11 Hiểm "họa" ngày zero

(Post 22/01/2008) Dù có siêng năng vá lỗi đến mấy đi nữa, máy tính của bạn vẫn dễ bị tổn thương với kiểu tấn công “ngày zero”.

Không lơ là với việc bảo mật, luôn cập nhật các chương trình, cẩn thận khi duyệt web cũng như khi cài đặt phần mềm trên máy tính… nhưng nếu viếng thăm một trang blog đặt trên Host Gator, nhà cung cấp dịch vụ hàng đầu ở Mỹ, trình duyệt trên PC của bạn có thể bị chuyển hướng đến một website đã nhiễm mã độc khai thác một lỗ hổng trong định dạng file ảnh cũ của Microsoft. Và trong tíc tắc, một đống malware sẽ xâm lấn PC của bạn.

Nếu điều này xảy ra, bạn đã trở thành nạn nhân của kẽ hở “ngày zero” (zero-day) – kiểu tấn công lỗ hổng phần mềm tiến hành trong thời gian chưa có bản vá lỗi. Thuật ngữ này thoạt đầu mô tả một điểm yếu bị khai thác vào cùng ngày bản vá lỗi được đưa ra, do bộ phận IT chưa kịp vá lỗi.

Hiện nay, kiểu tấn công zero-day rất có giá đối với bọn tội phạm trên mạng vì có thể đột nhập những hệ thống được cập nhật, bảo vệ tốt. Tháng 12 năm rồi, một hacker đã rao bán một lỗ hổng chưa được tiết lộ trong phiên bản beta của Windows Vista với giá lên đến 50.000 USD.

Tấn công “ngày zero”

Nhờ các tính năng mới có khả năng phát hiện thông minh (không cần thông tin nhận dạng), các chương trình bảo mật và chống virus ngày càng bảo vệ PC hiệu quả hơn trong việc chống lại những mối đe dọa chưa biết. Và còn có một loạt chương trình mới, miễn phí và có phí, cho phép khoanh vùng ảnh hưởng để chống đỡ các cuộc tấn công zero-day.

Thiết lập bảo mật đúng đắn có thể bảo vệ bạn đến 99% thời gian, nhưng các cuộc tấn công có chủ đích đôi khi có thể lọt qua. Bạn có thể trang bị rất nhiều firewall, thiết bị và phần mềm bảo mật, nhưng tất cả đều trở nên vô dụng nếu bị khai thác đúng kẽ hở zero-day với đúng thành phần.

Dạng tấn công zero-day nguy hiểm nhất cho phép thực hiện tải về ngầm, chỉ cần người dùng duyệt một trang web hay đọc một email HTML nhiễm độc là có thể kích hoạt một cuộc xâm lấn làm tràn ngập PC với spyware, Trojan horse hay các phần mềm độc hại khác. Khoảng giữa năm 2005 đến cuối năm 2006, đã có ít nhất 2 cuộc tấn công zero-day với hàng triệu nạn nhân bằng cách khai thác các lỗ hổng trong định dạng file ảnh ít được dùng của Microsoft.

Hiểm hoạ này lần đầu tiên được công ty bảo mật Sunbelt Software thông báo, công ty này phát hiện ra nó trên một website Nga cung cấp hình ảnh khiêu dâm. Lỗ hổng này nguy hiểm vì chỉ cần bạn duyệt qua website có chứa hình “bẫy” thì máy tính của bạn có thể bị dính tải về ngầm. Bọn tội phạm cơ hội còn biết cách làm tình hình tồi tệ thêm.

Bằng cách khai thác lỗ hổng thứ hai trong cPanel, một giao diện quản lý website, tin tặc đã đột nhập hàng ngàn website do HostGator quản lý và chuyển hướng đến các site độc có chứa mã khai thác VML (Vector Markup Language) – một chuẩn tạo hình 3D ít được dùng.

Bản thân các sản phẩm của Microsoft như IE, Office và HĐH Windows đã thường là mục tiêu của các cuộc tấn công zero-day (và các kiểu tấn công khác), một phần vì chúng thống trị thị trường phần mềm. Sai lầm trước đây của Microsoft là đã không chú trọng đúng mức đến việc bảo mật, dẫn đến tình trạng sản phẩm của hãng trở thành mục tiêu ưa thích (và dễ tấn công). Vista thì khác, HĐH này được đánh giá cao về mặt bảo mật, ít nhất cho đến hiện nay (xem “Chống đỡ zero-day trong HĐH mới của Microsoft”).

