Sự chậm trễ này gây ra rất nhiều thiệt hại.
Mời độc giả cùng tìm hiểu tình tiết xung quanh vụ xử lý lỗ hổng bảo mật mang tên CVE-2017-0199 để hiểu tại sao chúng ta luôn gặp khó trong việc bảo vệ máy tính trước hacker, kể cả những hacker với trình độ trung bình.
Lỗ hổng bảo mật trên Word không thuộc dạng quá nguy hiểm nhưng nó phổ biến. Nó xuất hiện trong một phần mềm của ông lớn như Microsoft và cho phép hacker chiếm quyền kiểm soát máy tính của nạn nhân mà không để lại nhiều dấu vết. Bản cập nhật ngày 11/4 của Microsoft đã vá lỗ hổng này.
Nhưng trước khi lỗ hổng được vá, một hành trình gian khó đã diễn ra. Mất tới 9 tháng từ lúc khám phá ra lỗ hổng tới lúc nó được vá. Theo các chuyên gia bảo mật, đây là một khoảng thời gian dài bất thường.
Ví dụ, các chuyên gia bảo mật của Google chỉ cho các nhà cung cấp phần mềm 90 ngày khắc phục trước khi công khai những lỗ hổng bảo mật mà họ khám phá ra. Phía Microsoft từ chối cung cấp thời gian cụ thể mà họ cần để khắc phục một lỗ hổng bảo mật.
Trong khi Microsoft đang tiến hành điều tra thì các hacker đã tìm ra và dùng lỗ hổng bảo mật này tấn công và theo dõi các quan chức Nga. Một nhóm tội phạm khác cũng sử dụng lỗ hổng nói trên để đánh cắp tiền từ hàng triệu tài khoản ngân hàng ở Úc và những quốc gia khác.
Những kết luận nói trên và những chi tiết khác đã được chia sẻ trong một cuộc phỏng vấn với các nhà nghiên cứu tại những hãng an ninh mạng, những người đã theo dõi sát sao vụ việc và phân tích các phiên bản code của những cuộc tấn công.
Phía Microsoft xác nhận rằng sự việc diễn ra đúng như trình tự kể trên.
Câu chuyện này bắt đầu hồi tháng Bảy năm ngoái khi Ryan Hanson, một sinh viên tốt nghiệp Đại học Bang Idaho vào năm 2010 và cố vấn tại công ty bảo mật Optiv ở Boise, đã tìm ra một điểm yếu trong cách Microsoft Word xử lý tài liệu từ định dạng khác. Điểm yếu này cho phép Hanson chèn một liên kết tới phần mềm độc hại, thứ giúp anh ta chiếm quyền điều khiển của một chiếc máy tính.
Kết hợp những lỗ hổng
Hanson đã dành vài tháng để kết hợp điều mà anh phát hiện ra với những lỗ hổng khác để khiến nó nguy hiểm hơn nữa. Hồi tháng 10 năm ngoái, anh gửi thông tin về lỗ hổng cho Microsoft. Cũng như các hãng công nghệ khác, Microsoft thường thưởng một khoản khiêm tốn cho những ai phát hiện ra lỗ hổng trong các phần mềm, dịch vụ của họ.
Ngay sau đó, khoảng 6 tháng trước, Microsoft thừa nhận rằng đã có thể khắc phục vấn đề. Nhưng mọi chuyện không đơn giản như vậy. Một thay đổi nhanh gọn trong phần cài đặt trên Word được thực hiện bởi khách hàng có thể khắc phục vấn đề nhưng nếu Microsoft thông báo cho khách hàng về lỗ hổng và cách khắc phục thì hacker cũng sẽ nắm được cách khai thác lỗ hổng.
Ngoài ra, Microsoft có thể tung ra bản vá cho lỗ hổng này như một phần trong bản cập nhận phần mềm hàng tháng của mình. Nhưng họ đã không làm vậy mà thay vào đó tiếp tục điều tra sâu hơn vào vấn đề. Họ chưa thấy bất cứ ai thử phương pháp xâm nhập của Hanson và muốn chắc chắn rằng sẽ có một giải pháp toàn diện cho vấn đề này.
"Chúng tôi đã thực hiện một cuộc điều tra để xác định xem có phương pháp xâm nhập tương tự nào khác hay không và để đảm bảo rằng giải pháp của chúng tôi khắc phục hoàn toàn vấn đề đã được báo cáo và cả những vấn đề khác", phát ngôn viên của Microsoft trả lời qua email nhưng đề nghị được giấu tên. "Đây là một cuộc điều tra phức tạp".
Hanson từ chối trả lời phỏng vấn.
Vụ lộn xộn xung quanh lỗ hổng bảo mật Word này cho thấy tiến bộ của Microsoft cũng như toàn bộ ngành công nghiệp phần mềm nói chung về các vấn đề bảo mật vẫn chưa đồng đều. Trong khi đó, tội phạm mạng đang ngày càng phát triển mạnh mẽ.
Các cuộc tấn công bắt đầu xuất hiện
Chưa rõ các hacker làm thế nào để tìm ra lỗ hổng mà Hanson phát hiện trước đó. Có thể chúng tự khám phá ra hoặc quá trình vá lỗ hổng của Microsoft bị rò rỉ thông tin, thậm chí Optiv và Microsoft có thể đã bị hack.
Hồi tháng 1/2017, khi Microsoft đang tìm giải pháp, hacker đã bắt đầu các cuộc tấn công dựa trên lỗ hổng này.
