Lỗi bảo mật IE có thể bị khai thác qua E-mail

Việc khai thác lỗ hổng chưa được vá trong IE 6.0 của Microsoft ngày càng tăng và những kẻ tấn công đang có xu hướng tụ họp lại. Vấn đề sẽ trở nên tồi tệ khi chúng chuyển hướng tấn công sang e-mail trong thời gian tới.

“Bây giờ mọi việc có vẻ yên ắng nhưng nó báo trước một nguy cơ sắp diễn ra” Roger Thompson, giám đốc công nghệ của Exploit Prevention Labs nói. “Nguy cơ là ở đó. Gọi nó là cơn bão trông thấy chứ không phải là cơn bão cảnh báo nữa”.

Ít nhất đã có hai chương trình khai thác xuất hiện trong tuần này. Một là WebAttacker của Nga và một là xSec gray - hat được tung ra đầu hôm thứ năm. Chương trình khai thác thứ hai có thể khởi chạy mã từ xa mà không cần dùng JavaScript như WebAttacker. Nó nguy hiểm hơn WebAttacker.

“xSec không hoạt động như người ta nói trên website. Nó chỉ phá huỷ trình duyệt. Nhưng nhìn như thể nó sẽ dễ dàng thực hiện một cuộc khai thác”.

Tệ nhất là hiện nay xu hướng tấn công đang chuyển mục tiêu từ các website sang e-mail, Ken Dunham, đội trưởng đội phản ứng nhanh của iDefense nói.

“Phần mềm khai thác mới sẽ nhắm vào e-mail. Chúng ta đang có phiên bản Outlook mới nhất, tất cả đều đã được vá lỗi nhưng các chương trình khai thác vẫn phá hoại được nó”. Theo nghiên cứu từ iDefense, chương trình khai thác có thể thực thi các mã khác, E-mail client với phần tin nhắn HTML xem trước, sử dụng cơ chế hoàn lại đang nằm trong tình trạng nguy hiểm. Chỉ xem trước một message cũng có thể dẫn đến kết quả máy tính bị chiếm quyển điều khiển, bị load adware, spyware hoặc các mã độc hại khác.

“Bạn có thể sẽ bị tấn công ngay lập tức khi bản thử nghiệm được đưa ra”, Dunham nói.

Dunham khẳng định chắc chắn hơn Thompson rằng lỗ hổng VML sẽ nhanh chóng được sửa chữa. “Điều đó sắp xảy ra. Tôi sẽ không ngạc nhiên nếu một lượng nhỏ e-mail thông báo đã sẵn sàng được gửi cho các công ty hay chính phủ”.

Viện dẫn lỗ hổng WMF (Windows Metafile Format) hồi cuối tháng 12 năm 2005, Dunham giải thích: “Trong vòng 24 giờ các cuộc tấn công nhắm vào e-mail chính phủ Hàn Quốc và Quốc hội Anh đã đượcthực hiện. Tôi nghĩ rằng lỗ hổng VML sẽ cạnh tranh với WMF. Chúng chẳng khác nhau là bao”.

Hiện những kẻ tấn công còn có xu hướng kết hợp phần mềm tấn công e-mail như WebAttacker với một lượng lớn spam. Một số website sử dụng lượng spam này để khuyếch trương các cuộc tấn công và thu hút sự chú ý của mọi người. Spammer đơn giản chỉ cần chèn một liên kết URL hosting của phiên bản WebAttacker mới nhất (khai thác lỗ hổng VML) vào junk mail gửi đi.

Mọi việc sẽ tốt đẹp khi Microsoft phát hành bản vá lỗi. Nhưng không có dấu hiệu gì chứng tỏ hãng này sẽ phá vỡ kế hoạch phát hành hàng tháng thường lệ của mình.

Khai thác lỗ hổng này tội phạm mạng có thể sẽ nhắm vào các tổ chức quan trọng như công ty, trường đại học, văn phòng chính phủ. Mục tiêu có thể là chương trình nghị sự của Nhà nước, bộ, ban ngành. Tất cả điều chúng đang làm là tìm kiếm cách phá hoại các máy tính đó.

Động cơ thúc đẩy? Lý do cỗ hữu: Tiền. “Có một thị trường mua bán tin tức ngầm. Một kẻ tấn công mạng có thể đe doạ bí mật của cả một đất nước”.

Microsoft phải đối mặt với tình hình tương tự trong năm nay. Chỉ duy nhất có một lần hãng này phá lệ phát hành bản vá lỗi bất thường khi lỗ hổng WMF hoành hành hồi đầu tháng 1. Và một vài ngày sau số lượng website gặp trục trặc với lỗ hổng này tiếp tục gia tăng. “Phải có một cái gì đấy thực sự nghiêm trọng diễn ra, họ mới phát hành bản vá lỗi sớm. Nhưng dù sao thì cơn bão vẫn chưa diễn ra”, Thompson nói.