Microsoft cảnh báo về xu hướng gia tăng tấn công nhắm vào firmware và sự thờ ơ đáng lo ngại của cộng đồng

Báo cáo bảo mật định kỳ Security Signals cho quý đầu tiên của năm 2021 đã chỉ ra một thống kê đáng báo động, đó là có tới 80% doanh nghiệp được khảo sát đã từng phải đối mặt với ít nhất một cuộc tấn công liên quan đến phần mềm cơ sở (firmware) trên hệ thống của mình trong suốt hai năm qua. Tuy nhiên, chưa đến một phần ba ngân sách chi tiêu bảo mật của các doanh nghiệp được dành riêng cho khía cạnh bảo vệ phần mềm.

Đây thực sự là một sự “thờ ơ” đáng lo ngại, đặc biệt trong bối cảnh số lượng các cuộc tấn công nhắm vào phần mềm hệ thống có xu hướng gia tăng nhanh chóng thời gian gần đây.

Về cơ bản, các cuộc tấn công firmware thường rất khó đối phó và để lại hậu quả lớn. Có thể thấy rõ điều này qua những vụ việc nổi cộm đã từng được ghi nhận. Chẳng hạn như trường hợp của nhóm hacker khét tiếng APT28 (hay còn gọi là Fancy Bear). Một số thành viên của nhóm này đã bị bắt vào năm 2018, sau khi thực hiện một chiến dịch tấn công sử dụng bộ rootkit Unified Extensible Firmware Interface (UEFI) để nhắm mục tiêu đến các máy tính Windows, gây chấn động thế giới.

Ngoài ra, cũng đã có những cuộc tấn công nhắm vào driver phần cứng, có thể kể tới như RobbinHood, Uburos, Derusbi, Sauron và GrayFish, cũng như ThunderSpy (nhằm vào các cổng Thunderbolt) - tất cả đều gây thiệt hại nặng nề.

Để đối phó, năm ngoái, Microsoft đã tung ra một loạt PC chạy Windows 10 "Secured-Core" để chống lại phần mềm độc hại giả mạo mã trong bo mạch chủ khởi động PC. Công ty Redmond cũng đã phát hành một công cụ quét UEFI trong Microsoft Defender ATP để quét bên trong hệ thống tệp firmware để tìm sự hiện diện của phần mềm độc hại.

Những nỗ lực trên rất đáng khen, nhưng chỉ có sự cố gắng từ phía Microsoft thôi là chưa đủ. Nhiều (nếu không muốn nói là đa số) các doanh nghiệp không xử lý những cuộc tấn công firmware trên hệ thống của mình đủ nghiêm túc.

Lỗ hổng trong firmware thường khó theo dõi và kiểm soát hơn. Các lỗ hổng phần mềm cũng ngày càng trầm trọng hơn do thiếu nhận thức và sự chủ động".

Tấn công firmware có xu hướng gia tăng

Tuy nhiên, các doanh nghiệp cũng có cái khó riêng. Chẳng hạn, phần mềm chương trình cơ sở firmware thường nằm “sâu bên dưới” hệ điều hành, và là nơi lưu trữ thông tin xác thực cũng như khóa mã hóa trong bộ nhớ. Đây là khu vực hầu hết các giải pháp phần mềm chống virus không thể chạm tới. Đồng thời cũng chính là điểm yếu mà hacker đã nhận ra và tập trung khai thác.

Câu hỏi đặt ra là liệu các đội ngũ bảo mật có dành đủ sự quan tâm đối với các mối đe dọa tiềm năng hay không. Microsoft cho rằng sự quan tâm này là chưa đủ, ít nhất ở thời điểm hiện tại. Kết quả khảo sát Security Signals cho thấy 36% doanh nghiệp đã đầu tư vào mã hóa bộ nhớ dựa trên phần cứng và 46% đang mua các biện pháp bảo vệ kernel dựa trên phần cứng.

Đáng chú ý, Microsoft cũng nhận thấy rằng các đội ngũ bảo mật doanh nghiệp đang tập trung chủ yếu vào các mô hình bảo mật theo kiểu "bảo vệ và phát hiện", trong khi chỉ có 39% thời gian của các đội bảo mật được dành cho việc phòng ngừa, ngăn chặn từ sớm các mối đe dọa.

Theo Microsoft, việc thiếu chủ động đầu tư phòng thủ đối với các vectơ tấn công cấp độ firmware là một ví dụ điển hình của mô hình bảo mật lỗi thời này.

Hầu hết trong số 1.000 chuyên gia quản lý bảo mật doanh nghiệp được phỏng vấn (82%) cho biết họ không có đủ nguồn lực để giải quyết các vấn đề liên quan đến phòng ngừa tấn công firmware, vì họ quá bận rộn với việc vá lỗi, nâng cấp phần cứng và giảm thiểu các lỗ hổng bên trong cũng như bên ngoài.

Thứ Sáu, 09/04/2021 21:22
31 👨 346
0 Bình luận
Sắp xếp theo