Tin tặc tiếp tục khai thác lỗi bảo mật “zero-day” trên Windows

Hồi tuần rồi, Microsoft đã lên tiếng xác nhận tội phạm mạng đang nhắm vào mục tiêu là các tập tin thuyết trình PowerPoint để khai thác lỗ hổng “zero-day” hoặc một lỗi chưa có bản cập nhật sửa lỗi khác.

Microsoft cho biết hãng này nhận thức được rằng một lỗ hổng bảo mật đang ảnh hưởng đến tất cả bản vá của Microsoft Windows, trừ Windows Server 2003. Trong thời điểm đó, hãng cũng phát hiện một số đợt tấn công có chủ đích nhưng giới hạn để khai thác lỗ hổng có trong Microsoft PowerPoint.

Vấn đề được nhiều người quan tâm là liệu lỗi “zero-day” bị phát hiện mới đây có liên quan với lỗ hổng được Microsoft khắc phục vào tuần trước hay không?

Theo thông báo trên bảng bulletin vào ngày 14/10, Microsoft thông báo đã khắc phục được một lỗi (CVE-2014-4114) có trong mã lệnh OLE của Windows.

Để thực hiện cuộc tấn công, các tin tặc sử dụng cách thức quen thuộc là chèn mã độc vào các tập tin thuyết trình PowerPoint, sau đó đính kèm vào email làm mồi nhử gởi đến nạn nhân. Ngay khi tập tin được mở, lập tức mã độc (malware) được thực thi.

Microsoft cũng sử dụng cụm từ giống nhau “tấn công có chủ đích, nhưng giới hạn” để diễn tả các cuộc tấn công tiếp diễn nhắm vào lỗi CVE-2014-4114.

Một nhóm chuyên gia tại McAfee, một trong hai hãng bảo mật đầu tiên gởi báo cáo về lỗ hổng “zero-day” đến Microsoft cho rằng hãng phần mềm Mỹ nên nắm bắt lỗi mới nhất trong trong quá trình đánh giá lại các đoạn mã và tạo ra bản vá cho CVE-2014-4114 tung ra trước đó.

Ông Haifei Li, một trong hai nhà nghiên cứu của McAfee cùng với ba thành viên khác từ nhóm bảo mật Google đã gởi báo cáo về cuộc tấn công đến Microsoft, chia sẻ của trên trang blog của hãng McAfee rằng trong thời gian điều tra, chúng tôi phát hiện bản vá chính thức của Microsoft (MS14-060, KB3000869) không hoàn toàn sửa được lỗi. Nói cách khác, những kẻ tấn công vẫn có thể khai thác lỗ hổng đó. Máy tính sau khi cập nhật bản sửa lỗi chính thức vẫn có nguy cơ bị tấn công.

Cũng trong một bài viết trên blog McAfee có tựa đề “New Exploit of Sandworm Zero-Day Could Bypass Official Patch” sau khi gởi cảnh báo đến Microsoft về thiếu sót này. Li và đồng nghiệp Bing Sun còn phát hiện ra cách thức của cuộc tấn công và họ đã kết thúc cuộc điều tra của mình vào ngày 17/10, chỉ ba ngày sau khi Microsoft sửa lỗi cho CVE-2014-4114.

Theo Symantec, có đến ba điểm khác nhau giữa các đợt tấn công. Cuộc tấn công vào CVE-2014-4114 diễn ra rất lặng lẽ khi tội phạm khai thác một lỗi có trong mục UAC (user account control). Cũng theo hãng bảo mật Symantec, có ít nhất hai nhóm tin tặc đang khai thác lỗi này là nhóm Sandworm ở Nga và Taidoor, nhóm từng tấn công vào các cơ quan và doanh nghiệp Đài Loan trước đây.

Cả hai lỗ hổng gồm CVE-2014-4114 và mới nhất được đặt tên là CVE-2014-6352 có thể đã được các tội phạm phát hiện gần đây, khi lần đầu tiên được khai thác vào tháng 8/2014.

Trong một động thái nhằm trấn an người dùng, Microsoft khuyến cáo khách hàng nên sử dụng công cụ “Fixit” tự động để ngăn chặn các cuộc tấn công, và nếu cần thiết, hãy thực hiện các bước khác gồm sử dụng EMET 5.0 (Enhanced Mitigation Experience Toolkit) để bảo vệ PowerPoint.

Theo Zingnews