Cảnh báo: Tin tặc đang tập trung tấn công lỗ hổng IE
Microsoft vừa cảnh báo rằng những kẻ tấn công đang nhắm mục tiêu đến Internet Explorer (IE) với lỗ hổng quan trọng chưa được vá trong hầu hết tất cả các phiên bản IE hiện hành.
Theo Microsoft, chỉ riêng phiên bản IE9 đang trong giai đoạn beta là không bị ảnh hưởng bởi lỗ hổng nguy hiểm này. Trong khi đó, mục tiêu chính mà tin tặc hướng đến là IE6, trình duyệt đã 9 năm tuổi này đã bị Microsoft ngừng mọi hoạt động hỗ trợ hơn 1 năm trước.
Andrew Roths, Jonathan Ness và Chengyun Chu, ba kỹ sư của Microsoft Security Response Center Team cho biết: “Cho đến nay, các cuộc tấn công mà chúng ta gặp đều hướng đến mục tiêu chính là IE6, trong khi đối với phiên bản IE8 là không có nhiều”. Tuy nhiên, Microsoft lại đánh giá thấp mối đe dọa khi cho đến nay, cuộc tấn công vào lỗ hổng nghiêm trọng này vẫn đang là một điểm hạn chế lớn.
Theo các kỹ sư của Microsoft thì tin tặc có thể chiếm quyền điều khiển máy tính Windows bằng cách đưa người dùng lạc vào một trang web độc hại, tấn công theo phương pháp cổ điển drive-by.
Mặc dù phiên bản IE8 mới nhất vẫn có thể bị tổn thương nhưng nó có khả năng miễn dịch tốt đối với cuộc tấn công này bởi vì nó trang bị tính năng DEP có khả năng thực hiện các công tác phòng chống dữ liệu theo mặc địch. DEP là một trong 2 giải pháp phỏng thủ chủ yếu của Windows được thiết kế để chống lại các cuộc tấn công hoặc ít nhất là làm cho các hacker phải hoạt động mệt mỏi hơn.
Symantec Antivirus mới đây cho biết họ đã phát hiện ra những hành độc khai thác lỗ hổng của IE vào ngày trước khi xuất hiện một loạt các thư rác gửi đến các tổ chức, các tin nhắn này được đặt ra như là một thông báo đặt phòng khách sạn chẳng hạn.
Vikram Thakur, kỹ sư của Symantec cho biết: “Trong e-mail, thủ phạm sẽ chèn một liên kết đến một tran cụ thể lưu trữ trên một trang web hợp pháp khác. Các tin tặc đã nhận được quyền truy cập vào các tài khoản trang web và tải lên nội dung mà chủ sở hữu trang web đó không hề hay biết”.
Bất cứ ai truy cập vào trang web bị tấn công với IE6 không hỗ trợ DEP hoặc IE7 không kích hoạt tính năng DEP theo mặc định sẽ bị lây nhiễm phần mềm độc hại, nó sẽ mở ra một “cửa sau” trên các máy tính nhiễm bệnh, sau đó tải về một số tập tin có chứa lệnh bổ sung.
Symantec cho biết họ đã báo cáo lỗi cho Microsoft và đã tìm đến các chủ sở hữu máy chủ lưu trữ trang web bị tấn công và phần mềm độc hại. Thakur cho biết rằng các trang chủ này thuộc nhiều tổ chức trong nhiều ngành cong nghiệp trên toàn cầu, nhưng rất ít trong số họ có khả năng truy cập các tập tin trên nó, nghĩa là họ không quản lý được trang web của mình bị tổn thương hoặc đang bị làm mục tiêu tấn công cho các bọn tội phạm.
Hiện Microsoft chưa cho biết khi nào sẽ phát hành bản vá lỗi mà thay vào đó kêu gọi người dùng hãy tự bảo vệ mình bằng cách nâng cấp lên phiên bản beta của IE9 hoặc thực hiện một số cách giải quyết khác nhau. Trong đó: bật DEP trong IE7, áp dụng CSS để định dạng tài liệu được nạp trong IE, triển khai và cấu hình EMET, tiện ích miễn phí có sẵn tải về từ trang web của Microsoft tại đây. EMET là tiện ích được thiết kế để giữ an toàn cho các ứng dụng cũ cho đến khi các công ty nâng cấp lên phiên bản mới, và về mặt lý thuyết nó sẽ an toàn hơn. Công cụ này cho phép các quản trị viên IT chuyển đổi một số bức tường phòng thủ, bao gồm cả ASLR và DEP dành cho các ứng dụng mà các nhà phát triển đã không kích hoạt chúng theo mặc định. Microsoft cũng cho biết, rất ít khả năng các tin tặc có thể tránh né DEP, kỹ thuật hiện tại của DEP là khá tiên tiến, chống chiếm dụng bộ nhớ máy tính.
Tuy nhiên, DEP không phải vì thế mà không có điểm yếu, cuộc tấn công vào DEP trở nên phổ biến vào cuối năm. Cuối tháng 3, nhà nghiên cứu Hà Lan là Peter Vreugdenhil đã khai thác lỗ hổng trong IE8 chạy trên Windows 7 với mã tấn công có thể trốn được cả DEP lẫn ASLR để giành giải thưởng 10.000 USD tại cuộc thi Pwn2Own hàng năm. Vài tháng sau đến lượt Ruben Santamarta, một nhà nghiên cứu tại một công ty bảo mật của Tây Ban Nha là Wintercore đã công bố mã tấn công cho lỗ hổng nghiêm trọng mà theo ông nó có thể bỏ qua DEP và ASLR.
Việc thường xuyên cập nhật bản vá vào thứ 3 của tuần thứ 2 trong tháng (tháng này là ngày 9/11) sẽ giúp người dùng IE yên tâm hơn. Tuy nhiên, bản vá lỗ hổng mới này có lẽ khó xuất hiện trong tháng 11 mà thay vào đó sẽ xuất hiện vào ngày 14/12 thì đúng hơn.
Phong Vân (Theo PCWorld)