Microsoft vá lỗi drive-by trong tháng 3

Microsoft vá lỗi drive-by trong tháng 3 Microsoft ngày hôm qua đã tung ra 3 bản cập nhật bảo mật giúp vá 4 lỗ hổng trong Windows và Office. Và, đúng như mong đợi, Microsoft không ra mắt bản vá cho Internet Explorer (IE) để tạo cơ hội cho cuộc thi Pwn2Own, cuộc thi hack sẽ diễn ra trong ngày hôm nay.Thậm chí, ngay cả hãng này cũng gọi bản vá đợt này là một đợt “dễ thở” cho người dùng. Jerry Bryant, trưởng nhóm Microsoft Security Response Center (MSRC), một đội phụ trách điều tra, vá và giải quyết...
Nội dung trích xuất từ tài liệu:
Microsoft vá lỗi drive-by trong tháng 3 Microsoft vá lỗi drive-by trong tháng 3Microsoft ngày hôm qua đã tung ra 3 bản cập nhật bảo mật giúp vá 4 lỗ hổngtrong Windows và Office. Và, đúng như mong đợi, Microsoft không ra mắtbản vá cho Internet Explorer (IE) để tạo cơ hội cho cuộc thi Pwn2Own, cuộcthi hack sẽ diễn ra trong ngày hôm nay.Thậm chí, ngay cả hãng này cũng gọi bản vá đợt này là một đợt “dễ thở” cho ngườidùng. Jerry Bryant, trưởng nhóm Microsoft Security Response Center (MSRC),một đội phụ trách điều tra, vá và giải quyết các vấn đề, nói rằng: “Đây là mộttháng nhẹ nhàng”.Microsoft dường như đã quen với thói quen cung cấp ít hơn các bản vá trong thánglẻ. Ví dụ, trong tháng 1, họ chỉ cung cấp 3 bản vá trong khi tháng tr ước đó lại cungcấp tận 22 bản vá lỗi.Một trong số 3 bản vá được cung cấp – Microsoft gọi chúng là bulletins – đượcxếp hạng “nghiêm trọng”, mức nguy hiểm cao nhất của hãng này. 2 bản còn lạiđược đánh giá là “quan trọng”, mức cảnh báo cao thứ 2.Bulletin MS11-015 là bản vá cập nhật nghiêm trọng duy nhất.Wolfgang Kandek, CTO của Qualys, nói: “Đây là bản vá chúng tôi dành quan tâmnhiều nhất”.Bản cập nhật này vá 1 cặp lỗ hổng, bao gồm một trong Windows Media Center vàWindows Media Player được tìm thấy ở gần như tất cả các phiên bản củaWindows. Lỗ hổng này “trú ngụ” trong các file Digital Video Recording (DVR -MS), được tạo bởi công cụ Stream Buffer Engine (SBE)và lưu trữ với mở rộng filelà .dvr-ms.Khi nói về loại hình tấn công lỗ hổng này có thể lợi dụng đơn giản bằng cáchthuyết phục người dùng truy cập vào các trang có chứa mã độc, Bryant nói: “Đâylà lỗ hổng tìm duyệt và sở hữu”.Andrew Storms, giám đốc điều hành bảo mật tại nCircle Security nói: “Đây là lỗhổng drive-by. Có 2 phương pháp khai thác, trước tiên là trong một IFRAME, mộtloại drive-by điển hình. Loại tiếp theo là theo dạng bản đính kèm email, xuất hiệnkhi người dùng thường xuyên mở chúng, không chỉ là xem trước (trong tài khoảnemail của họ)”.Theo Angela Gunn, giám đốc truyền thông về bảo mật trung tâm MSRC củaMicrosoft, tất cả các phiên bản của Windows, bao gồm Windows XP, Vista vàWindows 7, đều có thể bị tấn công trừ phi được vá. Trường hợp ngoại lệ duy nhất:Windows XP Home Edition bởi nó không hỗ trợ codec bị hổng.Lỗ hổng thứ 2 trong MS11-015,và 2 lỗ hổng khác được vá trong MS11-016 vàMS11-017, được phân loại thành lỗ hổng DLL load hijacking, đôi khi được gọilà lỗ hổng binary planting – cấy nhị phân.Các nhà nghiên cứu lần đầu tiên tiết lộ những lỗi liên quan tới vấn đề DLL loadhijacking trong Windows và các phần mềm của Microsoft và rất nhiều ứng