Được thông báo về một lỗi bảo mật trên phần mềm văn phòng Word, Microsoft phải mất tới 6 tháng để tung ra bản vá. Trong thời gian này, hacker đã lợi dụng lỗ hổng để gây ra hàng loạt vụ tấn công trên toàn thế giới.
Sự nguy hiểm của CVE-2017-0199 nằm ở chỗ, nó cho phép hacker chiếm quyền điều khiển máy tính người dùng mà không để lại quá nhiều dấu vết. Lỗi đã được vá lại hôm 11/4 vừa qua thông qua bản update bảo mật hàng tháng của Microsoft. Tuy nhiên, điều đáng nói ở đây là kể từ khi CVE-2017-0199 được phát hiện cho đến khi có bản vá, đó là một quá trình dài tới 9 tháng. Theo các chuyên gia bảo mật, đó là một khoảng thời gian quá dài "bất thường".
Với các chuyên gia bảo mật của Google, khi phát hiện ra một lỗi bảo mật trên một sản phẩm, dịch vụ nào đó, họ sẽ thông báo cho nhà sản xuất biết đồng thời đưa ra thời hạn 90 ngày để nhà sản xuất này vá lại. Quá thời gian trên, Google sẽ cho công bố công khai lỗ hổng. Microsoft, trong khi đó, không tiết lộ hãng thường mất bao lâu để khắc phục một sự cố bảo mật kể từ khi biết về sự tồn tại của nó.
Trong thời gian hãng phần mềm Mỹ tiến hành điều tra, hacker đã tìm ra lỗi và điều khiển phần mềm để theo dõi các diễn giả người Nga. Một nhóm hacker khác thì khai thác lỗ hổng để tìm cách ăn cắp tiền của hàng triệu tài khoản ngân hàng online ở Úc và các quốc gia khác. Đây là thông tin được tiết lộ thông qua các cuộc phỏng vấn với chuyên gia của nhiều hãng bảo mật, những người đã theo dõi và phân tích các phiên bản khác nhau của mã tấn công.
Microsoft cũng lên tiếng xác nhận các chuỗi sự kiện này.
Câu chuyện bắt đầu hồi tháng 7 năm ngoái, khi Ryan Hanson, cựu sinh viên trường Idaho State và là cố vấn của hãng bảo mật Optiv Inc ở Boise (Mỹ), phát hiện ra một điểm yếu trong cách phần mềm Microsoft Word xử lý các tài liệu có định dạng (format) khác. Điểm yếu này cho phép anh chèn một đường link đến một chương trình độc hại từ đó giúp anh chiếm quyền điều khiển máy tính.
Hàng loạt lỗ hổng
Hanson dành ra tới vài tháng để kết hợp phát hiện của mình với các lỗ hổng khác để có một cái nhìn toàn cảnh hơn về vấn đề. Đến tháng 10, anh báo cáo phát hiện của mình cho Microsoft biết. Thông thường, hãng sẽ thưởng cho người báo cáo lỗ hổng một số tiền khoảng vài ngàn USD. Đồng thời, trên thực tế Microsoft có thể sớm sửa được lỗi mà Hanson báo cáo cho họ. Chỉ cần người dùng thực hiện một thay đổi trong phần cài đặt (Settings) của Word là mọi chuyện được giải quyết. Tuy nhiên, mọi việc không đơn giản như vậy. Nếu Microsoft thông báo cho người dùng biết về lỗi đó và hướng dẫn họ cách thay đổi cài đặt, thì đồng nghĩa với việc hacker cũng biết về lỗ hổng để chúng lợi dụng.
Một phương án thay thế là Microsoft sẽ tạo ra một bản vá (patch) và nó sẽ được phân phối như một phần của bản update phần mềm hàng tháng. Tuy nhiên, công ty không làm điều đó mà tìm hiểu sâu hơn về lỗi bảo mật của mình. Hãng không rõ liệu đã có hacker nào tấn công người dùng theo cách mà Hanson đã chỉ ra hay không, và Microsoft muốn có một giải pháp toàn diện hơn.
"Chúng tôi tiến hành một cuộc điều tra để xác định các cách thức (tấn công) tương tự đang tiềm ẩn khác, và để đảm bảo rằng bản vá của mình sẽ sửa thêm các lỗi khác ngoài lỗi được báo cáo. Đây là một cuộc điều tra phức tạp" - người đại diện hãng phần mềm cho biết.
Hanson hiện không đưa ra bình luận gì về các thông tin trên.
Câu chuyện trên cho thấy, cách thức xử lý các vấn đề về bảo mật của Microsoft nói riêng, của cả ngành công nghiệp phần mềm nói chung, đã không còn phù hợp trong bối cảnh các vấn đề về bảo mật đang ngày càng nghiêm trọng. Mỹ tố cáo Nga đã thuê hacker tấn công vào hệ thống email của đảng Dân chủ Mỹ nhằm mục đích thay đổi kết quả cuộc bầu cử Tổng thống Mỹ năm 2016 (Nga phủ nhận cáo buộc này); trong khi các nhóm hacker nặc danh chống lại chính phủ Mỹ thì cho công khai các công cụ hack được tình báo Mỹ CIA sử dụng.
Hiện chưa rõ những hacker ẩn danh đã tìm ra lỗ hổng mà Hanson báo cáo như thế nào. Có thể chúng tìm ra lỗi đồng thời với chuyên gia của Optiv, hay cũng có thể chúng phát hiện ra nó thông qua một chiến dịch tấn công nhắm vào Optiv hay Microsoft.
