Microsoft ngày hôm qua đã vá 3 lỗi nghiêm trọng trong Windows, một trong số đó có thể bị khai thác bởi kẻ xấu khi chúng lừa người dùng truy cập vào một trang web có chứa mã độc.
Bên cạnh đó, hãng này cũng cho ra mắt phương pháp phòng vệ mới nhằm giúp người dùng tránh được các nguy cơ tấn công có thể xảy ra khi kẻ xấu lợi dụng một lỗi nghiêm trọng trong Internet Explorer (IE).
2 bản cập nhật bảo mật hoặc bulletin – theo cách gọi của Microsoft – được công bố tuần trước, đã giúp người dùng bước sang năm mới dễ dàng hơn so với cuối năm 2010 (tháng 12 công ty này đã cung cấp 17 bản cập nhật kỷ lục nhằm vá con số ấn tượng gần 40 lỗi).
Một trong 3 bản vá mới đây đã được Microsoft xếp hạng nghiêm trọng, mức nguy hiểm cao nhất, trong khi 2 bản vá còn lại được đánh dấu “quan trọng”, mức nguy hiểm cao thứ 2.
Amol Sarwate, Giám đốc phòng nghiên cứu lỗi bảo mật của Qualys nói: “Kẻ tấn công có thể khau thác lỗ hổng nghiêm trọng này trong MS11-002 bằng cách thu hút người dùng duyệt tới một trang web có chứa mã độc. Chiến thuật của chúng, thông thường được gọi là một cuộc tấn công “drive-by” – ghé thăm – dựa vào việc lôi cuốn người dùng kích vào một đường link có cung cấp email mồi nhử.”
“Nó hoàn toàn có thể bị khai thác bằng một tấn công ghé thăm”, Sarwate khẳng định.
Lỗi này có trong Microsoft Data Access Components (MDAC), một tập hợp các thành phần cho phép Windows truy cập các cơ sở dữ liệu như SQL Server của Microsoft. Lỗ hổng này có trong quản lý MDAC ActiveX, cho phép người dùng truy cập các cơ sở dữ liệu trong IE.
Cả Sarwate và Andrew Storms (Giám đốc điều hành bảo mật tại nCircle Security) cho rằng chỉ những người dùng chạy IE mới có nguy cơ tấn công bị khai thác lỗi nghiêm trọng của Microsoft được công bố trong MS11-002.
Bên cạnh đó, Microsoft cũng thuyết phục người dùng áp dụng bản vá MS11-002 trước tiên, cho thấy rằng tất cả các phiên bản Client của Windows, bao gồm XP Service Pack 3 (SP3), Vista và Windows 7 đều bị tấn công. Phiên bản Server của hệ điều hành này cũng có thể bị tấn công, nhưng đối với chúng Microsoft lại đánh giá là “quan trọng” chứ không phải là nghiêm trọng.
Hacker sẽ không thể đưa ra mã tấn công đã bị nhận dạng nhằm khai thác các lỗ hổng được vá bởi MS11-002 trong vòng 30 ngày tới.
Phiên bản cập nhật khác, MS11-001, ít quan trọng hơn bởi nó chỉ áp dụng cho hệ điều hành Windows Vista.
Lỗi Backup Manager (quản lý sao lưu) là một trong những lỗ hổng có tên “DLL load hijacking” hoặc “binary planting” trong Windows.
Bản cập nhật dành cho Vista ngày hôm qua là bản cập nhật thứ 7 được Microsoft cho ra mắt nhằm vá các lỗi mà chuyên gia nghiên cứu phát hiện ra hồi tháng 8 vừa rồi. Microsoft đã cung cấp 5 bản vá cho lỗi DLL load hijacking vào tháng trước và một bản vá khác vào hồi tháng 11.
Vào tháng 12 năm ngoái, Microsoft cho biết rằng 5 bản cập nhật của tháng này là dành cho lỗi DLL load hijacking mà họ biết. Jerry Bryant, một trưởng nhóm của Microsoft Security Response Center (MSRC), đã phát biểu trong một cuộc phỏng vấn ngày 14 tháng 12 rằng “bản cập nhật này sẽ chữa tất cả các lỗi mà chúng ta đang lo ngại”. Tuy nhiên, ông còn cho biết thêm rằng “Chúng tôi cũng sẽ không kết thúc điều tra về lỗi [DLL load hijacking] và sẽ tiếp tục nghiên cứu”.
