Lỗi tải Windows DLL bị khai thác rộng rãi

Chưa đầy 24 giờ sau khi Microsoft tuyên bố không thể vá Windows để sửa lỗi hệ thống, tấn công mã chạy hôm qua đã xuất hiện.

Cũng trong hôm qua, ngày 24/8, một công ty bảo mật đang nghiên cứu vấn đề này trong chín tháng qua cho biết 41 chương trình của Microsoft có thể bị khai thác từ xa bằng việc sử dụng file tải DLL bị chiếm đoạt và đã nêu tên hai chương trình trong số đó.

Theo Computerworld, hôm thứ Hai, Microsoft đã xác nhận các báo cáo về các lỗ hổng chưa vá - còn gọi là lỗ hổng zero day trong một loạt các chương trình Windows – và ngay sau đó đã công khai một công cụ mà hãng nói là sẽ chặn các cuộc tấn công được biết đến. Đồng thời, Microsoft nói họ sẽ không vá Windows bởi làm như vậy sẽ làm tê liệt các ứng dụng đang tồn tại.

Microsoft cũng từ chối nói liệu có chương trình nào của họ có chứa lỗi mà những kẻ tấn công có thể khai thác không mà chỉ nói họ đang điều tra vấn đề này.

Rất nhiều chương trình ứng dụng Windows không gọi các thư viện mã – còn có tên là “thư viện liên kết động” ("dynamic-link library") hay "DLL" – bằng cách sử dụng đường dẫn tên đầy đủ. Thay vào đó, nó chỉ sử dụng tên file, tạo cho tin tặc khoảng trống qua lại để từ đó chúng có thể khai thác bằng cách lừa ứng dụng tải về file độc hại có cùng tên như một DLL cần thiết.

Nếu tin tặc có thể lừa người dùng vào các trang Web mã độc hoặc chia sẻ từ xa hoặc lừa họ cắm vào một ổ USB – và trong một số trường hợp lừa họ mở một tệp tin – chúng có thể chiếm đoạt PC và cấy mã độc vào trong máy.

Vào hôm qua, ít nhất bốn vụ khai thác cái mà một số chuyên gia gọi là các vụ tấn công “cấy nhị phân”, hoặc tấn công “chiếm đoạt file tải DLL” (DLL load hijacking) đã được công bố trên một website tin tặc nổi tiếng. Hai vụ khai thác nhắm vào phần mềm của Microsoft gồm PowerPoint 2010, chương trình làm file thuyết trình trong Office 2010, và Windows Live Mail, một chương trình e-mail khách hàng miễn phí kèm với hệ điều hành Vista nhưng có sẵn cho khách hàng Windows 7 tải về miễn phí.

Các vụ khai thác khác nhắm vào các lỗi chiếm đoạt file tải DLL trong uTorrent và Wireshark, tương ứng với khách hàng BitTorrent và nhà phân tích giao thức mạng.

Đồng thời, công ty bảo mật Acros của Slovenia tuyên bố họ đã thông báo lỗi trong hai chương trình của Microsoft cuối tháng Ba.

“Chúng tôi sẽ sớm công bố danh sách các ứng dụng có thể tổn thương chúng tôi đã phát hiện ra”, ông Mitja Kolsek, CEO công ty Acros Security nói. "Tuy nhiên, bởi toolkit của ông HD Moore đang được sử dụng để tìm các ứng dụng dễ bị tổn thương rồi và vào lúc này có hàng trăm người tốt, kẻ xấu đã biết về nó, tôi có thể nói rằng hai chương trình chúng tôi đã tiết lộ hoàn toàn với Microsoft là Windows Address Book/Windows Contacts và Windows Program Manager Group Converter”.

HD Moore là nhà nghiên cứu bảo mật Mỹ. Ông là người khởi xướng công bố các báo cáo về DLL load hijacking tuần trước với phát hiện 40 ứng dụng Windows dễ bị tổn thương. Hôm thứ Hai tuần này, ông Moore đã công bố một công cụ kiểm tra mà những người khác có thể sử dụng để dò phần mềm dễ bị tổn thương.

Mặc dù Windows Address Book – đã được đổi tên là Windows Contacts cùng thời điểm ra mắt Vista năm 2007 – quen thuộc với người dùng, nhưng chương trình Program Manager Group Converter có thể còn xa lạ. Ông Kolsek cho rằng cả hai đều có thể bị khai thác.

"Chúng là một phần của mỗi cài đặt Windows và được đi kèm với các mở rộng file nhất định, cho phép các cuộc tấn công từ xa 'double-click-bang'”, ông Kolsek nói. “Để tăng khả năng thành công, tin tặc có thể tạo shortcut với biểu tượng file PDF hoặc Word trỏ tới các file như vậy”.

Acros đã phát hiện 121 lỗ hổng chạy từ xa trong 41 ứng dụng khác nhau của Microsoft nhưng chỉ thông báo chi tiết về Address Book/Contacts và Program Manager Group Converter. Ông Kolsek nói phần còn lại để các nhà nghiên cứu của Microsoft tìm ra.

Như một số công ty khác, Acros đã quyết định họ sẽ không thông báo phát hiện lỗ hổng không công cho nhà cung cấp nữa. “Chúng tôi đã cung cấp miễn phí mười năm nay rồi và nó chẳng làm được gì cho chúng tôi”, ông Kolsek nói.

Trong một bài đăng trên blog của công ty, ông Kolsek nói thêm rằng chẳng có thù oán gì giữa công ty ông và Microsoft khiến công ty từ chối nhận diện 199 lỗi còn lại. “Đó chỉ là quyền lợi kinh doanh không tương thích thôi”, ông nói.

Gerald Combs, người đứng đầu Wireshark hôm nay nói bản vá cho lỗi DLL load hijacking sẽ được công bố trong vài ngày tới. Cả Microsoft và BitTorrent, công ty chịu trách nhiệm về uTorrent, không bình luận gì về vấn đề này

goonline