Riêng trong năm 2006, IE 6 đã bị tấn công với 4 kẽ hở zero-day khác nhau. Đầu tiên là các cuộc tấn công nhắm vào một lỗi trong định dạng ảnh Windows Metafile được phát hiện vào tháng 12/2005; lỗ hổng này nằm trong phần lõi của Windows mà IE sử dụng để hiện ảnh WMF.

Khi các cuộc tấn công được biết đến rộng rãi, ban đầu Microsoft nói sẽ đưa ra bản vá trong vài tuần theo quy trình thông thường nhưng khi các hoạt động khai thác và sự phản ứng của người dùng lên cao, công ty đã cấp tốc đưa ra bản vá vào đầu tháng 1.

Tuy nhiên, bản vá này không dập tắt được các cuộc tấn công, cho thấy kẽ hở zero-day có thể ảnh hưởng trong thời gian dài. Giống như lỗ hổng VML, kẽ hở Metafile mở cửa cho việc tải về ngầm mà bọn tội phạm ưa thích vì nạn nhân không cần nhấn lên ảnh lây nhiễm. Nếu cài đặt bản vá của Microsoft thông qua chương trình Automatic Updates, bạn an toàn. Nhưng rõ ràng nhiều người dùng Windows đã không làm vậy.

Vào tháng 7, một banner độc tìm cách xuất hiện trên các site lớn như MySpace và Webshots thông qua một mạng phân phối quảng cáo. Mã độc ẩn nấp trong banner này tải về máy tính của nạn nhân một chương trình Trojan horse và đến lượt nó cài tiếp adware và spyware. Bảy tháng sau bản vá mới có và số nạn nhân lên đến hàng triệu.

Tấn công Office

Không giống các mối đe doạ zero-day nhắm đến IE, những cuộc tấn công nhắm đến Word và các ứng dụng Office khác không thể thực hiện việc tải về ngầm. Thay vì vậy, chúng thường “dụ” nạn nhân nhấn đúp lên file đính kèm email – và khi chúng được kết hợp với các cuộc tấn công phối hợp chống lại một công ty cụ thể thì ngay cả người dùng cẩn thận cũng có thể mắc bẫy.

Bằng cách gửi cho các nhân viên của công ty mục tiêu một email giả xuất xứ từ một đồng nghiệp hay nguồn khác trong công ty, tin tặc có nhiều khả năng thuyết phục người nhận mở tài liệu Word đính kèm hơn là nếu email có xuất xứ từ người lạ.

Giữa tháng 12 năm rồi, Microsoft đã thừa nhận Word có 2 lỗ hổng như vậy bị hacker khai thác để phát động “những cuộc tấn công có chủ đích”, sau các lỗ hổng tương tự trong Excel và PowerPoint. Công ty khuyến cáo người dùng thận trọng không chỉ với file đính kèm email gửi từ người lạ, mà cả các file đính kèm không yêu cầu gửi từ người quen.

NHẮM VÀO WORD

Ngày 21/5/2006, các cuộc tấn công có chủ đích được kích hoạt từ Đài Loan và Trung Quốc, khai thác một lỗ hổng trong Microsoft Word (một trong nhiều lỗ hổng zero-day của Office được thông báo trong năm 2006) để tấn công một công ty. Theo Internet Storm Center, các cuộc tấn công này giả email trong nội bộ công ty để nhân viên không nghi ngờ mở file đính kèm có chứa mã độc.

Các sản phẩm Microsoft có thể là những mục tiêu tấn công zero-day phổ biến nhất, nhưng phần mềm thông dụng khác cũng có nguy cơ tương tự. Trong tháng 1, một nhà nghiên cứu đã công bố phát hiện một lỗ hổng trong phần kiểm phát video của QuickTime cho phép tin tặc kiểm soát máy tính nạn nhân. Cuối tháng 11/2006, một lỗ hổng zero-day trong điều khiển trình duyệt ActiveX Adobe tạo ra nguy cơ tương tự.

Sự gia tăng các sự cố zero-day tương ứng với sự gia tăng số lỗ hổng phần mềm được thông báo hàng năm. Trong năm 2006 các nhà nghiên cứu và sản xuất phần mềm đã ghi nhận khoảng 7247 lỗ hổng; tăng 39% so với năm 2005, theo Internet Security Systems Xforce.

