• Thứ Tư, 25/08/2010 09:05 (GMT+7)

    Microsoft phát hành công cụ chặn tấn công nạp DLL

    PHT
    Nhưng Microsoft vẫn chưa đã động tới các ứng dụng dễ bị tổn thương của Windows.

    Hôm thứ Hai, Microsoft đã đáp lại các báo cáo về những cuộc tấn công lỗi zero-day tiềm năng chống lại một số lượng lớn các chương trình Windows bằng việc phát hành một công cụ chặn được các cuộc khai thác đã được nhận biết. Tuy nhiên, Công ty từ chối xác nhận những ứng dụng riêng nào của họ dễ bị tổn thương và nói rằng hiện đang kiểm tra phần mềm.

    Bản tư vấn bảo mật hôm thứ Hai là phản ứng công khai đầu tiên của Microsoft trước làn sóng các báo cáo từ các nhà nghiên cứu về việc các nhà phát triển đã để một số lượng lớn các chương trình Windows mở có thể bị tấn công.

    Nhiều ứng dụng Windows không gọi các thư viện liên kết động DLL (dynamic-link library) bằng cách sử dụng đường dẫn đầy đủ mà chỉ sử dụng tên tập tin. Điều này trao cho tin tặc quá nhiều cơ hội để lợi dụng, bởi bọn chúng có thể khai thác bằng cách lừa ứng dụng tải một tập tin độc hại trùng tên với các DLL cần thiết. Kết quả là tin tặc có thể chiếm quyền điều khiển máy tính và cấy phần mềm độc hại vào máy.

    HD Moore, Giám đốc an ninh cấp cao tại Rapid7 và tác giả của bộ công cụ thử nghiệm xâm nhập Metasploit, là người đầu tiên tiết lộ các cuộc tấn công tiềm năng khi ông công bố tuần trước rằng ông nhận thấy 40 ứng dụng Windows dễ bị tổn thương. Tiếp theo sau Moore, các nhà nghiên cứu khác đã tuyên bố những con số khác nhau về các chương trình có nguy cơ rủi ro, từ ít nhất là dưới 30 cho đến trên 200. Microsoft đã trấn an người sử dụng rằng lỗ hổng không phải ở trong Windows.

    "Chúng ta không nói về một lỗ hổng trong một sản phẩm của Microsoft", ông Christopher Budd, Giám đốc truyền thông cấp cao của Trung tâm MSRC (Microsoft Security Response Center - Trung tâm Đảm bảo An ninh của Microsoft) cho biết. "Đây là một thủ đoạn tấn công vào một ứng dụng gọi tới một thư viện không tin cậy".

    Vì các nhà phát triển ứng dụng, chứ không phải Windows, bị đổ lỗi, Microsoft không thể vá hệ điều hành mà không làm hỏng một số chương trình chạy trên nền tảng này. Thay vào đó, Microsoft và các nhà phát triển bên thứ ba phải phát hiện ra các chương trình nào của họ dễ bị tổn thương, sau đó vá riêng từng miếng.

    Trong lúc chờ đợi, Microsoft đã phát hành một công cụ để chặn việc tải các tập tin DLL từ những thư mục từ xa, như trên ổ đĩa USB, các trang web và mạng của một tổ chức, tất cả mọi hướng có thể. Công cụ này có thể được tải về sử dụng cho từng phiên bản Windows cụ thể. Công cụ của Microsoft nhắm tới doanh nghiệp, không phải người dùng cá nhân, Budd cho biết, và sẽ không được đẩy tới các khách hàng tự động thông qua dịch vụ Automatic Updates (tự động cập nhật) của công ty.

    Trong bản tư vấn, Microsoft liệt kê các cách giải quyết khách hàng khác có thể thực hiện.Microsoft đã từ chối không cho biết các ứng dụng Windows nào dính các lỗ hổng lập trình mà có thể làm cho chúng dễ bị tổn thương mà chỉ khẳng định đang tiến hành nghiên cứu và sẽ giải quyết nếu thấy có lỗ hổng. Mấy ngày trước, một số nhà nghiên cứu an ninh bên ngoài nói rằng họ sẽ quan tâm để nhận biết các phần mềm của Microsoft có nguy cơ, nghĩa là các nhà phát triển của Microsoft đã không tuân theo lời khuyên của công ty tới các nhà lập trình của bên thứ ba.

    Budd cho biết ông không thể xác nhận ngay rằng Microsoft đã biết đến của các lỗ hổng tấn công kiểu nạp DLL ít nhất là từ tháng 8/2009, khi nhà nghiên cứu Taeho Kwon của trường Đại học California Davis cho biết ông đã liên lạc với Công ty. Hôm nay, Budd nói rằng ông hiểu rằng Microsoft đã làm việc với vấn đề “chỉ sau vài tuần". Nhóm kỹ sư MSRC cũng đã công bố một số thông tin kỹ thuật về tấn công lây nhiễm và công cụ chặn trên blog "Security Research & Defense” của Microsoft vào hôm thứ Hai.

    Từ khóa: Microsoft
    Nguồn: Computerworld, 23/8/2010