Microsoft cảnh báo về các tấn công Windows

Quản trị mạng - Ngày hôm qua, các chuyên gia nghiên cứu bảo mật của Microsoft đã cảnh báo về tấn công khai thác một lỗ hổng trong Windows với các hãng phần mềm đã vá bản vá khẩn cấp tháng trước, các báo này đã được xác nhận bởi Symantec Corp.

Microsoft bên cạnh đó cũng khuyến cáo người dùng của họ sử dụng bản vá MS08-067 nếu họ vẫn chưa thực hiện cập nhật bản vá lỗi trên.

Các tấn công mới này, theo Trung tâm bảo mật Malware của Microsoft, đã bắt đầu vào cuối tuần trước nhưng mới được phát hiện rõ vào hai ngày gần đây, chúng sử dụng cùng một loại sâu worm mà Symantec đã thông báo vào hôm thứ Sáu tuần trước.

Dù được mang tên "Conficker.a" theo các gọi của Microsoft hay "Downadup" theo cách gọi của Symantec, thì loại sâu này cũng đều khai thác lỗ hổng trong dịch vụ Windows Server, đây là dịch vụ được sử dụng bởi tất cả các phiên bản của hệ điều hành nhằm kết nối với file và các máy chủ in ấn trên mạng. Microsoft đã vá lỗi này trong một phát hành định kỳ 5 tuần cách đây, sau khi hãng này phát hiện ra một số lượng nhỏ các máy tính đã bị tiêm nhiễm và hầu hết trong số chúng đều ở vùng Đông Nam Châu Á.

Theo Ziv Mador, một nhà nghiên cứu tại Trung Tâm bảo vệ malware của Microsoft, làn sóng các tấn công này đã trải rộng vào các công ty và xâm nhập vào hàng trăm người dùng gia đình. Hầu hết trong số các báo cáo về tiêm nhiễm đều đến từ những người dùng ở Mỹ, tuy nhiên nhóm làm việc của ông cũng gặp một số trường hợp gọi đến từ một vài nước khác trên thế giới. Có một điều lạ là tấn công này lại không hề tiêm nhiễm vào các máy tính Ukraina, điều đó có thể nói lên rằng rất có thể malware này được viết bởi những người đang sống tại Ukraina; do các hacker thường bỏ qua các hệ thống trong nước nơi họ đang sinh sống để tránh những phản ứng bởi những lực lượng địa phương.

“Có một thú vị rằng loại sâu này lại vá các API có lỗi trong bộ nhớ vì vậy máy tính sẽ không bị hổng ở điểm này. Tuy nhiên đó không phải sự quan tâm của những kẻ viết ra loại sâu này mà chúng chỉ muốn bảo đảm rằng các malware khác sẽ không vượt mặt được chúng”, Mador đã nói như vậy.

Loại sâu này cũng thiết lập lại điểm khôi phục hệ thống trong máy của người dùng, Microsoft cũng cho biết như vậy trong một bản tường thuật về kỹ thuật, điều đó có thể làm cho người dùng khó khăn trong việc backup về trạng thái trước khi bị tiêm nhiễm.

Các máy tính đã được vá bản vá lỗi MS08-067 sẽ được bảo vệ một cách an toàn, Mador đã cho biết như vậy.

Cũng tuần trước, Symantec cũng đã đưa ra cảnh báo bảo mật ThreatCon về trạng thái lỗ hổng này từ một hoặc hai đáp trả các tấn công mà hãng này đã phát hiện khi các tấn công này tấn công vào khách hàng của họ. Tuy nhiên các hãng bảo mật khác khi đó vẫn còn nghi ngờ về tuyên bố này.