Tuy vậy, hầu hết các lỗi này không dẫn đến việc khai thác zero-day. Các công ty phần mềm thường nhận các báo cáo về các lỗi và hỏng hóc từ người dùng của mình, dẫn đến việc phát hiện các lỗ hổng bảo mật và vá trước khi có kẻ lợi dụng. Khi các nhà nghiên cứu bảo mật bên ngoài phát hiện lỗi, đa phần họ tôn trọng quy ước “tiết lộ đúng quy cách”, được thiết kế đặc biệt để tránh các cuộc tấn công zero-day.

Theo quy ước này, các nhà nghiên cứu trước hết liên hệ hãng cung cấp phần mềm để thông báo lỗi. Hãng này không công bố lỗi cho đến khi có bản vá, khi đó hãng sẽ công khai nhìn nhận nhà nghiên cứu phát hiện đầu tiên.

Nhưng đôi khi các nhà nghiên cứu mất kiên nhẫn với tiến độ thực hiện chậm chạp của nhà sản xuất phần mềm đã công khai các chi tiết về lỗ hổng khi nó còn chưa được vá. Một số chuyên gia xem đây là việc chẳng đặng đừng để buộc các hãng phần mềm đưa ra bản vá; những người khác chỉ trích đó là hành vi không tôn trọng nguyên tắc.

Những người ủng hộ việc công khai cho rằng nếu một nhà nghiên cứu biết về lỗi thì bọn tội phạm cũng có thể biết và bọn tội phạm ma mãnh sẽ thực hiện tấn công trên quy mô nhỏ và có mục tiêu cụ thể để tránh đánh động hãng phần mềm biết và sửa. Không may, việc tiết lộ rộng rãi về lỗ hổng có thể gây nên các cuộc tấn công zero-day rộng khắp.

Một cách thức khác gây tranh cãi là treo thưởng. Một số tổ chức, gồm iDefense và Zero Day Initiative của 3Com, trả tiền cho nhà nghiên cứu thông báo cho họ về kẽ hở zero-day. Ví dụ, iDefense đưa ra mức thưởng 8.000USD cho thông tin về các lỗ hổng trong IE 7 và Vista. Sau đó, công ty bảo mật thông báo phát hiện (được giữ kín) đến hãng phần mềm. Dù không phải ai cũng ủng hộ nhưng cách thức này đem lại thù lao cho các nhà nghiên cứu – một kết quả hợp lý mà nhiều người thích hơn là lời khen công khai giản đơn từ hãng phần mềm.

Có lẽ quan trọng hơn, tiền thưởng của các công ty bảo mật cạnh tranh với thị trường đen đang phát triển nhắm vào kẽ hở zero-day. Các báo cáo từ eWeek.com và các công ty bảo mật cho thấy các cuộc tấn công Windows Metafile bắt đầu ngay sau vụ mua bán thông tin chi tiết về lỗi này với số tiền khá bộn – 4.000USD.

Để tìm các lỗ hỗng “có giá”, các nhà nghiêu cứu và bọn tội phạm sử dụng những công cụ gọi là fuzzer để dò tìm tự động những nơi chương trình nhận thông tin vào, sau đó cung cấp một cách hệ thống các tổ hợp dữ liệu lạ. Thường thì phép thử này sẽ làm lộ lỗ hổng có thể khai thác, được biết đến với cái tên “tràn bộ đệm”.

Các hãng phần mềm, trong đó có Microsoft, thường sử dụng các công cụ này để tìm trước lỗi trong sản phẩm của mình. Và bọn tội phạm cũng làm như vậy: nhiều chuyên gia cho biết bọn tội phạm có tổ chức ở Đông Âu, Trung Quốc… cũng dùng fuzzer để tìm các kẽ hở zero-day đáng giá. Người phát hiện có thể sử dụng kẽ hở này để tự tấn công, như trong trường hợp kẽ hở WMF, hay có thể bán nó trên thị trường đen.

Khi nhà sản xuất phần mềm có thể vá một lỗ hổng bảo mật trước khi có bất kỳ cuộc tấn công nào xảy ra, thì bộ phận IT của công ty và người dùng gia đình có thời gian để cập nhật phần mềm và tránh được hiểm hoạ. Nhưng khi có một cuộc tấn công zero-day khởi động, thời gian được tính bằng giờ hay phút và bản vá đôi khi đến chậm.

Theo báo cáo tháng 9/2006 về các mối đe dọa bảo mật trên Internet của Symantec trong nửa đầu năm 2006, Microsoft ngang với Red Hat Linux về thời gian phát triển bản vá nhanh nhất cho các HĐH thương mại: trung bình 13 ngày.

