Quản trị mạng - Hôm nay, các nhà nghiên cứu cho biết tin tặc đang gấp rút phát triển những loại mã tấn công mới đủ mạnh để khai thác lỗ hổng Zero-day trong Internet Explorer. Điều này đã làm gia tăng sức ép lên Microsoft yêu cầu phát hành một bản vá trước khi các cuộc tấn được tiến hành.
>> Microsoft hướng dẫn khắc chế lỗ hổng Zero-day
Sáng qua, lần đầu tiên Microsoft đã lên tiếng xác nhận rằng mã khai thác mới có thể tác động tới những máy tính sử dụng phiên bản Internet Explorer 6 và Internet Explorer 7, sau đó, vào buổi chiều cùng ngày, Microsoft đã phát hành một bản hướng dẫn bảo mật (Security Advisory) cho biết người dùng Windows 2000, Windows XP và Windows Vista là những đối tượng bị ảnh hưởng.
Hôm nay, các nhà nghiên cứu nhận định rằng cuộc đua giữa Microsoft và tin tặc đã thực sự bắt đầu do đoạn mã tấn công này đã được phát tán rộng rãi.
Ben Greenbaum, trưởng nhóm nghiên cứu của đội ứng cứu bảo mật của Symantec, nhận xét “Rõ ràng đây là một lỗ hổng rất nguy hiểm.” Khi được hỏi về khả năng diễn ra cuộc đua giữa Microsoft và tin tặc, Ben nhấn mạnh “Đúng, đây chắc chắn là một cuộc đua thực sự.”
Wolfgang Kandek, giám đốc công nghệ của công ty bảo mật Qualys, cũng đồng tình cho rằng “Rõ ràng đây là một cuộc ganh đua. Vấn đề là liệu Microsoft có thể vá lỗ hổng này trước khi tin tặc khai thác nó hay không.”
Theo Kandek, nhiều biến thể của mã tấn công gốc đã được phát tán trên Web. Ông nhận định “Do đó tin tặc có thể đang làm việc với nhiều loại mã tấn công mạnh hơn.”
Greenbaum đã nhắc lại phát biểu của Kandek khi nói rằng mã tấn công gốc không hoạt động ổn định. Greenbaum nói “Theo một số cuộc thử nghiệm của chúng tôi, mã tấn công đã được phát tán chỉ hoạt động trên một số nền tảng và hoạt động không ổn định. Tin tặc sẽ phải viết mã tấn công mới đủ mạnh để phát động tấn công.” Đồng thời ông cho rằng đây không phải là một công việc đơn giản nhưng cũng không quá phức tạp.
Trong bản hướng dẫn bảo mật Microsoft đã hướng dẫn cho người dùng một số phương pháp để có thể tự bảo vệ trước khi bản vá cho lỗ hổng được phát hành, như kích hoạt tính năng bảo mật DEP (Data Execution Prevention) trong IE6 và IE7, thay đổi cài đặt để tăng cấp độ bảo mật cho Internet Explorer nhằm chặn JavaScript. Đó cũng là những gì mà một số công ty bảo mật khuyến cáo người dùng vào hôm thứ hai để ngăn chặn những cuộc tấn công sử dụng mã khai thác gốc, chỉ dựa vào JavaScript để chiếm quyền điều khiển máy tính sử dụng hệ điều hành Windows.
Tuy nhiên Kandek không đánh giá cao những chỉ dẫn của Microsoft. Ông nói “Những biện pháp này rất phức tạp, và không phải ai cũng có thể áp dụng được những phương pháp này. Với người dùng, khi bật cái này hay khi tắt cái kia sẽ làm cho ứng dụng trình duyệt này trở nên vô dụng.”
Microsoft nói rằng người dùng có thể lựa chọn một biện pháp khác là nâng cấp lên IE8, được cho là không có lỗ hổng này. Kandek cho rằng đó là những gì Microsoft khuyên người dùng xem xét và cần thực hiện, tuy nhiên nhân viên công ty rất khó hoặc không thể để loại bỏ ứng dụng trình duyệt được công ty của họ hỗ trợ. Ông nói “Tôi có thể nâng cấp lên IE8 tại nhà, và những người dùng tại nhà cũng nên làm như vậy, nhưng người dùng trong doanh nghiệp sẽ không thể làm như vậy.”
Microsoft có thể sẽ phát hành bản cập nhật bảo mật định kỳ tiếp theo trong khoảng hai tuần nữa, vào ngày 8/12, tuy nhiên hầu hết các nhà nghiên cứu không cho rằng Microsoft sẽ vội vàng phát hành bản vá nhanh như vậy. Kandek nói “Tôi không nghĩ điều đó sẽ xảy ra. IE là một thành phần quan trọng của hệ điều hành Windows, và Microsoft sẽ kiểm tra bản vá rất kĩ lưỡng trước khi phát hành.”
Trước đây, Microsoft đã phải mất ít nhất một tháng để tung ra bản vá cho một lỗ hổng trong IE đã được công bố. Rất hiếm khi Microsoft phát hành ngay bản vá trong bản cập nhật bảo mật định kỳ ngay sau đó, mà thông thường sẽ được tung ra trong bản cập nhật định kỳ kế tiếp. Sở dĩ Microsoft trì hoãn lại là vì chưa có cuộc tấn công nào nhằm vào lỗ hổng này. Hôm qua, Microsoft cho biết họ không thấy bất cứ dấu hiệu nào của các cuộc tấn công sử dụng mã khai thác đã được phát tán.
