Đây là lần đầu tiên Microsoft lên tiếng xác nhận có lỗ hổng xuất hiện trong Windows 7 kể từ khi hệ điều hành mới này được chính thức phát hành vào ngày 22 tháng 10.
Vào thứ 7 vừa qua Microsoft đã lên tiếng xác nhận một lỗ hổng chưa được vá trong Windows 7, đồng thời cho biết lỗ hổng này không nguy hiểm khi nói rằng hầu hết người có thể tự bảo vệ khỏi các cuộc tấn công nhằm vào lỗ hổng này bằng cách chặn hai cổng tại tường lửa.
Trong một bản báo cáo bảo mật Microsoft thừa nhận rằng một lỗ hổng trong SMB (Server Message Block), một giao thức chia sẻ file và máy in của Microsoft, có thể bị tin tặc lợi dụng để đánh sập hệ thống Windows 7 và Windows Server 2008 R2.
Lỗ hổng zero-day này lần đầu tiên được nhà nghiên cứu người Canada Laurent Gaffie thông báo vào hôm thứ năm tuần trước, khi đó ông đã tiết lộ lỗ hổng này đồng thời đăng mã tấn công proof-of-concept (mã khai thác lỗ hổng zero-day) lên danh sách mail bảo mật Full Disclosure và blog của ông.
Theo Gaffie, tin tặc có thể khai thác lỗ hổng này để đánh sập hoàn toàn hệ thống Windows 7 và Windows Server 2008 R2, và thao tác duy nhất mà người dùng có thể thực hiện khi bị tấn công đó là tắt thủ công những hệ thống này.
Vào thời điểm đó, Microsoft chỉ nói rằng họ đang xem xét báo cáo của Gaffie.
Cho đến thứ 7 vừa qua, Microsoft buộc phải lên tiếng xác nhận lỗ hổng này. Trong một email, Dave Forstrom, phát ngôn viên cho nhóm bảo mật của Microsoft, nói rằng “Microsoft đã nắm được mã khai thác chi tiết đã được phát tán có thể làm cho một hệ thống ngừng hoạt động hay trở nên không tin cậy. Tuy nhiên, lúc này chúng tôi vẫn chưa thấy cuộc tấn công nào nhằm vào lỗ hổng này.”
Forstrom nhắc lại phát biểu của Gaffie hồi đầu tuần vừa rồi cho rằng mặc dù lỗ hổng này có thể vô hiệu hóa một PC, tuy nhiên tin tặc không thể sử dụng để cài mã độc vào hệ thống Windows 7.
Cả SMBv1 và phiên bản sau đó, SMBv2, đều chứa lỗ hổng này. Forstrom khẳng định rằng “Windows Vista, Windows Server 2008, Windows XP, Windows Server 2003 và Windows 2000 sẽ không bị tác động.”
Microsoft cảnh báo rằng không chỉ có Internet Explorer, các cuộc tấn công còn có thể nhằm vào bất cứ ứng dụng trình duyệt nào khác. Sau khi lừa người dùng truy cập vào một trang Web độc hay một miền đã bị chiếm quyền trước đó, tin tặc có thể bổ sung nhiều URI chuyên dụng (công cụ xác định tài nguyên đồng bộ), sau đó đánh sập PC với các gói tin SMB độc.
Microsoft nói rằng họ sẽ vá lỗ hổng này, nhưng không cho biết thời gian cụ thể hoặc có tung ra một bản cập “ngoài luồng” trước khi bản cập nhật định kỳ tháng 12 được phát hành hay không. Thay vào đó Microsoft khuyên người dùng chặn hai cổng TCP 139 và 445 tại tường lửa. Tuy nhiên, làm như vậy sẽ vô hiệu hóa các ứng dụng trình duyệt cũng như nhiều dịch vụ quan trọng, gồm chính sách nhóm IT và chính sách chia sẻ file qua mạng.
Lỗ hổng được Gaffie phát hiện là lỗ hổng zero-day đầu tiên được công bố và cũng là lần đầu tiên Microsoft lên tiếng xác nhận có lỗ hổng xuất hiện trong Windows 7 kể từ khi hệ điều hành mới này được chính thức phát hành vào ngay 22 tháng 10.
Vào thứ 7 vừa qua Microsoft đã lên tiếng xác nhận một lỗ hổng chưa được vá trong Windows 7, đồng thời cho biết lỗ hổng này không nguy hiểm khi nói rằng hầu hết người có thể tự bảo vệ khỏi các cuộc tấn công nhằm vào lỗ hổng này bằng cách chặn hai cổng tại tường lửa.
Lỗ hổng zero-day này lần đầu tiên được nhà nghiên cứu người Canada Laurent Gaffie thông báo vào hôm thứ năm tuần trước, khi đó ông đã tiết lộ lỗ hổng này đồng thời đăng mã tấn công proof-of-concept (mã khai thác lỗ hổng zero-day) lên danh sách mail bảo mật Full Disclosure và blog của ông.
Theo Gaffie, tin tặc có thể khai thác lỗ hổng này để đánh sập hoàn toàn hệ thống Windows 7 và Windows Server 2008 R2, và thao tác duy nhất mà người dùng có thể thực hiện khi bị tấn công đó là tắt thủ công những hệ thống này.
Vào thời điểm đó, Microsoft chỉ nói rằng họ đang xem xét báo cáo của Gaffie.
Cho đến thứ 7 vừa qua, Microsoft buộc phải lên tiếng xác nhận lỗ hổng này. Trong một email, Dave Forstrom, phát ngôn viên cho nhóm bảo mật của Microsoft, nói rằng “Microsoft đã nắm được mã khai thác chi tiết đã được phát tán có thể làm cho một hệ thống ngừng hoạt động hay trở nên không tin cậy. Tuy nhiên, lúc này chúng tôi vẫn chưa thấy cuộc tấn công nào nhằm vào lỗ hổng này.”
Forstrom nhắc lại phát biểu của Gaffie hồi đầu tuần vừa rồi cho rằng mặc dù lỗ hổng này có thể vô hiệu hóa một PC, tuy nhiên tin tặc không thể sử dụng để cài mã độc vào hệ thống Windows 7.
Cả SMBv1 và phiên bản sau đó, SMBv2, đều chứa lỗ hổng này. Forstrom khẳng định rằng “Windows Vista, Windows Server 2008, Windows XP, Windows Server 2003 và Windows 2000 sẽ không bị tác động.”
Microsoft cảnh báo rằng không chỉ có Internet Explorer, các cuộc tấn công còn có thể nhằm vào bất cứ ứng dụng trình duyệt nào khác. Sau khi lừa người dùng truy cập vào một trang Web độc hay một miền đã bị chiếm quyền trước đó, tin tặc có thể bổ sung nhiều URI chuyên dụng (công cụ xác định tài nguyên đồng bộ), sau đó đánh sập PC với các gói tin SMB độc.
Microsoft nói rằng họ sẽ vá lỗ hổng này, nhưng không cho biết thời gian cụ thể hoặc có tung ra một bản cập “ngoài luồng” trước khi bản cập nhật định kỳ tháng 12 được phát hành hay không. Thay vào đó Microsoft khuyên người dùng chặn hai cổng TCP 139 và 445 tại tường lửa. Tuy nhiên, làm như vậy sẽ vô hiệu hóa các ứng dụng trình duyệt cũng như nhiều dịch vụ quan trọng, gồm chính sách nhóm IT và chính sách chia sẻ file qua mạng.
Lỗ hổng được Gaffie phát hiện là lỗ hổng zero-day đầu tiên được công bố và cũng là lần đầu tiên Microsoft lên tiếng xác nhận có lỗ hổng xuất hiện trong Windows 7 kể từ khi hệ điều hành mới này được chính thức phát hành vào ngay 22 tháng 10.
Xian (Theo ComputerWorld)