CUỘC RƯỢT ĐUỔI ZERO-DAY
Tháng 9 năm rồi Sunbelt Software đã phát hiện các cuộc tấn công khai thác một lỗ hổng bảo mật trong các hình vẽ dùng định dạng Vector Markup Language (VMF) hiếm được dùng những vẫn được hỗ trợ trong Windows. Chỉ trong một tuần, bọn tội phạm đã làm lây nhiễm hàng ngàn website với các hình “nhiễm độc” có thể tấn công tải về ngầm bất kỳ người dùng không may nào xem những hình này.
– 18/9/2006: các cuộc tấn công VML đầu tiên trên một website Nga được thông báo.
– 19/9/2006: Microsoft đưa ra hướng dẫn khắc phục và cho biết sẽ có bản vá vào ngày 10/10.
– 20/9/2006: Symantec thông báo đoạn mã độc đã được tích hợp vào công cụ khai thác dễ dùng bán ở Đông Âu.
– 22/9/2006: Zeroday Emergency Response Team đưa ra bản vá không chính thức. Hàng ngàn site bị lây nhiễm trên HostGator chuyển hướng khách viếng thăm đến các site có nhúng mã tấn công VML.
– 26/9/2006: Microsoft đưa ra bản sửa lỗi sớm hơn 2 tuần so với dự kiến.
– 16/1/2007: iDefense xác nhận một cuộc tấn công zero-day tương tự khai thác một lỗ hổng nghiêm trọng khác của VML.

Chậm và nhầm

Nhưng trong việc vá lỗi trình duyệt – đặc biệt khi xảy ra cuộc tấn công zero-day – Microsoft chậm hơn Apple, Mozilla và Opera trong việc cung cấp bản vá. Trung bình, các bản vá IE được đưa ra 10 ngày sau khi lỗi được thông báo, trong khi các trình duyệt Opera, Mozilla và Safari được vá tương ứng trong 2, 3 và 5 ngày. (Xem “Cuộc rượt đuổi zero-day”)

Phần mềm bảo mật giúp bảo vệ chống lại các hiểm họa chưa biết trong khoảng thời gian giao thời nguy hiểm từ lúc xuất hiện cuộc tấn công ban đầu đến khi có bản vá. Nhưng các chương trình chống virus truyền thống cần nhận dạng được cuộc tấn công mới có thể chống đỡ, và đây là điểm yếu có thể bị tin tặc kinh nghiệm đánh lừa.

MYSPACE BỊ XÂM LĂNG

28/12/2005, điềm báo trước của kiểu tấn công VML tương tự, một lỗ hổng trong kiểu file ảnh WMF ít được sử dụng của Microsoft cho phép thực hiện các cuộc tải về ngầm nếu người dùng xem một trang chứa hình “nhiễm độc”. Microsoft nhanh chóng đưa ra bản vá vào ngày 5/1, nhưng đến tháng 7 một quảng cáo banner độc làm lây nhiễm hàng triệu máy tính chưa được vá khi viếng thăm MySpace, Webshots và các site khác.

Việc phân tích dò tìm và hành vi có thể khắc phục điểm yếu trên. Việc phân tích dò tìm kiểm tra nội dung đối tượng tình nghi như hàm làm việc với bộ nhớ. Trong khi đó, việc phân tích hành vi giám sát các chương trình về những hành vi tiêu biểu của malware (như khởi động máy chủ chuyển email), cố gắng nhận diện những kẻ xâm nhập bất hợp pháp dựa trên hành động chúng làm hơn là nội dung chúng chứa.

Tuy nhiên, phân tích dò tìm và hành vi dễ bị nhầm. Chương trình bảo mật có thể không phân biệt được keylogger với game có yêu cầu truy xuất trực tiếp bàn phím để rút ngắn thời gian đáp ứng. Hậu quả là phần mềm bảo mật làm phiền người dùng với những popup cảnh báo. Một chuyên gia bảo mật dự báo phương thức này sẽ mất tác dụng sau 5 năm nữa.

Giải pháp khác

Có một dòng sản phẩm bảo mật khác chống lại các mối đe doạ mới bằng cách thay đổi môi trường điện toán của người dùng để hạn chế tác hại từ một cuộc xâm nhập thành công. Một số (như GreenBorder Pro) tạo ra một “hộp kín”, hay môi trường hầu như cách ly, cho những chương trình thường bị tấn công như trình duyệt web hay trình email. Ví dụ, một cuộc tấn công có thể xuyên thủng IE nhưng bất kỳ cố gắng nào nhằm cài đặt spyware hay những thay đổi hệ thống có hại đều bị giới hạn trong “hộp kín”.

