Lỗi "mở rộng cửa và có thể được khai thác xuyên qua tường lửa - Roger Thompson, giám đốc  bộ phận nghiên cứu  bảo mật  thuộc Hãng phần mềm bảo mật  AVG Technologies USA  Inc, nhận định về mức độ nguy hiểm của lỗi trong trình điều khiển ActiveX - Lỗi có thể bị khai thác ở mức độ nguy hiểm hơn cả đợt tấn công  do sâu Conficker gây ra vừa qua". (Tham khảo Công cụ tiêu diệt biến thể sâu Conficker miễn phí).

Mối lo ngại của Thompson từ một lỗi nằm trong Microsoft Video  Controller ActiveX  Library (tập tin thư viện động "msvidctl.dll"), một trình điều khiển ActiveX  có thể được truy xuất qua trình duyệt  Internet Explorer  6 và 7 trên hệ điều hành  Windows XP  và Windows  Server  2003. Microsoft  định danh lỗi với tên gọi "Active Kill Bits" (973346).

Lỗi "ActiveX Kill Bits" chỉ ảnh hưởng đến máy tính  sử dụng phiên bản  HĐH Windows  XP cùng trình duyệt  IE6 và IE7.

Người dùng sử dụng phiên bản  trình duyệt  IE8 hay các trình duyệt  khác như Mozilla  FireFox, Opera, Apple  Safari  hoặc Google  Chrome không bị ảnh hưởng bởi lỗi này.

Tin tặc sẽ khai thác lỗi để điều hướng người dùng  đến một website  chứa mã độc. Khi nạn nhân  xem trang web  đã bị hack  và chứa mã khai thác lỗi bằng trình duyệt  Internet Explorer  (phiên bản IE6 và IE7), mã độc sẽ được thực thi.

Khi đã xâm nhập máy tính nạn nhân, tin tặc  sẽ chiếm được những quyền hạn như một tài khoản đã đăng nhập hợp pháp. Hơn nữa, tin tặc  còn có thể dẫn dụ tải về và thực thi một bộ công cụ tấn công  (hacker tool kit) mở đường cho hàng loạt hoạt động về sau của tin tặc  trên máy tính  nạn nhân.

Nhận định lỗi ActiveX  lần này nguy hại hơn cả lỗi mà sâu Conficker khai thác là chính xác. Lý do  chính là lỗi mà sâu Conficker khai thác đã được Microsoft  phát hành bản vá, còn lỗi ActiveX vẫn còn bỏ ngỏ. Tin tặc  sẽ rất "hân hoan" khai thác nên việc tạo thành làn sóng tấn công khai thác vào lỗi ActiveX  này là điều chắc chắn sẽ xảy ra và nhiều dự đoán cho rằng một biến thể Conficker 2 sẽ ra đời nhằm khai thác lỗi  trên.

Nở rộ tấn công  khai thác lỗi

Ngày 6-7, chỉ vài giờ sau khi các hãng bảo mật  cảnh báo về tình trạng hàng ngàn website  bị tấn công  khai thác lỗi, trong đó có cả các công ty bảo mật từ Trung Quốc  và Đan Mạch, Hãng Microsoft thừa nhận về lỗi trong trình điều khiển ActiveX  này có thể được truy xuất qua trình duyệt  Internet Explorer  phiên bản  6 và 7. Lỗi đã được tin tặc  sử dụng ít nhất từ ngày 9-6 nhưng cho đến tuần đầu tiên của tháng 7 thì mới được công bố rộng rãi trên Internet.

Hãng bảo mật  F-Secuređã lên tiếng cảnh báo về công cụ tấn công  tự động khai thác lỗi  ActiveXvà cả lỗi cũ từ trình Adobe  Flash Player  được sử dụng trong FireFox 3.5 đã bắt đầu phổ biến trên Internet.

Sự tắc trách của Microsoft

Theo ComputerWorld.com cho hay, lỗi nguy hiểm trên đã được các thành viên  thuộc nhóm nghiên cứu  nguy cơ bảo mật  X-Forcecủa IBM (Ryan Smith và Alex  Wheeler) cảnh báo đến Microsoft  vào năm2008 sau khi nhóm phát hiện lỗi vào cuối năm 2007. Tuy nhiên, Microsoftvẫn không quan tâm  nhiều đến lỗi này và cho đến khi thấy được "hậu quảnhãn tiền" hàng ngàn website  bị tấn công  thì mới tiến hành vá lỗi vàongày 14-7-2009.

"Khi được cảnh báo vào năm 2008, ngay lập tức chúngtôi đã bắt đầu tập trung nghiên cứu  và để việc khắc phục  hoàn thành chuđáo, cần có thêm nhiều thời gian  để đánh giá  đầy đủ", người phát ngôncủa Microsoft  "lấp liếm" sau khi hãng này bị các cơ quan thông tấn  quốctế yêu cầu giải đáp về trách nhiệm khắc phục  lỗi khi được X-Force thôngbáo vào năm 2008. Ngoài ra, Microsoft  cũng không giải thích lý do  vìsao lỗi không được khắc phục  sớm hơn.

Cập nhật ngay công cụ vá lỗi

Người dùng có thể sử dụng công cụ quét lỗi bảo mật  Microsoft Baseline Security Analyzer để dò tìm các bản vá chưa được cài đặt trên hệ thống  cũng như các thiết lập bảo mật  cần thiết.

Với lỗi "ActiveX Kill Bits", người dùng  đang sử dụnghệ điều hành Windows  cần cập nhật ngay bản vá được Microsoft  phát hànhtạm thời vào ngày 14-7: Windows XP, Windows XP 64-bit SP2, Windows Server  2003 SP2, Windows Server  2003 x64 Edition SP2, Windows Vista (SP1, SP2), Windows Vista 64-bit (SP1, SP2), Windows Server  2008 (SP2), Windows Server  2008 64-bit (SP2). Các phiên bản  HĐH Windows  khác có thể tải bản cập nhật tại đây.

Bản vá này thực chất là công cụ thiết lập tự động cho"trái tim của hệ thống" Windows  Registry vì khi thực hiện thủ công,người dùng rất dễ mắc phải những sai sót trong thiết lập registry dẫnđến việc cài đặt lại cả hệ điều hành. Bản vá sẽ thực hiện cập nhật bộ45 "kill bits" trong Windows  Registry nhằm khóa trình điều khiểnActiveX.

Một số website  nên tham khảo về lỗi "ActiveX Kill Bits"

- Phần tham khảo của Microsoft  dành cho người dùng  phổ thông (tại đây)
- Phần tham khảo dành cho chuyên viên kỹ thuật: Microsoft Security Bulletin MS09-032 - Cumulative Security Update  of ActiveX  Kill Bits (973346)
- Bảng báo cáo về tình hình bảo mật  cho các sản phẩm trong tháng 7-2009 từ Microsoft  (tại đây)

Bạn có ý kiến gì về bài viết Nở rộ tấn công khai thác lỗi này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Nở rộ tấn công khai thác lỗi bạn tại đây.