English
日本語
한국어
简体中文Một lỗ hổng trong Windows, xuất hiện từ tám năm trước, được báo cáo là đang bị khai thác tích cực cho mục đích gián điệp, nhưng Microsoft không có kế hoạch phát hành bản sửa lỗi. Lỗ hổng zero-day này, được phát hiện bởi Trend Micro, liên quan đến các tệp .LNK độc hại được sử dụng để triển khai phần mềm độc hại.
Khai thác Shortcut: Một cuộc tấn công đơn giản nhưng hiệu quả
Cuộc tấn công sử dụng các tệp shortcut có vẻ vô hại nhưng khi được nhấp vào sẽ thực hiện các lệnh ẩn để tải xuống và chạy phần mềm độc hại. Các tệp .LNK này xuất hiện như liên kết đến các tệp hợp pháp nhưng lại chứa các hướng dẫn nhúng cho các hoạt động độc hại.
Theo Sáng kiến Zero Day (ZDI), những kẻ tấn công, bao gồm cả những kẻ được Bắc Triều Tiên hậu thuẫn, đã sử dụng khoảng trắng trong các đối số dòng lệnh để che giấu các lệnh độc hại khỏi người dùng. Điều này khiến việc phát hiện bản chất thật sự của shortcut trở nên khó khăn.
Phản hồi của Microsoft: “Không phải là vấn đề bảo mật”
Trend Micro đã báo cáo vấn đề này với Microsoft vào tháng 9 năm ngoái, ước tính rằng lỗ hổng đã được sử dụng từ năm 2017. Mặc dù đã phát hiện gần 1.000 tệp .LNK bị xâm phạm, Microsoft coi đây là vấn đề giao diện người dùng chứ không phải là lỗ hổng bảo mật.
“Chúng tôi đã thông báo với Microsoft nhưng họ coi đó là vấn đề giao diện người dùng, không phải là vấn đề bảo mật,” Dustin Childs từ ZDI giải thích. “Vì vậy, nó không đáp ứng tiêu chuẩn của họ để xử lý như một bản cập nhật bảo mật.”
Gián điệp và đánh cắp thông tin
Phân tích các tệp .LNK độc hại cho thấy rằng các cuộc tấn công do nhà nước bảo trợ chiếm khoảng 70%, chủ yếu nhắm vào gián điệp và đánh cắp thông tin. Bắc Triều Tiên chiếm 46% các cuộc tấn công được nhà nước bảo trợ, trong khi Nga, Iran và Trung Quốc mỗi nước đóng góp khoảng 18%.
Các mục tiêu chính bao gồm các cơ quan chính phủ, tiếp theo là khu vực tư nhân, các tổ chức tài chính, các viện nghiên cứu và các công ty viễn thông.
Tại sao không có bản vá?
Trend Micro đã quyết định công khai tiết lộ lỗ hổng sau khi Microsoft từ chối coi đó là rủi ro bảo mật. Họ cho rằng việc thực thi mã độc thông qua tệp .LNK là một vấn đề bảo mật, đặc biệt khi kết hợp với các lỗ hổng leo thế đặc quyền.
“Chúng tôi coi đó là vấn đề bảo mật. Một lần nữa, không phải là vấn đề bảo mật nghiêm trọng, nhưng chắc chắn đáng để xử lý thông qua một bản cập nhật bảo mật,” Childs tuyên bố.
Tuy nhiên, Microsoft vẫn giữ nguyên quan điểm, cho rằng vấn đề này không đáp ứng tiêu chuẩn để xử lý ngay lập tức nhưng sẽ được xem xét trong bản phát hành tính năng tương lai. Một phát ngôn viên khuyên người dùng nên thận trọng khi tải xuống các tệp từ các nguồn không xác định.
Nguồn: The Register