Microsoft vá lỗi drive-by trong tháng 3 doc
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (212.75 KB, 7 trang )
Microsoft vá lỗi drive-by trong tháng 3
Microsoft ngày hôm qua đã tung ra 3 bản cập nhật bảo mật giúp vá 4 lỗ hổng
trong Windows và Office. Và, đúng như mong đợi, Microsoft không ra mắt
bản vá cho Internet Explorer (IE) để tạo cơ hội cho cuộc thi Pwn2Own, cuộc
thi hack sẽ diễn ra trong ngày hôm nay.
Thậm chí, ngay cả hãng này cũng gọi bản vá đợt này là một đợt “dễ thở” cho người
dùng. Jerry Bryant, trưởng nhóm Microsoft Security Response Center (MSRC),
một đội phụ trách điều tra, vá và giải quyết các vấn đề, nói rằng: “Đây là một
tháng nhẹ nhàng”.
Microsoft dường như đã quen với thói quen cung cấp ít hơn các bản vá trong tháng
lẻ. Ví dụ, trong tháng 1, họ chỉ cung cấp 3 bản vá trong khi tháng trước đó lại cung
cấp tận 22 bản vá lỗi.
Một trong số 3 bản vá được cung cấp – Microsoft gọi chúng là bulletins – được
xếp hạng “nghiêm trọng”, mức nguy hiểm cao nhất của hãng này. 2 bản còn lại
được đánh giá là “quan trọng”, mức cảnh báo cao thứ 2.
Bulletin MS11-015 là bản vá cập nhật nghiêm trọng duy nhất.
Wolfgang Kandek, CTO của Qualys, nói: “Đây là bản vá chúng tôi dành quan tâm
nhiều nhất”.
Bản cập nhật này vá 1 cặp lỗ hổng, bao gồm một trong Windows Media Center và
Windows Media Player được tìm thấy ở gần như tất cả các phiên bản của
Windows. Lỗ hổng này “trú ngụ” trong các file Digital Video Recording (DVR-
MS), được tạo bởi công cụ Stream Buffer Engine (SBE)và lưu trữ với mở rộng file
là ".dvr-ms".
Khi nói về loại hình tấn công lỗ hổng này có thể lợi dụng đơn giản bằng cách
thuyết phục người dùng truy cập vào các trang có chứa mã độc, Bryant nói: “Đây
là lỗ hổng tìm duyệt và sở hữu”.
Andrew Storms, giám đốc điều hành bảo mật tại nCircle Security nói: “Đây là lỗ
hổng drive-by. Có 2 phương pháp khai thác, trước tiên là trong một IFRAME, một
loại drive-by điển hình. Loại tiếp theo là theo dạng bản đính kèm email, xuất hiện
khi người dùng thường xuyên mở chúng, không chỉ là xem trước (trong tài khoản
email của họ)”.
Theo Angela Gunn, giám đốc truyền thông về bảo mật trung tâm MSRC của
Microsoft, tất cả các phiên bản của Windows, bao gồm Windows XP, Vista và
Windows 7, đều có thể bị tấn công trừ phi được vá. Trường hợp ngoại lệ duy nhất:
Windows XP Home Edition bởi nó không hỗ trợ codec bị hổng.
Lỗ hổng thứ 2 trong MS11-015,và 2 lỗ hổng khác được vá trong MS11-016 và
MS11-017, được phân loại thành lỗ hổng "DLL load hijacking", đôi khi được gọi
là lỗ hổng "binary planting" – cấy nhị phân.
Các nhà nghiên cứu lần đầu tiên tiết lộ những lỗi liên quan tới vấn đề DLL load
hijacking trong Windows và các phần mềm của Microsoft và rất nhiều ứng dụng
dành cho Windows của bên thứ ba vào tháng 8 năm ngoái. Microsoft bắt đầu vá lỗi
DLL load hijacking trong phần mềm của họ vào tháng 11 vừa rồi.
Trong tháng 12, Bryant nói rằng Microsoft tin tưởng họ có thể hoàn thành nốt công
việc trong vấn đề DLL load hijacking. Tuy nhiên, trong tháng 1 và 2 vừa rồi,
hãng này vẫn gặp vấn đề trong việc vá chính lỗi này.
Hôm qua, Bryant đã nói: “Điều này sẽ khiến chúng tôi phải tiếp tục điều tra tiếp.
Mặc dù nghĩ rằng đã tìm thấy tất cả lỗ hổng này trong IE, chúng tôi vẫn đang tiến
hành điều tra trên các sản phẩm còn lại của hãng”.