Kandek kết luận rằng “Tuy nhiên, chắc chắn sẽ có diễn tiến mới về vấn đề này. Tin tặc đang tiến hành thử nghiệm để kiểm tra sức mạnh của các loại mã khai thác khác nhau.”
>> Microsoft hướng dẫn khắc chế lỗ hổng Zero-day
Sáng qua, lần đầu tiên Microsoft đã lên tiếng xác nhận rằng mã khai thác mới có thể tác động tới những máy tính sử dụng phiên bản Internet Explorer 6 và Internet Explorer 7, sau đó, vào buổi chiều cùng ngày, Microsoft đã phát hành một bản hướng dẫn bảo mật (Security Advisory) cho biết người dùng Windows 2000, Windows XP và Windows Vista là những đối tượng bị ảnh hưởng.
Hôm nay, các nhà nghiên cứu nhận định rằng cuộc đua giữa Microsoft và tin tặc đã thực sự bắt đầu do đoạn mã tấn công này đã được phát tán rộng rãi.
Ben Greenbaum, trưởng nhóm nghiên cứu của đội ứng cứu bảo mật của Symantec, nhận xét “Rõ ràng đây là một lỗ hổng rất nguy hiểm.” Khi được hỏi về khả năng diễn ra cuộc đua giữa Microsoft và tin tặc, Ben nhấn mạnh “Đúng, đây chắc chắn là một cuộc đua thực sự.”
Wolfgang Kandek, giám đốc công nghệ của công ty bảo mật Qualys, cũng đồng tình cho rằng “Rõ ràng đây là một cuộc ganh đua. Vấn đề là liệu Microsoft có thể vá lỗ hổng này trước khi tin tặc khai thác nó hay không.”
Theo Kandek, nhiều biến thể của mã tấn công gốc đã được phát tán trên Web. Ông nhận định “Do đó tin tặc có thể đang làm việc với nhiều loại mã tấn công mạnh hơn.”
Greenbaum đã nhắc lại phát biểu của Kandek khi nói rằng mã tấn công gốc không hoạt động ổn định. Greenbaum nói “Theo một số cuộc thử nghiệm của chúng tôi, mã tấn công đã được phát tán chỉ hoạt động trên một số nền tảng và hoạt động không ổn định. Tin tặc sẽ phải viết mã tấn công mới đủ mạnh để phát động tấn công.” Đồng thời ông cho rằng đây không phải là một công việc đơn giản nhưng cũng không quá phức tạp.
Trong bản hướng dẫn bảo mật Microsoft đã hướng dẫn cho người dùng một số phương pháp để có thể tự bảo vệ trước khi bản vá cho lỗ hổng được phát hành, như kích hoạt tính năng bảo mật DEP (Data Execution Prevention) trong IE6 và IE7, thay đổi cài đặt để tăng cấp độ bảo mật cho Internet Explorer nhằm chặn JavaScript. Đó cũng là những gì mà một số công ty bảo mật khuyến cáo người dùng vào hôm thứ hai để ngăn chặn những cuộc tấn công sử dụng mã khai thác gốc, chỉ dựa vào JavaScript để chiếm quyền điều khiển máy tính sử dụng hệ điều hành Windows.
Tuy nhiên Kandek không đánh giá cao những chỉ dẫn của Microsoft. Ông nói “Những biện pháp này rất phức tạp, và không phải ai cũng có thể áp dụng được những phương pháp này. Với người dùng, khi bật cái này hay khi tắt cái kia sẽ làm cho ứng dụng trình duyệt này trở nên vô dụng.”
Microsoft nói rằng người dùng có thể lựa chọn một biện pháp khác là nâng cấp lên IE8, được cho là không có lỗ hổng này. Kandek cho rằng đó là những gì Microsoft khuyên người dùng xem xét và cần thực hiện, tuy nhiên nhân viên công ty rất khó hoặc không thể để loại bỏ ứng dụng trình duyệt được công ty của họ hỗ trợ. Ông nói “Tôi có thể nâng cấp lên IE8 tại nhà, và những người dùng tại nhà cũng nên làm như vậy, nhưng người dùng trong doanh nghiệp sẽ không thể làm như vậy.”
Microsoft có thể sẽ phát hành bản cập nhật bảo mật định kỳ tiếp theo trong khoảng hai tuần nữa, vào ngày 8/12, tuy nhiên hầu hết các nhà nghiên cứu không cho rằng Microsoft sẽ vội vàng phát hành bản vá nhanh như vậy. Kandek nói “Tôi không nghĩ điều đó sẽ xảy ra. IE là một thành phần quan trọng của hệ điều hành Windows, và Microsoft sẽ kiểm tra bản vá rất kĩ lưỡng trước khi phát hành.”
Trước đây, Microsoft đã phải mất ít nhất một tháng để tung ra bản vá cho một lỗ hổng trong IE đã được công bố. Rất hiếm khi Microsoft phát hành ngay bản vá trong bản cập nhật bảo mật định kỳ ngay sau đó, mà thông thường sẽ được tung ra trong bản cập nhật định kỳ kế tiếp. Sở dĩ Microsoft trì hoãn lại là vì chưa có cuộc tấn công nào nhằm vào lỗ hổng này. Hôm qua, Microsoft cho biết họ không thấy bất cứ dấu hiệu nào của các cuộc tấn công sử dụng mã khai thác đã được phát tán.
Kandek kết luận rằng “Tuy nhiên, chắc chắn sẽ có diễn tiến mới về vấn đề này. Tin tặc đang tiến hành thử nghiệm để kiểm tra sức mạnh của các loại mã khai thác khác nhau.”