Hacker đang khai thác lỗ hổng bảo mật Windows chưa được vá để tấn công tổ chức

Hacker đang khai thác lỗ hổng bảo mật Windows chưa được vá để tấn công tổ chức

Theo công ty an ninh mạng Huntress, tin tặc đã xâm nhập thành công vào ít nhất một tổ chức bằng cách tận dụng các lỗ hổng bảo mật của Windows mà một nhà nghiên cứu bất mãn đã công bố trực tuyến trong hai tuần qua.

Vào thứ Sáu vừa qua, Huntress cho biết các nhà nghiên cứu của họ đã phát hiện hacker đang lợi dụng ba lỗ hổng bảo mật của Windows, được đặt tên là BlueHammer, UnDefend và RedSun. Hiện vẫn chưa rõ mục tiêu cụ thể của cuộc tấn công này cũng như danh tính của nhóm hacker đứng sau.

Trong số ba lỗ hổng trên, chỉ có BlueHammer được Microsoft phát hành bản vá lỗi cho đến thời điểm này. Bản sửa lỗi cho BlueHammer đã được tung ra vào đầu tuần này. Có vẻ như tin tặc đang khai thác các lỗi này thông qua mã khai thác (exploit code) mà nhà nghiên cứu bảo mật kia đã công bố.

Nguồn gốc từ việc công bố mã độc

Đầu tháng này, một nhà nghiên cứu tự xưng là Chaotic Eclipse đã đăng trên blog cá nhân về mã khai thác một lỗ hổng chưa được vá trong Windows. Người này ám chỉ một số mâu thuẫn với Microsoft là động cơ đằng sau việc công bố mã này.

"Tôi không đang hù dọa Microsoft và tôi sẽ làm lại điều đó," họ viết. "Gửi lời cảm ơn lớn đến ban lãnh đạo MSRC đã khiến điều này trở nên khả thi," họ thêm, đề cập đến Trung tâm Phản hồi An ninh Microsoft (Microsoft Security Response Center) - đội ngũ chịu trách nhiệm điều tra các cuộc tấn công mạng và xử lý báo cáo lỗ hổng của công ty.

Vài ngày sau, Chaotic Eclipse tiếp tục công bố UnDefend, và sau đó là RedSun vào đầu tuần này. Nhà nghiên cứu này đã đăng tải mã khai thác cho cả ba lỗ hổng trên trang GitHub của mình.

Cả ba lỗ hổng này đều ảnh hưởng đến trình diệt virus Windows Defender do Microsoft sản xuất, cho phép hacker có được quyền truy cập cấp cao hoặc quyền quản trị (administrator) trên máy tính Windows bị ảnh hưởng.

Microsoft phản ứng thế nào?

TechCrunch đã không thể liên hệ được với Chaotic Eclipse để có bình luận.

Trước các câu hỏi cụ thể, Giám đốc Truyền thông của Microsoft, Ben Hope, cho biết trong một tuyên bố rằng công ty ủng hộ "quy trình công bố lỗ hổng có phối hợp, một thực hành phổ biến trong ngành giúp đảm bảo các vấn đề được điều tra và giải quyết kỹ lưỡng trước khi công khai, hỗ trợ cả việc bảo vệ khách hàng và cộng đồng nghiên cứu bảo mật."

Đây là một ví dụ điển hình về những gì ngành công nghiệp an ninh mạng gọi là "toàn diện công bố" (full disclosure). Khi các nhà nghiên cứu tìm thấy lỗi, họ có thể báo cáo cho nhà sản xuất phần mềm để giúp họ khắc phục. Tại thời điểm đó, thường thì công ty sẽ xác nhận đã nhận được báo cáo, và nếu lỗ hổng là có thật, công ty sẽ tiến hành vá lỗi. Thông thường, công ty và nhà nghiên cứu sẽ thống nhất một mốc thời gian để nhà nghiên cứu có thể công bố công khai kết quả của mình.

Tuy nhiên, đôi khi, vì nhiều lý do khác nhau, quá trình giao tiếp này bị phá vỡ và các nhà nghiên cứu công bố chi tiết lỗi một cách công khai. Trong một số trường hợp, một phần để chứng minh sự tồn tại hoặc mức độ nghiêm trọng của lỗi, các nhà nghiên cứu đi xa hơn và công bố mã "khái niệm chứng minh" (proof-of-concept) có khả năng khai thác lỗi đó.

Khi điều này xảy ra, tội phạm mạng, hacker chính phủ và những kẻ khác có thể lấy mã đó và sử dụng cho các cuộc tấn công của họ, buộc những người bảo vệ an ninh mạng phải chạy đua để xử lý hậu quả.

Cuộc đua giữa phòng thủ và tấn công

"Khi những mã này trở nên dễ tiếp cận như hiện nay và đã bị vũ khí hóa để sử dụng dễ dàng, tốt hay xấu, tôi nghĩ rằng cuối cùng nó đẩy chúng ta vào một cuộc giằng co khác giữa những người bảo vệ và tội phạm mạng," John Hammond, một trong những nhà nghiên cứu tại Huntress đang theo dõi vụ việc, chia sẻ với TechCrunch.

"Các kịch bản như vậy khiến chúng ta phải chạy đua với đối thủ; những người bảo vệ cố gắng bảo vệ trước những kẻ có ý đồ xấu nhanh chóng tận dụng các khai thác này... đặc biệt là bây giờ khi nó đã trở thành công cụ tấn công sẵn có cho tin tặc," Hammond nói.