dụngdành cho Windows của bên thứ ba vào tháng 8 năm ngoái. Microsoft bắt đầu vá lỗiDLL load hijacking trong phần mềm của họ vào tháng 11 vừa rồi.Trong tháng 12, Bryant nói rằng Microsoft tin tưởng họ có thể hoàn thành nốt côngviệc trong vấn đề DLL load hijacking. Tuy nhiên, trong tháng 1 và 2 vừa rồi,hãng này vẫn gặp vấn đề trong việc vá chính lỗi này.Hôm qua, Bryant đã nói: “Điều này sẽ khiến chúng tôi phải tiếp tục điều tra tiếp.Mặc dù nghĩ rằng đã tìm thấy tất cả lỗ hổng này trong IE, chúng tôi vẫn đang tiếnhành điều tra trên các sản phẩm còn lại của hãng”.Cả Kandek và Storm đều nói rằng dường như Microsoft có thể tiếp tục tiến hànhtriển khai chữa lỗi DLL load hijacking trong thời gian tới. Kandek nói: “Điều nàysẽ diễn ra trong vài năm tới và không chỉ Microsoft thực hiện công việc mà cácnhà cung cấp bên thứ 3 cũng sẽ tiến hành”.Mặc dù tiếng chuông cảnh báo đã reo từ hồi tháng 8 và Microsoft đã nhanh chóngcung cấp một công cụ để chặn các mối tấn công nguy hại, hacker đã không sử dụngcông nghệ này để làm hại máy tính Windows, hoặc nếu chúng có sử dụng, nỗ lựccủa chúng cũng không bị phát hiện.Điều này không làm Storms ngạc nhiên.Ông nói: “Những lỗ hổng này rất khó để khai thác. Năm ngoái, nó rất dễ, nhưnghóa ra lại không dễ dàng chút nào để khai thác những lỗ hổng này, bởi nó yêu cầungười dùng phải tìm duyệt tới khu vực có chứa mã độc và mở file, và những kẻ tấncông sẽ đặt một DLL mã độc và một file xấu. Đó chỉ là một vài bước”.HD Moore, trưởng nhóm nhân viên an ninh của Rapid7 và cũng là nhà sáng tạo rabộ công cụ mã nguồn mở Metasploit toolkit, ngày hôm qua đã thông báo với cácdoanh nghiệp rằng họ có thể biến việc khai thác bất kì lỗ hổng DLL loadhijacking nào trở lên khó khăn hơn đối với bất kì hacker nào bằng cách loại bỏdịch vụ WebDAV trên tất cả các máy Windows, và chặn cổng outbound 139 và445.Năm ngoái, Moore là một trong những người đầu tiên tiết lộ về cấp độ mới của lỗhổng DLL load hijacking.Tuy nhiên, Microsoft không vá IE trước khi cuộc thi hack Pwn2Own diễn ra vàongày hôm nay.Pwn2Own, sẽ đặt các nhà nghiên cứu bảo mật “chống lại” 4 trình duyệt, bao gồmIE của Microsoft, Safari của Apple, Chrome của Google và Firefox của Mozilla,diễn ra từ ngày 9-11 tại hội nghị CanSecWest ở Vancouver, Canada. Nhà nghiêncứu bảo mật đầu tiên hạ gục được IE, Safari hoặc Firefox sẽ nhận được giải thưởng$15,000, riêng ai hạ được trình duyệt Chrome sẽ nhận được giải thưởng $20,000.Hôm qua (8/3), Bryant nói rằng không nên làm gián đoạn lịch cập vá của kháchhàng với bản cập nhật bảo mật gây ngạc nhiên để tạo cơ hội cho cuộc thiPwn2Own.Bryant phát biểu: “Tôi không thấy lý do nào đáng để gián đoạn khách hàng chỉ vìcuộc thi. Hướng ra ngoài là một gián đoạn tiềm năng, và chúng tôi sẽ không làmđiều này trừ phi một lỗ hổng đang bị tấn công”.Microsoft từ chối ưu tiên vá IE trước Pwn2Own cũng không phải là điều ngạcnhiên: Hãng này đã cung cấp bản cập nhật cho IE trong những tháng chẵn, và bảncập nhật cho trình duyệt gần đây nhất được tung ra là vào ngày 8/2 vừa qua.Bryant cho biết thêm, trong bất kì trường hợp nào, việc bất kì lỗ hổng nào bị khaithác tại Pwn2Own bị rò rỉ ra ngoài cũng không hề nguy hại bởi những lỗi ...