Tháng trước, các chuyên gia nghiên cứu đã nghi ngờ rằng người dùng tin tưởng về việc kết thúc các lỗi liên quan tới DLL load hijacking của Microsoft.
Hôm qua, Wolfgang Kandek, Giám đốc công nghệ của hãng bảo mật Qualys, đã đưa ra quan điểm của mình: “Chúng ta có thể phải chờ đợi trong một thời gian dài nữa”.
Cũng vào thứ 3 vừa qua, Microsoft đã cung cấp cho người dùng một ứng dụng “lót phụ” – Shim – có khả năng chặn các vụ tấn công nhằm vào IE khi chúng khai thác một lỗi được phát hiện ra vào tháng trước.
Andrew Storms, cho rằng “Shim dành cho IE là tin tức mới trong ngày. Chúng ta không mong chờ một bản vá dành cho IE và cũng chẳng chờ đợi Shim”.
Shim là thuật ngữ được dùng để miêu tả một ứng dụng giải pháp tương thích. Storms thấy nó phù hợp với bản vá tạm thời ngày hôm qua bởi Microsoft sử dụng Windows Application Compatibility Toolkit để sửa đổi IE nên nó sẽ giúp tránh được các tấn công bởi một lỗi trong cách trình duyệt này xử lí một file CSS (Cascading Style Sheets).
Theo Storms, đây là lần đầu tiên hãng này sử dụng Application Compatibility Toolkit để vá một lỗi zero-day.
Công cụ này, đã là một phần của Windows kể từ thời Windows XP, được thiết kế nhằm cho phép các ứng dụng cũ, bao gồm những ứng dụng được tạo dành cho các phiên bản lỗi thời của hệ điều hành này, có thể chạy trên phiên bản mới của hệ điều hành Windows.
Giải pháp của Microsoft là sử dụng Application Compatibility Toolkit để sửa đổi thư viện chính của IE – một DLL hoặc Dynamic-Link library được đặt tên là Mshtml.dll, có chứa công nghệ dịch – trong bộ nhớ mỗi lần IE chạy. Chỉnh sửa này sẽ ngăn chặn việc tải đệ quy một CSS, giúp chặn hiệu quả các tấn công hiện tại.
Storms nói: “Việc Microsoft sử dụng App Comp thực sự là một cách gây bất ngờ. Họ vừa tái sinh nó để giúp ngăn chặn lỗi zero-day. Nói tóm lại, họ có thể sử dụng bất kì thứ gì trong “kho đạn” của mình”.
Các nhà nghiên cứu khác cũng đồng tình với chiến thuật mới này.
Wolfgang Kandek bày tỏ quan điểm: “Điều này quá sáng tạo. Chúng tôi thích nó bởi nó sẽ giúp chữa lỗi nhanh hơn so với một bản vá thực sự”.
Qualys hôm qua cũng đã xác nhận rằng sau khi áp dụng giải pháp này, các lỗi hiện tại đã không còn khả năng thực thi nữa.
Storms nói: “Một điều thú vị nữa là bạn sẽ không phải tháo gỡ shim trước khi cài đặt bản vá, cho dù có thông báo xuất hiện đi chăng nữa”.
Kandek hy vọng rằng Microsoft sẽ đóng được lỗ hổng của IE vào ngày 8 tháng 2 tới trong bản vá hàng tháng của hãng. Tuy nhiên, Storms lại cho rằng sự ra mắt của shim là một dấu hiệu tốt mà Microsoft sẽ cung cấp trong trường hợp khẩn cấp, cập nhật cho trình duyệt từ trước tới giờ.
Microsoft lần đầu tiên phát hiện ra lỗi CSS trong IE vào ngày 22 tháng 12, một vài tuần sau khi hãng bảo mật của Pháp, Vupen, công bố một nghiên cứu quan trọng cho rằng tất cả các phiên bản của IE, bao gồm cả IE8 đều có thể bị tấn công.
Từ đó tới nay, Microsoft đã thừa nhận rằng họ đang theo dõi các tấn công chủ động nhắm tới việc khai thác lỗ hổng này. Điều này đã được nhắc lại vào ngày hôm qua, một lần nữa khẳng định rằng chỉ có thể “hạn chế các tấn công nhắm tới việc khai thác lỗ hổng này”.
Người dùng có thể download shim IE từ trang chủ của Microsoft hoặc ngay tại đây.
(Theo Computerworld.com)