra dữ liệu".

Thông thường các phần mềm độc hại khi lây nhiễm lên hệ thống thường mở một cổng sau giúp chúng ta thêm về những loại mã độc khác. Phương thức này đòi hỏi chúng phải hạ gục tường lửa. Mà điều này thì sẽ khiến chúng rất dễ bị nhận diện.

"Tôi phải công nhận bắt cóc Windows Updates là một ý tưởng tuyệt vời," ông Oliver Friedrichs - Giám đốc đội phản ứng nhanh với các tình huống bảo mật máy tính khẩn cấp của Symantech - nhận định. "Tin tặc bắt cóc một bộ phân của hệ điều hành giúp chúng cập nhật mã độc. Nhưng tôi cho rằng ý tưởng qua mặt tường lửa không phải là ý tưởng mới".

Symantec phát hiện được phương pháp lợi dụng BITS trên một diễn đàn của hacker Nga hồi cuối năm ngoái. Từ đó đến nay hãng đã liên tục nghiên cứu về giải pháp này. Tháng 3 vừa qua đã có một con trojan áp dụng phương thức này xuất hiện trên mạng Internet.

"BITS không chỉ cho phép chúng qua mặt tường lửa mà đây còn là một giải pháp hoàn toàn miễn phí không hề tốn công sức để viết thêm mã tải về cho con trojan," giám đốc Friedrichs cho biết.

Tuy nhiên, ông Friedrichs cũng khẳng định một điều hiện chưa có minh chứng rõ ràng về việc Windows Updates bị bắt cóc. Nếu dịch vụ này có điểm yếu thì hẳn nó đã bị phát hiện ra từ lâu rồi. "Điều mà chúng tôi muốn nói ở đây là khả năng tin tặc có thể bắt cóc các bộ phận của hệ điều hành để thực hiện những mục tiêu riêng của chúng".

Chuyên gia Florio cho biêt hiện chưa có giải pháp nào ngăn chặn được tin tặc lợi dụng BITS. "Kiểm tra xem BITS tải về những gì là một điều không hề dễ dàng chút nào. Có lẽ nên thiết kế lại chỉ cho phép người dùng ở quyền ưu tiên nhất định mới đường dùng BITS".

Microsoft hiện chưa có bình luận chính thức nào về thông tin này.

Hoàng Dũng