Các chương trình khác, thay vì tạo môi trường ảo, điều chỉnh quyền của người dùng để trừ khử khả năng mã độc thực hiện các thay đổi hệ thống. Trong số này có DropMyRights miễn phí của Microsoft.

Còn có các dạng chương trình khác, như VMWare Player miễn phí, cài đặt một HĐH kín có sẵn trình duyệt riêng. Trình duyệt hoàn toàn cách ly môi trường điện toán thông thường của bạn. Xem “Giải trừ các mối hiểm họa từ Net” của Erik Larkin (find.pcworld.com/56458) để biết thêm thông tin về tất cả các dạng chương trình bảo mật ngăn ngừa thảm họa.

Windows Vista có cải tiến bảo mật làm việc với một số loại phần mềm trên. Nhưng không ai nghĩ các lỗ hổng phần mềm hay những kẽ hở zero-day rồi sẽ biến mất. Thị trường đen đã hình thành cho việc mua bán dữ liệu đánh cắp và bọn tội phạm sẽ tiếp tục tìm cách thu lợi nhuận từ malware.

Windows Vista có cải tiến bảo mật làm việc với một số loại phần mềm trên. Nhưng không ai nghĩ các lỗ hổng phần mềm hay những kẽ hở zero-day rồi sẽ biến mất. Thị trường đen đã hình thành cho việc mua bán dữ liệu đánh cắp và bọn tội phạm sẽ tiếp tục tìm cách thu lợi nhuận từ malware.

Dù vậy, David Perry, giám đốc giáo dục toàn cầu của Trend Micro, vẫn lạc quan về một môi trường Internet an toàn trong tương lai, nhưng không phải trong năm nay!

CHỐNG ĐỠ ZERO-DAY TRONG HĐH MỚI CỦA MICROSOFT

Những tính năng bảo mật mới trong Windows Vista có khả năng chống đỡ kiểu tấn công zero-day tốt hơn bạn nghĩ.

Tính năng mới quan trọng là User Account Control, tính năng này thay đổi các quyền của tài khoản người dùng trong Vista. Do nhiều tác vụ hệ thống thông thường yêu cầu quyền quản trị nên để tiện lợi hầu hết người dùng gia đình đều chạy Windows XP với quyền này. Việc này có thể bị tin tặc lợi dụng để chỉnh sửa hệ thống hay cài đặt malware.

Ngược lại, tài khoản người dùng Vista mặc định nằm ở khoảng giữa tài khoản quản trị toàn quyền và tài khoản khách bị kiểm soát chặt chẽ. Microsoft cố gắng để thay đổi này dễ được chấp nhận hơn bằng cách

cấp quyền cho những người có tài khoản thường thực hiện một số tác vụ hệ thống thông thường như cài đặt trình điều khiển máy in, nhưng người dùng cấp cao hơn (Power) than phiền về việc phải nhấn qua quá nhiều hộp thoại yêu cầu mật khẩu quản trị của User Account Control.

Tương tự, IE mặc định chạy trong chế độ bảo vệ với khả năng tối thiểu. Thiết lập này hạn chế sự phá hoại của việc khai thác zero-day thông qua IE (như khai thác WMF hay VML) có thể trút lên PC của bạn.

Cuối cùng, Vista có kèm Windows Defender, công cụ này có thể ngăn chặn malware thực hiện hành vi nguy hiểm (ví dụ thêm chương trình phá hoại vào folder Startup để khởi chạy cùng với Windows), phòng chống spyware cơ bản. HĐH này cũng xáo trộn các vị trí nạp trong bộ nhớ của các thư viện và chương trình để gây khó khăn cho malware tấn công những tiến trình quan trọng của hệ thống.

Nguyễn Lê
PC World Mỹ

FPT Aptech – Hệ Thống Đào Tạo Lập Trình Viên Quốc Tế

FPT Aptech trực thuộc Tổ chức Giáo dục FPT có hơn 25 năm kinh nghiệm đào tạo lập trình viên quốc tế tại Việt Nam, và luôn là sự lựa chọn ưu tiên của các sinh viên và nhà tuyển dụng.
0981578920
icons8-exercise-96