• Thứ Tư, 26/11/2008 15:10 (GMT+7)

    Lỗ hổng Windows bị khai thác nhiều

    Symantec cảnh báo nhiều vụ tấn công trực tuyến nhắm vào một lỗ hổng mới được vá trong Windows nhưng nhiều công ty bảo mật khác không đồng ý với nhận định này.

    Do các cuộc tấn công, Symantec đã tăng mức cảnh báo bảo mật ThreatCon của họ từ 1 lên 2 (2 tức là “mức cảnh giác đã tăng lên”). Nhưng nhiều công ty bảo mật khác (trong đó có Arbor Networks, McAfee) lại không thấy như vậy.

    Các cuộc tấn công được Symantec chỉ ra nhắm vào một lỗ hổng trong dịch vụ Windows Server Service mà Microsoft cho biết là có thể bị khai thác để tạo ra cuộc tấn công “sâu tự copy” (self-copying worm). Cuối tháng 10/2008, Microsoft phải vội vã đưa ra miếng vá khẩn cấp vá lỗi này sau khi họ thấy có vài vụ tấn công trực tuyến khai thác lỗ hổng trên.

    Kể từ đó, cả các chuyên gia bảo mật và Microsoft đều không thấy tấn công lan rộng nhưng Symantec cho rằng, có thể giờ đây mọi chuyện đã thay đổi.

    Theo Symantec, họ thấy số lượng tăng đáng kể các vụ tấn công nhắm vào cổng TCP (Transmission Control Protocol) 445 (cổng TCP là con số được gán cho các gói dữ liệu gửi qua Internet để giúp máy tính biết chương trình nào nên xử lý thông tin). Ví dụ, các trình duyệt web thường dùng cổng 80 còn cổng 445 và cổng 139 dùng để kết nối với dịch vụ Windows Server Service. Phần lớn firewall đều chặn được các cổng 445, 139 nhưng Symantec khuyến nghị người dùng Windows nên chạy miếng vá MS08-067 ngay khi có thể.

    Trước đây, các vụ tấn công khai thác lỗ hổng trong dịch vụ Windows Server Service thường nhắm vào HĐH Windows phiên bản tiếng Hoa nhưng các vụ tấn công mới nhất lại nhắm vào HĐH Windows phiên bản tiếng Anh, Symantec cho biết.

    Tuy nhiên, công ty bảo mật Arbor Networks lại không đồng ý với nhận định của Symantec. “Chúng tôi không thấy tăng số vụ tấn công nhắm vào các cổng 445 và cổng 139, vì thế không cần phải tăng mức báo động”. Cả McAfee và Microsoft đều có cùng quan điểm này.

    Bạch Đình Vinh
    Theo IDG News Service, 21/11/2008

    ID: O0811_1