Tin tặc lợi dụng lỗ hổng bảo mật Windows chưa được vá để xâm nhập các tổ chức

Tin tặc lợi dụng các lỗ hổng bảo mật Windows chưa được vá để tấn công các tổ chức

Theo một công ty an ninh mạng, tin tặc đã xâm nhập vào ít nhất một tổ chức bằng cách sử dụng các lỗ hổng Windows được một nhà nghiên cứu bảo mật bất mãn công bố trực tuyến trong hai tuần qua. Hôm thứ Sáu, công ty an ninh mạng Huntress cho biết trong một loạt bài đăng trên X rằng các nhà nghiên cứu của họ đã chứng kiến tin tặc khai thác ba lỗ hổng bảo mật Windows, được đặt tên là BlueHammer, UnDefend và RedSun. Hiện chưa rõ mục tiêu của cuộc tấn công này là ai và tin tặc là ai. BlueHammer là lỗi duy nhất trong số ba lỗ hổng đang bị khai thác mà Microsoft đã vá cho đến nay. Bản sửa lỗi cho BlueHammer đã được tung ra vào đầu tuần này. Có vẻ như tin tặc đang khai thác các lỗi bằng cách sử dụng mã khai thác mà nhà nghiên cứu bảo mật đã công bố trực tuyến.

Đầu tháng này, một nhà nghiên cứu có biệt danh Chaotic Eclipse đã đăng trên blog của mình những gì họ nói là mã để khai thác một lỗ hổng chưa được vá trong Windows. Nhà nghiên cứu ám chỉ một số xung đột với Microsoft là động lực đằng sau việc công bố mã. “Tôi không hề hăm dọa Microsoft và tôi đang làm lại điều đó,” họ viết. “Xin gửi lời cảm ơn sâu sắc đến lãnh đạo MSRC vì đã biến điều này thành hiện thực,” họ nói thêm, đề cập đến Trung tâm Ứng phó Bảo mật của Microsoft, nhóm của công ty chuyên điều tra các cuộc tấn công mạng và xử lý các báo cáo về các lỗ hổng.

Vài ngày sau, Chaotic Eclipse đã công bố UnDefend, và sau đó vào đầu tuần này đã công bố RedSun. Nhà nghiên cứu đã công bố mã để khai thác cả ba lỗ hổng trên trang GitHub của họ. Cả ba lỗ hổng đều ảnh hưởng đến phần mềm diệt virus Windows Defender do Microsoft sản xuất, cho phép tin tặc có được quyền truy cập cấp cao hoặc quản trị viên vào một máy tính Windows bị ảnh hưởng.

TechCunch không thể liên hệ với Chaotic Eclipse để bình luận. Đáp lại một loạt câu hỏi cụ thể, giám đốc truyền thông của Microsoft, Ben Hope, cho biết trong một tuyên bố rằng công ty ủng hộ "tiết lộ lỗ hổng phối hợp, một thông lệ ngành được áp dụng rộng rãi giúp đảm bảo các vấn đề được điều tra và giải quyết cẩn thận trước khi công khai, hỗ trợ cả bảo vệ khách hàng và cộng đồng nghiên cứu bảo mật."

Đây là một trường hợp mà ngành an ninh mạng gọi là "tiết lộ đầy đủ". Khi các nhà nghiên cứu tìm thấy một lỗ hổng, họ có thể báo cáo cho nhà sản xuất phần mềm bị ảnh hưởng để giúp họ sửa nó. Tại thời điểm đó, thường thì công ty thừa nhận đã nhận được báo cáo và nếu lỗ hổng là hợp lệ, công ty sẽ làm việc để vá nó. Thông thường, công ty và các nhà nghiên cứu đồng ý về một mốc thời gian xác định thời điểm nhà nghiên cứu có thể giải thích công khai những phát hiện của họ. Đôi khi, vì nhiều lý do khác nhau, giao tiếp đó bị phá vỡ và các nhà nghiên cứu công khai chi tiết về lỗi. Trong một số trường hợp, một phần để chứng minh sự tồn tại hoặc mức độ nghiêm trọng của một lỗ hổng, các nhà nghiên cứu tiến thêm một bước nữa và công bố mã "chứng minh khái niệm" có khả năng lạm dụng lỗi đó.

Khi điều đó xảy ra, tội phạm mạng, tin tặc chính phủ và những người khác sau đó có thể lấy mã và sử dụng nó cho các cuộc tấn công của họ, điều này khiến những người bảo vệ an ninh mạng phải nhanh chóng đối phó với hậu quả.

“Với việc những thứ này hiện có sẵn một cách dễ dàng và đã được vũ khí hóa để dễ sử dụng, dù tốt hay xấu, tôi nghĩ rằng cuối cùng điều đó sẽ đưa chúng ta vào một trận kéo co khác giữa những người bảo vệ và tội phạm mạng,” John Hammond, một trong những nhà nghiên cứu tại Huntress, người đã theo dõi vụ việc, nói với TechCrunch. “Những kịch bản như thế này khiến chúng ta phải chạy đua với các đối thủ của mình; những người bảo vệ cuống cuồng cố gắng bảo vệ chống lại những kẻ có ý đồ xấu nhanh chóng tận dụng những khai thác này… đặc biệt là bây giờ khi nó chỉ là công cụ tấn công sẵn có,” Hammond nói.

Lorenzo Franceschi-Bicchierai là Nhà văn cao cấp tại TechCrunch, nơi anh đưa tin về hack, an ninh mạng, giám sát và quyền riêng tư. Bạn có thể liên hệ hoặc xác minh thông tin liên lạc từ Lorenzo bằng cách gửi email đến lorenzo@techcrunch.com, qua tin nhắn được mã hóa tại +1 917 257 1382 trên Signal và @lorenzofb trên Keybase/Telegram.