Vào tháng 1/2017, khi Microsoft đang tích cực xây dựng bản vá, các cuộc tấn công đã bắt đầu xảy ra. Rất nhiều nạn nhân đã bị hacker gửi email mời gọi họ click vào một đường link tới các tài liệu tiếng Nga về các vấn đề quân sự ở quốc gia này - theo tiết lộ của các nhà nghiên cứu bảo mật. Nếu người dùng click, máy tính của họ sẽ bị lây nhiễm một phần mềm nghe trộm do Gamma Group phát triển. Đây là một công ty tư nhân bán phần mềm nghe lén này cho nhiều cơ quan của các chính phủ trên thế giới.
Theo các nhà bảo mật, khả năng cao nhất ở đây là, một trong những khách hàng của Gamma đã tìm cách thâm nhập vào máy tính của binh lính hoặc các nhân vật chính trị ở Ukraine hoặc Nga.
Hacker đã rất cẩn thận, khi với các cuộc tấn công ban đầu, khi chúng chỉ nhắm vào một nhóm nhỏ nạn nhân để ít bị chú ý. Tuy nhiên, vào tháng 3, chuyên gia bảo mật của FireEye phát hiện ra rằng hacker đã lợi dụng lỗ hổng của Word để tìm cách ăn cắp tài khoản ngân hàng bằng một công cụ khét tiếng mang tên Latenbot. FireEye tiến hành điều tra thêm, tìm ra các vụ tấn công bằng tài liệu tiếng Nga mà chúng ta vừa nói tới, rồi thông báo cho Microsoft biết. Hãng phần mềm xác nhận mình là người đầu tiên được khuyến cáo về lỗ hổng, đồng thời hứa hẹn sẽ tung ra bản vá lỗi vào ngày 11/4.
Tuy nhiên, mọi việc vẫn chưa dừng lại. Một hãng bảo mật khác là McAfee cũng phát hiện ra các vụ tấn công bằng cách tận dụng lỗi của Microsoft Word vào ngày 6/4. McAfee nói rằng sau khi thực hiện "một nghiên cứu sâu và nhanh", họ thấy rằng lỗ hổng chưa được vá. Sau đó, hãng bảo mật liên hệ với Microsoft rồi cho đăng tải phát hiện của mình trên blog ngay hôm sau, 7/4.
Bài đăng này có đầy đủ chi tiết để các hacker khác có thể làm theo. Cách hành xử của McAfee đã làm các chuyên gia bảo mật phần mềm khác cảm thấy ngạc nhiên, khi mà hãng này không hề cho thời gian để Microsoft tung ra bản vá như Optiv và FireEye. Vincent Weafer, Phó Chủ tịch của McAfee đã đổ lỗi cho "một trục trặc trong việc liên lạc với Microsoft" để giải thích về việc hãng cho công khai lỗ hổng gần như ngay lập tức nói trên.
Đến 9/4, một chương trình được dùng để khai thác lỗ hổng của Word được rao bán trên chợ đen dành cho các tên tội phạm mạng, theo nhà nghiên cứu John Hultquist của FireEye. Ngày tiếp theo, số vụ tấn công tăng lên nhanh chóng. Một hacker đã gửi đi tài liệu chứa phần mềm ăn cắp tài khoản ngân hàng có tên Dridex, đến hàng triệu người dùng máy tính ở Úc.
Với Microsoft, khoảng 6 tháng kể từ khi được Hanson báo cáo, hãng cuối cùng cũng phát hành bản vá cho người dùng. Tuy nhiên, giống như bất kỳ bản update nào khác, một bộ phận người dùng sẽ không biết đến để cài bản vá, và họ vẫn có nguy cơ trở thành nạn nhân. Trường Ben-Gurion có thể là một ví dụ. Sau khi có bản vá, nhân viên của trường đại học ở Israel này vẫn bị các hacker, được cho là từ Iran, tấn công. Họ bị chiếm quyền điều khiển tài khoản email, và hacker đã dùng các email này để gửi đi các tài liệu độc hại đến đối tác của họ ở các công ty công nghệ và chuyên gia y tế - theo lời Michael Gorelik, Phó Chủ tịch hãng bảo mật Morphisec.
6 tháng trời cho một bản vá lỗi bảo mật là quá dài, nhưng chưa phải chưa có tiền lệ - theo Marten Mickos, CEO của HackerOne, hãng chuyên kết nối nhà sản xuất với giới bảo mật trong việc phân phối bản vá. "Thông thường các bản vá phải được tung ra sau ít tuần" - Mickos nói thêm. Trong khi đó, Optiv nói rằng họ thường đưa ra thời hạn 45 ngày để nhà sản xuất phát hành bản vá, và trong trường hợp của Microsoft họ cũng làm theo thông lệ đó. Optiv hiện đang tiến hành so sánh các thông tin mà Hanson cung cấp cho Microsoft với những gì hacker đã dùng để tấn công trong thực tế. Mục đích là để tìm hiểu xem liệu phát hiện của Hanson có phải là một phần nguyên nhân của các vụ tấn công (diễn ra trong 6 tháng chờ bản vá) hay không. Theo nhà nghiên cứu Hultquist của FireEye, hacker đã tạo ra công cụ hack từ lỗ hổng Word cho một chính phủ nào đó rồi lại bán nó cho một nhóm tội phạm. Trong tuần cuối cùng trước khi bản vá được tung ra, tội phạm mạng có thể đã bán công cụ này cho các nhóm hacker ăn cắp tài khoản ngân hàng, hoặc kẻ làm ra công cụ hack có thể kiếm lời lần thứ ba cho hắn.
Và cho tới nay, hiện chưa rõ có bao nhiêu người bị ảnh hưởng và bao nhiêu tiền bị đánh cắp do lỗi bảo mật trên Microsoft Word gây ra.
Theo ICTNews
Thêm bình luận