Nở rộ tấn công khai thác lỗi

Tuần qua, Microsoft khá vất vả với một lỗi rất nguy hiểm trong trình điều khiển ActiveX được tin tặc khai thác qua trình duyệt Internet Explorer. Người dùng cũng gánh chịu nhiều nguy cơ đe dọa từ lỗi trên do sự tắc trách từ Microsoft.

Lỗi ActiveX nguy hiểm hơn sâu Conficker

Lỗi "mở rộng cửa và có thể được khai thác xuyên qua tường lửa - Roger Thompson, giám đốc bộ phận nghiên cứu bảo mật thuộc Hãng phần mềm bảo mật AVG Technologies USA Inc, nhận định về mức độ nguy hiểm của lỗi trong trình điều khiển ActiveX - Lỗi có thể bị khai thác ở mức độ nguy hiểm hơn cả đợt tấn công do sâu Conficker gây ra vừa qua".

Mối lo ngại của Thompson từ một lỗi nằm trong Microsoft Video Controller ActiveX Library (tập tin thư viện động "msvidctl.dll"), một trình điều khiển ActiveX có thể được truy xuất qua trình duyệt Internet Explorer 6 và 7 trên hệ điều hành Windows XP và Windows Server 2003. Microsoft định danh lỗi với tên gọi "Active Kill Bits" (973346).

Tin tặc sẽ khai thác lỗi để điều hướng người dùng đến một website chứa mã độc. Khi nạn nhân xem trang web đã bị hack và chứa mã khai thác lỗi bằng trình duyệt Internet Explorer (phiên bản IE6 và IE7), mã độc sẽ được thực thi.

Khi đã xâm nhập máy tính nạn nhân, tin tặc sẽ chiếm được những quyền hạn như một tài khoản đã đăng nhập hợp pháp. Hơn nữa, tin tặc còn có thể dẫn dụ tải về và thực thi một bộ công cụ tấn công (hacker tool kit) mở đường cho hàng loạt hoạt động về sau của tin tặc trên máy tính nạn nhân.

Nhận định lỗi ActiveX lần này nguy hại hơn cả lỗi mà sâu Conficker khai thác là chính xác. Lý do chính là lỗi mà sâu Conficker khai thác đã được Microsoft phát hành bản vá, còn lỗi ActiveX vẫn còn bỏ ngỏ. Tin tặc sẽ rất "hân hoan" khai thác nên việc tạo thành làn sóng tấn công khai thác vào lỗi ActiveX này là điều chắc chắn sẽ xảy ra và nhiều dự đoán cho rằng một biến thể Conficker 2 sẽ ra đời nhằm khai thác lỗi trên.

Nở rộ tấn công khai thác lỗi

Ngày 6-7, chỉ vài giờ sau khi các hãng bảo mật cảnh báo về tình trạng hàng ngàn website bị tấn công khai thác lỗi, trong đó có cả các công ty bảo mật từ Trung Quốc và Đan Mạch, Hãng Microsoft thừa nhận về lỗi trong trình điều khiển ActiveX này có thể được truy xuất qua trình duyệt Internet Explorer phiên bản 6 và 7. Lỗi đã được tin tặc sử dụng ít nhất từ ngày 9-6 nhưng cho đến tuần đầu tiên của tháng 7 thì mới được công bố rộng rãi trên Internet.

Hãng bảo mật F-Secure đã lên tiếng cảnh báo về công cụ tấn công tự động khai thác lỗi ActiveX và cả lỗi cũ từ trình Adobe Flash Player được sử dụng trong FireFox 3.5 đã bắt đầu phổ biến trên Internet.

Sự tắc trách của Microsoft

Theo ComputerWorld.com cho hay, lỗi nguy hiểm trên đã được các thành viên thuộc nhóm nghiên cứu nguy cơ bảo mật X-Force của IBM (Ryan Smith và Alex Wheeler) cảnh báo đến Microsoft vào năm 2008 sau khi nhóm phát hiện lỗi vào cuối năm 2007. Tuy nhiên, Microsoft vẫn không quan tâm nhiều đến lỗi này và cho đến khi thấy được "hậu quả nhãn tiền" hàng ngàn website bị tấn công thì mới tiến hành vá lỗi vào ngày 14-7-2009.

"Khi được cảnh báo vào năm 2008, ngay lập tức chúng tôi đã bắt đầu tập trung nghiên cứu và để việc khắc phục hoàn thành chu đáo, cần có thêm nhiều thời gian để đánh giá đầy đủ", người phát ngôn của Microsoft "lấp liếm" sau khi hãng này bị các cơ quan thông tấn quốc tế yêu cầu giải đáp về trách nhiệm khắc phục lỗi khi được X-Force thông báo vào năm 2008. Ngoài ra, Microsoft cũng không giải thích lý do vì sao lỗi không được khắc phục sớm hơn.

Cập nhật ngay công cụ vá lỗi

Một trong những lý do khiến tin tặc tung hoành khai thác lỗi bảo mật và cũng là lỗi xuất phát từ phía người dùng, đó là việc không cập nhật phần mềm đầy đủ khi có bản vá bảo mật. Sâu Conficker đã khai thác rất tốt điều này nên vẫn tung hành trên số lượng lớn các PC chưa cài đặt bản vá MS08-067 từ Microsoft.

Với lỗi "ActiveX Kill Bits", người dùng đang sử dụng hệ điều hành Windows cần cập nhật ngay bản vá được Microsoft phát hành tạm thời vào ngày 14-7: Windows XP, Windows XP 64-bit SP2, Windows Server 2003 SP2, Windows Server 2003 x64 Edition SP2, Windows Vista (SP1, SP2), Windows Vista 64-bit (SP1, SP2), Windows Server 2008 (SP2), Windows Server 2008 64-bit (SP2). Các phiên bản HĐH Windows khác có thể tải bản cập nhật tại đây.

Bản vá này thực chất là công cụ thiết lập tự động cho "trái tim của hệ thống" Windows Registry vì khi thực hiện thủ công, người dùng rất dễ mắc phải những sai sót trong thiết lập registry dẫn đến việc cài đặt lại cả hệ điều hành. Bản vá sẽ thực hiện cập nhật bộ 45 "kill bits" trong Windows Registry nhằm khóa trình điều khiển ActiveX.

Một số website nên tham khảo về lỗi "ActiveX Kill Bits"

- Phần tham khảo của Microsoft dành cho người dùng phổ thông (tại đây)
- Phần tham khảo dành cho chuyên viên kỹ thuật: Microsoft Security Bulletin MS09-032 - Cumulative Security Update of ActiveX Kill Bits (973346)
- Bảng báo cáo về tình hình bảo mật cho các sản phẩm trong tháng 7-2009 từ Microsoft (tại đây)