Các nạn nhân đầu tiên đã nhận được những email đánh lừa họ nhấp vào tài liệu tiếng Nga về các vấn đề quân sự ở Nga... Sau đó, máy tính của họ đã bị cài phần mềm nghe lén từ Gamma Group, một công ty chuyên bán phần mềm gián điệp cho các cơ quan chính phủ.
Các chuyên gia bảo mật cho rằng một trong số khách hàng của Gamma Group đã cố gắng lợi dụng lỗ hổng bảo mật này để xâm nhập vào máy tính của binh lính hoặc nhân vật chính trị ở Ukraina hoặc Nga.
Những cuộc tấn công ban đầu được thực hiện ở quy mô nhỏ, nhắm vào số ít mục tiêu nên chưa bị phát hiện. Nhưng tới tháng Ba, các nhà nghiên cứu của FireEye phát hiện ra rằng phần mềm hack tài chính mang tên Latenbot đang được phát tán cũng tận dụng lỗ hổng bảo mật kể trên của Microsoft.
FireEye điều tra thêm và phát hiện ra những cuộc tấn công ban đầu bằng tài liệu tiếng Nga kể trên. Ngay lập tức, FireEye báo cáo vấn đề cho Microsoft. Gã khổng lồ phần mềm xác nhận rằng lần đầu họ nhận được cảnh báo về các cuộc tấn công vào tháng Ba và lên kế hoạch tung ra bản vá vào ngày 11/4.
Nhưng rồi mọi thứ bỗng dưng đi theo chiều hướng xấu khi McAfee, một hãng an ninh mạng khác, đã phát hiện ra thêm một vụ tấn công sử dụng lỗ hổng bảo mật của Microsoft vào ngày 6/4. Sau quá trình "nghiên cứu nhanh nhưng sâu", McAfee xác định rằng lỗ hổng vẫn chưa được vá. McAfee đã thông báo cho Microsoft và nhanh nhảu công khai báo cáo của mình về vấn đề này trên blog của công ty vào ngày 7/4.
"Nhiệt tình cộng với sự thiếu hiểu biết đồng nghĩa với phá hoại", báo cáo của McAfee có đủ chi tiết để các hacker có thể tiến hành khai thác lỗ hổng. Các chuyên gia bảo mật và phần mềm đã tỏ vẻ kinh ngạc khi thấy McAfee công khai quá sớm về lỗ hổng trước khi nó được vá, không chờ đợi như Optiv và FireEye.
Phó chủ tịch McAfee, ông Vincent Weafer, cho rằng sai sót về thời gian công khai lỗ hổng này xuất phát từ việc "liên lạc giữa McAfee và Microsoft đã bị gián đoạn".
Theo nhà nghiên cứu John Hultquist của hãng FireEye, một phần mềm khai thác lỗ hổng kể trên đã được rao bán trên thị trường chợ đen dành riêng cho tội phạm mạng ngay trong ngày 9/4.
Ngày hôm sau, 10/4, hàng loạt vụ tấn công đã diễn ra trên khắp thế giới. Một tội phạm mạng đã gửi email lừa đảo đính kèm tài liệu chứa phần mềm hack tài khoản ngân hàng Dridex tới hàng triệu máy tính tại Úc.
Cuối cùng, ngày thứ Ba, 11/4, khoảng sáu tháng sau khi nắm được vấn đề từ phía Hanson, Microsoft đã tung ra bản vá lỗi. Như mọi khi, vẫn có một số người dùng bị bỏ lại, chưa cài đặt bản vá.
Theo Michael Gorelick, phó giám đốc hãng bảo mật Morphisec, sau khi bản vá được tung ra, nhân viên tại Đại học Ben-Gurion ở Israel vẫn bị hacker tấn công. Máy tính của các nạn nhân bị hacker kiểm soát và chúng đã dùng chính tài khoản của nạn nhân để tiếp tục gửi email lừa đảo kèm phần mềm độc hại tới các công ty công nghệ và chuyên gia y tế.
Theo Marten Mickos, CEO của Hacker One, 6 tháng để vá một lỗ hổng là quá lâu nhưng không phải là trường hợp chưa từng xảy ra. Trong quá trình vá lỗ hổng cần có sự hợp tác giữa các nhà nghiên cứu và nhà cung cấp phần mềm.
"Thông thường cần vài tuần để giải quyết một lỗ hổng phần mềm", Mickos nói.
Một phát ngôn của Optiv chia sẻ rằng thông thường họ cho các hãng cung cấp phần mềm 45 ngày để vá lỗ hổng trước khi công khai báo cáo về những gì họ phát hiện ra vào một thời điểm thích hợp. Trong trường hợp này, Optiv xử lý rất tốt, không công khai về lỗ hổng khi Microsoft chưa có giải pháp khắc phục.
Hiện tại, Optiv đang tiến hành so sánh chi tiết những gì Hanson báo cáo cho Microsoft với những gì gián điệp và hacker sử dụng để thực hiện các cuộc tấn công. Họ muốn tìm hiểu xem báo cáo của các nhà nghiên cứu có vô tình tạo ra hàng loạt vụ tấn công trên toàn cầu hay không.
Quá trình vá lỗ hổng tốn rất nhiều thời gian và công sức nhưng những kẻ khai thác lỗ hổng thì lại hành động cực kỳ nhanh chóng.
Hiện vẫn chưa rõ có bao nhiêu người bị ảnh hưởng bởi lỗ hổng này và bao nhiêu tiền đã bị hacker đánh cắp.
Theo GenK