Mặc dù Microsoft đã
tung ra bản vá lỗi 'zero-day' cho Windows cũng như bộ ứng dụng Office hồi tuần
rồi nhưng mới đây giới tin tặc lại tiếp tục khai thác chính lỗ hổng đó.
Hồi tuần rồi, Microsoft
đã lên tiếng xác nhận tội phạm mạng đang nhắm vào mục tiêu là các tập tin thuyết
trình PowerPoint để khai thác lỗ hổng “zero-day” hoặc một lỗi chưa có bản cập
nhật sửa lỗi khác.
Microsoft cho biết hãng
này nhận thức được rằng một lỗ hổng bảo mật đang ảnh hưởng đến tất cả bản vá của
Microsoft Windows, trừ Windows Server 2003. Trong thời điểm đó, hãng cũng phát
hiện một số đợt tấn công có chủ đích nhưng giới hạn để khai thác lỗ hổng có
trong Microsoft PowerPoint.
Vấn đề được nhiều người
quan tâm là liệu lỗi “zero-day” bị phát hiện mới đây có liên quan với lỗ hổng
được Microsoft khắc phục vào tuần trước hay không?
Theo thông báo trên bảng
bulletin vào ngày 14/10, Microsoft thông báo đã khắc phục được một lỗi
(CVE-2014-4114) có trong mã lệnh OLE của Windows.
Để thực hiện cuộc tấn
công, các tin tặc sử dụng cách thức quen thuộc là chèn mã độc vào các tập tin
thuyết trình PowerPoint, sau đó đính kèm vào email làm mồi nhử gởi đến nạn
nhân. Ngay khi tập tin được mở, lập tức mã độc (malware) được thực thi.
Microsoft cũng sử dụng
cụm từ giống nhau “tấn công có chủ đích, nhưng giới hạn” để diễn tả các cuộc tấn
công tiếp diễn nhắm vào lỗi CVE-2014-4114.
Một nhóm chuyên gia tại
McAfee, một trong hai hãng bảo mật đầu tiên gởi báo cáo về lỗ hổng “zero-day” đến
Microsoft cho rằng hãng phần mềm Mỹ nên nắm bắt lỗi mới nhất trong trong quá
trình đánh giá lại các đoạn mã và tạo ra bản vá cho CVE-2014-4114 tung ra trước
đó.
Ông Haifei Li, một
trong hai nhà nghiên cứu của McAfee cùng với ba thành viên khác từ nhóm bảo mật
Google đã gởi báo cáo về cuộc tấn công đến Microsoft, chia sẻ của trên trang
blog của hãng McAfee rằng trong thời gian điều tra, chúng tôi phát hiện bản vá
chính thức của Microsoft (MS14-060, KB3000869) không hoàn toàn sửa được lỗi.
Nói cách khác, những kẻ tấn công vẫn có thể khai thác lỗ hổng đó. Máy tính sau
khi cập nhật bản sửa lỗi chính thức vẫn có nguy cơ bị tấn công.
Cũng trong một bài viết
trên blog McAfee có tựa đề “New Exploit of Sandworm Zero-Day Could Bypass
Official Patch” sau khi gởi cảnh báo đến Microsoft về thiếu sót này. Li và đồng
nghiệp Bing Sun còn phát hiện ra cách thức của cuộc tấn công và họ đã kết thúc
cuộc điều tra của mình vào ngày 17/10, chỉ ba ngày sau khi Microsoft sửa lỗi
cho CVE-2014-4114.
Theo Symantec, có đến
ba điểm khác nhau giữa các đợt tấn công. Cuộc tấn công vào CVE-2014-4114 diễn
ra rất lặng lẽ khi tội phạm khai thác một lỗi có trong mục UAC (user account
control). Cũng theo hãng bảo mật Symantec, có ít nhất hai nhóm tin tặc đang
khai thác lỗi này là nhóm Sandworm ở Nga và Taidoor, nhóm từng tấn công vào các
cơ quan và doanh nghiệp Đài Loan trước đây.
Cả hai lỗ hổng gồm
CVE-2014-4114 và mới nhất được đặt tên là CVE-2014-6352 có thể đã được các tội
phạm phát hiện gần đây, khi lần đầu tiên được khai thác vào tháng 8/2014.
Trong một động thái nhằm
trấn an người dùng, Microsoft khuyến cáo khách hàng nên sử dụng công cụ “Fixit”
tự động để ngăn chặn các cuộc tấn công, và nếu cần thiết, hãy thực hiện các bước
khác gồm sử dụng EMET 5.0 (Enhanced Mitigation Experience Toolkit) để bảo vệ
PowerPoint.
Theo pcworld.com.vn