Hacker khai thác lỗ hổng bảo mật nguy hiểm trên Microsoft Word như thế nào?

Bảo vệ máy tính khỏi hacker, nhất là những hacker có chuyên môn giỏi, là một công việc khó khăn. Và lấy ra một ví dụ cho nhận định này là điều rất dễ dàng. Chúng ta có thể nói đến CVE-2017-0199, tên chính thức của một lỗi bảo mật nằm trong phần mềm của Microsoft.

Sự nguy hiểm của CVE-2017-0199 nằm ở chỗ, nó cho phép hacker chiếm quyền điều khiển máy tính người dùng mà không để lại quá nhiều dấu vết. Lỗi đã được vá lại hôm 11/4 vừa qua thông qua bản update bảo mật hàng tháng của Microsoft. Tuy nhiên, điều đáng nói ở đây là kể từ khi CVE-2017-0199 được phát hiện cho đến khi có bản vá, đó là một quá trình dài tới 9 tháng. Theo các chuyên gia bảo mật, đó là một khoảng thời gian quá dài "bất thường".

Với các chuyên gia bảo mật của Google, khi phát hiện ra một lỗi bảo mật trên một sản phẩm, dịch vụ nào đó, họ sẽ thông báo cho nhà sản xuất biết đồng thời đưa ra thời hạn 90 ngày để nhà sản xuất này vá lại. Quá thời gian trên, Google sẽ cho công bố công khai lỗ hổng. Microsoft, trong khi đó, không tiết lộ hãng thường mất bao lâu để khắc phục một sự cố bảo mật kể từ khi biết về sự tồn tại của nó.

Trong thời gian hãng phần mềm Mỹ tiến hành điều tra, hacker đã tìm ra lỗi và điều khiển phần mềm để theo dõi các diễn giả người Nga. Một nhóm hacker khác thì khai thác lỗ hổng để tìm cách ăn cắp tiền của hàng triệu tài khoản ngân hàng online ở Úc và các quốc gia khác. Đây là thông tin được tiết lộ thông qua các cuộc phỏng vấn với chuyên gia của nhiều hãng bảo mật, những người đã theo dõi và phân tích các phiên bản khác nhau của mã tấn công.

Microsoft cũng lên tiếng xác nhận các chuỗi sự kiện này.

Câu chuyện bắt đầu hồi tháng 7 năm ngoái, khi Ryan Hanson, cựu sinh viên trường Idaho State và là cố vấn của hãng bảo mật Optiv Inc ở Boise , phát hiện ra một điểm yếu trong cách phần mềm Microsoft Word xử lý các tài liệu có định dạng (format) khác. Điểm yếu này cho phép anh chèn một đường link đến một chương trình độc hại từ đó giúp anh chiếm quyền điều khiển máy tính.

Hàng loạt lỗ hổng

Hanson dành ra tới vài tháng để kết hợp phát hiện của mình với các lỗ hổng khác để có một cái nhìn toàn cảnh hơn về vấn đề. Đến tháng 10, anh báo cáo phát hiện của mình cho Microsoft biết. Thông thường, hãng sẽ thưởng cho người báo cáo lỗ hổng một số tiền khoảng vài ngàn USD. Đồng thời, trên thực tế Microsoft có thể sớm sửa được lỗi mà Hanson báo cáo cho họ. Chỉ cần người dùng thực hiện một thay đổi trong phần cài đặt (Settings) của Word là mọi chuyện được giải quyết. Tuy nhiên, mọi việc không đơn giản như vậy. Nếu Microsoft thông báo cho người dùng biết về lỗi đó và hướng dẫn họ cách thay đổi cài đặt, thì đồng nghĩa với việc hacker cũng biết về lỗ hổng để chúng lợi dụng.

Một phương án thay thế là Microsoft sẽ tạo ra một bản vá (patch) và nó sẽ được phân phối như một phần của bản update phần mềm hàng tháng. Tuy nhiên, công ty không làm điều đó mà tìm hiểu sâu hơn về lỗi bảo mật của mình. Hãng không rõ liệu đã có hacker nào tấn công người dùng theo cách mà Hanson đã chỉ ra hay không, và Microsoft muốn có một giải pháp toàn diện hơn.

"Chúng tôi tiến hành một cuộc điều tra để xác định các cách thức (tấn công) tương tự đang tiềm ẩn khác, và để đảm bảo rằng bản vá của mình sẽ sửa thêm các lỗi khác ngoài lỗi được báo cáo. Đây là một cuộc điều tra phức tạp" - người đại diện hãng phần mềm cho biết.

Hanson hiện không đưa ra bình luận gì về các thông tin trên.

Câu chuyện trên cho thấy, cách thức xử lý các vấn đề về bảo mật của Microsoft nói riêng, của cả ngành công nghiệp phần mềm nói chung, đã không còn phù hợp trong bối cảnh các vấn đề về bảo mật đang ngày càng nghiêm trọng. Mỹ tố cáo Nga đã thuê hacker tấn công vào hệ thống email của đảng Dân chủ Mỹ nhằm mục đích thay đổi kết quả cuộc bầu cử Tổng thống Mỹ năm 2016 (Nga phủ nhận cáo buộc này); trong khi các nhóm hacker nặc danh chống lại chính phủ Mỹ thì cho công khai các công cụ hack được tình báo Mỹ CIA sử dụng.