Cả Kandek và Storm đều nói rằng dường như Microsoft có thể tiếp tục tiến hành
triển khai chữa lỗi DLL load hijacking trong thời gian tới. Kandek nói: “Điều này
sẽ diễn ra trong vài năm tới và không chỉ Microsoft thực hiện công việc mà các
nhà cung cấp bên thứ 3 cũng sẽ tiến hành”.
Mặc dù tiếng chuông cảnh báo đã reo từ hồi tháng 8 và Microsoft đã nhanh chóng
cung cấp một công cụ để chặn các mối tấn công nguy hại, hacker đã không sử dụng
công nghệ này để làm hại máy tính Windows, hoặc nếu chúng có sử dụng, nỗ lực
của chúng cũng không bị phát hiện.
Điều này không làm Storms ngạc nhiên.
Ông nói: “Những lỗ hổng này rất khó để khai thác. Năm ngoái, nó rất dễ, nhưng
hóa ra lại không dễ dàng chút nào để khai thác những lỗ hổng này, bởi nó yêu cầu
người dùng phải tìm duyệt tới khu vực có chứa mã độc và mở file, và những kẻ tấn
công sẽ đặt một DLL mã độc và một file xấu. Đó chỉ là một vài bước”.
HD Moore, trưởng nhóm nhân viên an ninh của Rapid7 và cũng là nhà sáng tạo ra
bộ công cụ mã nguồn mở Metasploit toolkit, ngày hôm qua đã thông báo với các
doanh nghiệp rằng họ có thể biến việc khai thác bất kì lỗ hổng DLL load
hijacking nào trở lên khó khăn hơn đối với bất kì hacker nào bằng cách loại bỏ
dịch vụ WebDAV trên tất cả các máy Windows, và chặn cổng outbound 139 và
445.
Năm ngoái, Moore là một trong những người đầu tiên tiết lộ về cấp độ mới của lỗ
hổng DLL load hijacking.
Tuy nhiên, Microsoft không vá IE trước khi cuộc thi hack Pwn2Own diễn ra vào
ngày hôm nay.
Pwn2Own, sẽ đặt các nhà nghiên cứu bảo mật “chống lại” 4 trình duyệt, bao gồm
IE của Microsoft, Safari của Apple, Chrome của Google và Firefox của Mozilla,
diễn ra từ ngày 9-11 tại hội nghị CanSecWest ở Vancouver, Canada. Nhà nghiên
cứu bảo mật đầu tiên hạ gục được IE, Safari hoặc Firefox sẽ nhận được giải thưởng
$15,000, riêng ai hạ được trình duyệt Chrome sẽ nhận được giải thưởng $20,000.
Hôm qua (8/3), Bryant nói rằng không nên làm gián đoạn lịch cập vá của khách
hàng với bản cập nhật bảo mật gây ngạc nhiên để tạo cơ hội cho cuộc thi
Pwn2Own.
Bryant phát biểu: “Tôi không thấy lý do nào đáng để gián đoạn khách hàng chỉ vì
cuộc thi. Hướng ra ngoài là một gián đoạn tiềm năng, và chúng tôi sẽ không làm
điều này trừ phi một lỗ hổng đang bị tấn công”.
Microsoft từ chối ưu tiên vá IE trước Pwn2Own cũng không phải là điều ngạc
nhiên: Hãng này đã cung cấp bản cập nhật cho IE trong những tháng chẵn, và bản
cập nhật cho trình duyệt gần đây nhất được tung ra là vào ngày 8/2 vừa qua.
Bryant cho biết thêm, trong bất kì trường hợp nào, việc bất kì lỗ hổng nào bị khai
thác tại Pwn2Own bị rò rỉ ra ngoài cũng không hề nguy hại bởi những lỗi phát hiện
ra tại cuộc thi này sẽ được báo cáo tới nhà cung cấp một cách kín đáo.
Tập đoàn HP TippingPoint, sở hữu chương trình nghiên cứu bảo mật Zero Day
Initiative (ZDI) đã hào phóng tài trợ Pwn2Own và trả hầu hết các giải thưởng tiền
mặt, mua quyền sở hữu các lỗ hổng khám phá được tại cuộc thi và trao lại chúng
cho nhà cung cấp. ZDI cho các lập trình viên thời hạn 6 tháng để vá bất kì lỗ hổng
nào họ mua trước khi họ đăng tải thông tin chính thức.
Cả Google và Mozilla gần đây đã vá trình duyệt của mình – Google mới vá sớm
ngày hôm qua – và Apple được kỳ vọng là sẽ cập nhật Safari trước khi Pwn2Own
khởi tranh.
Các bản cập nhật của Microsoft có thể donwload và cài đặt qua các dịch vụ
Microsoft Update và Windows Update, cũng như thông qua Windows Server
Update Services (WSUS).
