Microsoft và NSA thông báo: Windows 10 gặp lỗi bảo mật nghiêm trọng

 Microsoft và NSA thông báo: Windows 10 gặp lỗi bảo mật nghiêm trọng

Microsoft đã phát hành một bản “vá bảo mật” cho một lỗ hổng nguy hiểm ảnh hưởng nghiêm trọng đến hàng trăm triệu máy tính đang chạy Windows 10.

Lỗ hổng được tìm thấy trong một thành phần mật mã Windows, được gọi là CryptoAPI. Thành phần này có một loạt các chức năng, một trong số đó cho phép các nhà phát triển ký điện tử phần mềm của họ, chứng minh rằng phần mềm không bị giả mạo. Nhưng lỗi này có thể cho phép những kẻ tấn công giả mạo phần mềm hợp pháp, có khả năng giúp chạy các phần mềm độc hại dễ dàng hơn như ransomware – các máy tính dễ dàng bị tấn công bởi phần mềm này.

Microsoft và NSA thông báo: Windows 10 gặp lỗi bảo mật nghiêm trọng

Người dùng sẽ không có cách nào biết được tệp này là độc hại hay không, bởi vì chữ ký số sẽ xuất hiện từ một nhà cung cấp đáng tin cậy – Microsoft cho biết. CERT-CC, trung tâm tiết lộ lỗ hổng tại Đại học Carnegie Mellon cho biết, lỗi này cũng có thể được sử dụng để chặn và sửa đổi thông tin liên lạc HTTPS (hoặc TLS).

Microsoft cho biết họ không tìm thấy bằng chứng nào cho thấy lỗi này đã bị những kẻ tấn công tích cực khai thác và họ cho rằng lỗi này không hề nghiêm trọng như những ý kiến trước đưa ra.

Nhà báo an ninh độc lập Brian Krebs lần đầu tiên báo cáo chi tiết về lỗi này.

Cơ quan An ninh Quốc gia đã xác nhận trong một cuộc gọi với các phóng viên rằng họ đã tìm thấy lỗ hổng và chuyển các báo cáo chi tiết cho Microsoft, sẵn sàng cho phép công ty xây dựng và sửa chữa lại phần mềm này.

Chỉ hai năm trước, cơ quan gián điệp đã bị chỉ trích vì đã tìm và sử dụng lỗ hổng Windows để tiến hành giám sát thay vì cảnh báo cho Microsoft về lỗ hổng. Cơ quan này đã sử dụng lỗ hổng này để tạo ra một khai thác, được gọi là EternalBlue, như một cách để bí mật sao lưu các máy tính dễ bị tấn công. Nhưng việc khai thác sau đó đã bị rò rỉ và được sử dụng để lây nhiễm hàng ngàn máy tính bằng ransomware WannaCry, gây thiệt hại lên đến hàng triệu đô la.

Anne Neuberger, NSA giám đốc an ninh mạng, nói rằng một khi lỗ hổng được phát hiện, nó đã trải qua quy trình công bằng lỗ hổng, một quy trình được chính phủ ra quyết định sử dụng để xác định xem có nên giữ quyền kiểm soát lỗ hổng hay để sử dụng trong các hoạt động bảo mật tấn công hay không. Nhiều câu hỏi được đặt ra: không biết NSA có sử dụng lỗi này cho các hoạt động tấn công hay chưa trước khi nó được báo cáo cho Microsoft.

Neuberger xác nhận rằng Microsoft và NSA đã không thấy những kẻ tấn công tích cực khai thác lỗi này.

Jake Williams, một cựu hacker NSA và người sáng lập Rendition Infosec, nói rằng thật đáng khích lệ khi một lỗ hổng nghiêm trọng như vậy được chuyển cho các nhà cung cấp thay vì vũ khí hóa. Đây là một lỗi mà các chính phủ có thể dễ sử dụng hơn so với các hacker thông thường, ông nói.

Microsoft được cho là đã phát hành bản vá cho Windows 10 Windows Server 2016. Họ cho rằng lỗi này sẽ gây ảnh hưởng đối với chính phủ, quân đội và các công ty cấp cao khác của Hoa Kỳ và lo ngại rằng chúng cũng sẽ bị lạm dụng và máy tính dễ bị những phần mềm độc hại tấn công.

Gã khổng lồ phần mềm giữ một vòng tròn chặt chẽ xung quanh các chi tiết về các lỗ hổng, với rất ít người tại công ty nhận thức đầy đủ về sự tồn tại của chúng. Chỉ một số ít bên ngoài công ty và NSA – chẳng hạn như đơn vị tư vấn an ninh mạng của chính phủ Cơ quan an ninh cơ sở hạ tầng và an ninh mạng – đã được thông báo ngắn gọn về sự cố này.

CISA cũng ban hành một chỉ thị: Các cơ quan liên bang bắt buộc phải vá các lỗ hổng nhanh chóng. Williams cho biết lỗ hổng hiện đang được vá này giống như một khóa xương để bỏ qua bất kỳ số lượng kiểm soát bảo mật điểm cuối nào, ông nói.

Những kẻ tấn công có kỹ năng từ lâu đã cố gắng loại bỏ phần mềm độc hại của họ dưới dạng phần mềm hợp pháp, trong một số trường hợp bằng cách lấy và đánh cắp chứng chỉ. Năm ngoái, những kẻ tấn công đã đánh cắp một chứng chỉ thuộc về nhà sản xuất máy tính Asus để ký một phiên bản cửa sau của công cụ cập nhật phần mềm. Bằng cách đẩy công cụ này đến các máy chủ của công ty, kết quả là hàng trăm nghìn khách hàng của Asus đã bị xâm phạm.

Khi chứng chỉ bị mất hoặc bị đánh cắp, chúng có thể được sử dụng để mạo danh nhà sản xuất ứng dụng, cho phép họ ký phần mềm độc hại và làm cho nó trông giống như đến từ nhà phát triển ban đầu.

Dmitri Alperovitch, đồng sáng lập và giám đốc công nghệ tại công ty bảo mật CrowdStrike, đã nói trong một tweet rằng lỗi do NSA phát hiện là một vấn đề nghiêm trọng.

Tin liên quan

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *