Cảnh báo: Tin tặc lợi dụng các lỗ hổng Windows chưa được vá để tấn công doanh nghiệp
- 5 ngày trước
- 3 phút đọc
Trong những tuần gần đây, cộng đồng an ninh mạng đang xôn xao trước việc các lỗ hổng bảo mật trên hệ điều hành Windows bị công khai và ngay lập tức bị tin tặc lợi dụng để xâm nhập vào các tổ chức. Điều đáng nói là nguồn cơn của vụ việc này lại bắt đầu từ sự bất mãn của một nhà nghiên cứu bảo mật đối với Microsoft.
Điểm mặt bộ ba lỗ hổng bảo mật đang bị khai thác
Theo ghi nhận từ công ty an ninh mạng Huntress, đã có ít nhất một tổ chức bị tin tặc tấn công thông qua các lỗi bảo mật vừa được công bố. Ba lỗ hổng này lần lượt được đặt tên là BlueHammer, UnDefend và RedSun.
Điểm chung của chúng là đều nhắm vào Windows Defender - phần mềm diệt virus mặc định được cài đặt sẵn trên hầu hết các máy tính chạy Windows hiện nay. Nếu khai thác thành công, kẻ tấn công có thể chiếm được "quyền quản trị" (administrator), tức là mức quyền cao nhất để kiểm soát toàn bộ máy tính của nạn nhân.
Trong số ba cái tên kể trên, tính đến thời điểm hiện tại, Microsoft mới chỉ kịp thời phát hành bản vá cho lỗ hổng BlueHammer. Hai lỗ hổng còn lại là UnDefend và RedSun vẫn đang đặt người dùng vào tình thế nguy hiểm vì chưa có phương án khắc phục triệt để.
Nguồn cơn từ mâu thuẫn giữa nhà nghiên cứu và Microsoft
Sự việc bắt đầu khi một nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse quyết định đăng tải các mã khai thác (công cụ dùng để thực hiện hành vi tấn công) lên các nền tảng công cộng như blog cá nhân và GitHub.
Nguyên nhân đằng sau hành động này dường như xuất phát từ những bất đồng giữa cá nhân nhà nghiên cứu và Microsoft. Chaotic Eclipse thậm chí còn đưa ra những lời lẽ thách thức trực tiếp tới Trung tâm Phản ứng Bảo mật Microsoft (MSRC) - bộ phận chuyên trách việc xử lý các báo cáo về lỗi hệ thống. Nhà nghiên cứu này khẳng định đây không phải là lời đe dọa suông và có thể sẽ tiếp tục thực hiện những hành động tương tự trong tương lai.
Rủi ro từ việc "công bố toàn phần" các lỗi bảo mật
Trong ngành an ninh mạng, quy trình lý tưởng là các chuyên gia sẽ âm thầm báo cáo lỗi cho nhà sản xuất để họ có thời gian sửa chữa trước khi thông tin được đưa ra ngoài. Tuy nhiên, vụ việc lần này lại rơi vào trường hợp "công bố toàn phần" (full disclosure).
Khi một nhà nghiên cứu công khai chi tiết lỗi cùng mã khai thác mà chưa có bản vá, họ vô tình cung cấp "vũ khí" sẵn có cho tội phạm mạng. Thay vì phải tự tìm cách xâm nhập, tin tặc giờ đây chỉ cần sử dụng các mã nguồn đã được đăng tải công khai để thực hiện các cuộc tấn công.
Microsoft hiện vẫn ủng hộ việc công bố lỗ hổng có phối hợp để đảm bảo an toàn cho cộng đồng, nhưng trong trường hợp này, sự gián đoạn trong giao tiếp giữa hai bên đã dẫn đến một kết quả tiêu cực.
Cuộc chạy đua kịch tính giữa bên phòng thủ và kẻ tấn công
Tình trạng các công cụ tấn công được chia sẻ rộng rãi trên mạng đang đẩy các đội ngũ an ninh mạng vào một cuộc chạy đua khốc liệt. John Hammond, chuyên gia tại Huntress, nhận định rằng việc các mã khai thác bị "vũ khí hóa" và dễ dàng tiếp cận như hiện nay đã tạo ra một áp lực cực lớn cho các đội ngũ phòng thủ.
Trong khi Microsoft đang nỗ lực hoàn thiện các bản vá, các tổ chức và doanh nghiệp buộc phải tìm mọi cách để bảo vệ hệ thống trước những tác nhân xấu đang nhanh chóng tận dụng các kịch bản tấn công có sẵn.
Tổng kết: Vụ việc trên là lời nhắc nhở về tính phức tạp trong mối quan hệ giữa các nhà nghiên cứu bảo mật và các tập đoàn công nghệ lớn. Khi những mâu thuẫn này không được giải quyết thỏa đáng, rủi ro cuối cùng lại thuộc về các tổ chức và người dùng cuối khi họ phải đối mặt với các cuộc tấn công từ lỗ hổng chưa kịp vá lỗi.
Tham khảo: The Hacker News
Bình luận