Phát hiện lỗ hổng bảo mật zero-day trong Internet Explorer
Xe++ - Ngày đăng : 08:05, 30/04/2014
Lỗ hổng bảo mật zero-day được nhóm chuyên gia bảo mật của FireEye thông báo phát hiện vào ngày 26/04/2014. Trong thông cáo ra cùng ngày, Microsoft thừa nhận lỗ hổng này (được đặt tên CVE-2014-1776) đang được khai thác để thực thi mã độc từ xa, nhằm kiểm soát máy tính của người dùng. Các phiên bản có thể bị khai thác nhiều nhất là IE9, 10 và 11.
Kịch bản tấn công được các chuyên gia phân tích đưa ra: Kẻ tấn công tải lên một trang web một file flash swf, file này sẽ chứa mã độc để thực thi việc tấn công vào IE. Việc khai thác zero-day phụ thuộc vào việc tải file flash swf. Khi nạn nhân chạy file swf trên trang web của kẻ tấn công, file này sẽ thực thi đoạn mã độc khai thác lỗ hổng của IE để vượt qua các cơ chế bảo vệ ASLR và DEP của hệ điều hành Windows, từ đó có thể truy cập vào bất kỳ vị trí nào của vùng nhớ và thực thi các lệnh mà người dùng không hay biết.
Thị phần của IE phiên bản từ 9 đến 11 trong năm 2013 phân bổ như sau: IE 9: 13.9%, IE 10: 11.04% và IE 11: 1.32%. Như vậy, khoảng 26.25% tổng số máy tính đang sử dụng hệ điều hành Windows trên toàn thế giới sẽ có khả năng bị tấn công. Tính đến thời điểm hiện tại, chưa có bất kỳ phương án vá lỗi hoàn chỉnh nào được Microsoft đưa ra.
Theo ông Hà Thế Phương, Giám đốc Bảo mật của CMC Infosec, điều đáng lo ngại là ngay sau khi được công bố, tin tặc đã có cơ hội khai thác lỗi này, và kể cả khi được cập nhật các bản vá, khả năng máy tính của người dùng đã bị xâm nhập và cài nhiễm mã độc là rất lớn. Như vậy, việc chỉ cập nhật bản vá là chưa đủ.
Đối với hệ điều hành Windows XP, kể từ ngày 8/4 không còn được hỗ trợ bởi Microsoft, việc tự cập nhật bản vá cho lỗ hổng này từ nhà cung cấp là không có. Trong khi đó, tại Việt Nam, lượng người dùng hệ điều hành này vẫn rất lớn, nhất là trong các doanh nghiệp, vì vậy số lượng máy tính bị tấn công bởi CVE-2014-1776 có thể sẽ gia tăng nhanh. Dự báo số botnet tại Việt Nam sẽ tăng mạnh trong thời gian tới, đặc biệt là các botnet có quy mô lớn.
CMC Infosec xin đưa ra khuyến cáo đối với người dùng, trong lúc chờ bản vá có thể sử dụng những cách sau để bảo vệ máy tính của mình khỏi các tấn công: 1.Tạm thời chọn chế độ tắt Adobe Flash trên IE và chuyển sang dùng các trình duyệt khác như Chrome hoặc FireFox cho đến khi có bản vá chính thức từ Microsoft. 2.Sử dụng phần mềm miễn phí Enhanced Mitigation Experience Toolkit (EMET) 4.1 của Microsoft. Phần mềm này giúp giảm thiểu khả năng bị tấn công bằng cách thêm vào các lớp bảo vệ khiến cho việc khai thác lỗ hổng này trở nên khó khăn hơn. EMET 4.1 có hỗ trợ đối với hệ điều hành Windows XP. 3.Loại bỏ đăng ký (Unregistry) đối với VGX.dll (vì file này chịu trách nhiệm xử lý VML, một phần nguyên nhân sinh ra lỗi). Ngoài ra, đối với các doanh nghiệp, cần phải có các kiểm tra tổng thể để đảm bảo hệ thống của mình được an toàn một cách tối đa. |