Emergency
patch for critical IE 0-day throws lifeline to XP laggards, too
Bản
cập nhật tới khi các cuộc tấn công bùng phát qua trung
gian, nhằm vào XP lần đầu tiên.
Update
comes as in-the-wild attacks get meaner, target XP for first time.
by Dan
Goodin - May 2 2014, 1:22am ICT
Bài được đưa lên
Internet ngày: 02/05/2014
Lời
người dịch: Dù đưa ra bản vá cho cả Windows XP đã hết
hạn sử dụng, thì vẫn có nhiều chỉ trích về việc
này. Bên cạnh đó, còn những nhắc nhở như: “Những
người hiện vẫn còn sử dụng Windows XP nên nhận thức
được rằng sự lựa chọn hệ điều hành của họ là
một sự nguy hiểm cho bản thân họ và những người
khác, và họ nên tiến hành bất kỳ bước nào cần thiết
để chuyển sang một nền tảng an toàn hơn”. Lưu ý:
Việt
Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính,
chiếm 45.65% máy tính cả nước còn chạy Windows XP hết
hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các
dịch vụ công của Việt Nam chỉ chạy được trên trình
duyệt web Microsoft Internet Explorer.
Microsoft đã phát hành
một bản cập nhật khẩn cấp cho tất cả các hệ điều
hành Windows gần đây - bao gồm cả XP
gần đây đã hết hỗ trợ - sửa một lỗi an ninh
sống còn hiện được bị khai thác trong các cuộc tấn
công thế giới thực.
Quyết định vá XP
nhấn mạnh tính nghiêm trọng tiềm tàng của chỗ bị tổn
thương. Vì nó nằm trong các phiên bản từ 6 đến 11 của
Internet Explorer, lỗ hổng chạy được mã từ xa để lại
26% ước tính các trình duyệt Internet có khả năng bị
tấn công mà có thể cài đặt giấu giếm các cửa hậu
mà tin tặc kiểm soát khi những người sử dụng thăm một
website bị đánh bẫy. Bằng một số đo đếm, 28%
công chúng sử dụng web tiếp tục sử dụng hệ điều
hành cũ kỹ này, thiếu những bảo vệ an toàn sống còn
được xây dựng trong Windows 7 và 8.1.
Phiên
bản hôm thứ năm thể hiện sợi dây thẳng như lưỡi
dao cạo mà Microsoft đi khi nó cố cho người sử dụng cai
sữa một nền tảng mà nó thừa nhận không còn an toàn
chống lại các cuộc đột nhập hiện đại nữa. Trong
khi sửa lỗi XP có thể lấy đi vài sự lạc hậu đối
với động lực nâng cấp, thì Microsoft cũng có trách
nhiệm ngăn chặn những khai thác có thể biến số lượng
lớn dân số Internet thành các nền tảng bị tổn thương
mà tấn công những người khác.
Các cuộc tấn công
của “nhiều tác nhân các mối đe dọa mới”
Bản vá của Microsoft
tới khi các cuộc tấn công đang bùng phát khai thác chỗ
bị tổn thương đã
mở rộng để bao gồm những người sử dụng XP đang
chạy IE8, các nhà nghiên cứu từ hãng an ninh FireEye đã
nêu hôm thứ năm.
“Chúng
tôi cũng đã quan sát thấy rằng nhiều tác nhân các mối
đe dọa mới bây giờ đang sử dụng khai thác đó trong
các cuộc tấn công và đã mở rộng ra các nền công
nghiệp mà họ đang ngắm đích”, bài trên blog hôm thứ
năm từ FireEye đã nêu. “Hơn nữa các cuộc tấn công
được quan sát thấy trước đó chống lại các lĩnh vực
phòng thủ và tài chính, các tổ chức trong các khu vực
chính phủ và năng lượng bây giờ cũng đối mặt các
cuộc tấn công”.
Bản vá của Microsoft
sẽ được phân phối tự động cho từng người mà đã
thiết lập cấu hình cho Windows để nhận được các bản
cập nhật tự động. Trong khi có một loạt các thiết
lập mà những người sử dụng có thể làm bằng tay để
ngăn chặn các khai thách thành công trong các hệ thống
không được vá, thì mọi người nên cài đặt bản cập
nhật càng sớm càng tốt. Những người sử dụng nên cân
nhắc mạnh mẽ nâng cấp lên IE 11 và đảm bảo rằng Chế
độ Bảo vệ Tiên tiến (Enhanced Protection Mode - nó mặc
định là tắt ngoại trừ trên các hệ điều hành máy
chủ và trình duyệt ở chế độ Metro - được bật bằng
tay. Đối với những người đang sử dụng các ứng dụng
không tương thích với IE 11, IE 10 với Chế độ Bảo vệ
Tiên tiến là lựa chọn an toàn nhất tiếp sau. (Thiết
lập này đưa ra sự bảo vệ cho những người sử dụng
Windows 7 chỉ khi các trình duyệt đang chạy trngo chế độ
64 it trên phần cứng cho phép x64, giới hạn tính hiệu
quả của biện pháp. Hơn nữa, nếu nó không can thiệp
với các ứng dụng được cài đặt, sẽ không có nguy
hại nào trong việc kích hoạt nó). Những
người hiện vẫn còn sử dụng Windows XP nên nhận thức
được rằng sự lựa chọn hệ điều hành của họ là
một sự nguy hiểm cho bản thân họ và những người
khác, và họ nên tiến hành bất kỳ bước nào cần thiết
để chuyển sang một nền tảng an toàn hơn.
“Microsoft
không còn hỗ trợ Windows XP nữa, và hãng tiếp tục
khuyến khích các khách hàng chuyển đổi sang một hệ
điều hành hiện đại, như Windows 7 và 8.1”, các đại
diện của hãng đã viết trong một thư điện tử. “Bức
tranh mối đe dọa đó đã thay đổi, và những kẻ tấn
công đã trở nên tinh vi phức tạp hơn. Các hệ điều
hành hiện đại như Windows 7 và 8.1 có các chức năng an
toàn và an ninh hơn so với các hệ điều hành cũ hơn như
Windows XP”.
Trong một bài trên
blog trùng với bản vá Windows, Adrienne Hall, tổng giám đốc
nhóm Tính toán Tin cậy của Microsoft, dường như đã biết
trước các chỉ trích rằng có khả năng gây ra từ quyết
định ném cho những người sử dụng XP một phao cứu
sinh sau hơn 1 tháng cảnh báo rằng học có thể tự họ
sau tuần đầu tháng 4. Bà đã viết:
Thậm
chí dù Windows XP không còn được Microsoft hỗ trợ nữa
và đã qua thời gian chúng tôi cung cấp một cách thông
thường các bản cập nhật an ninh, chúng tôi đã quyết
định cung cấp một bản cập nhật cho tất cả các phiên
bản của Windows XP (bao gồm cả bản nhúng) hôm nay. Chúng
tôi đã tiến hành ngoại lệ này dựa vào số lượng rất
nhỏ các cuộc tấn công dựa vào chỗ bị tổn thương
đặc biệt này và những lo lắng từng, một cách trung
thực, đã trôi qua. Không may đây là dấu hiệu của thời
gian và điều này không thể nói chúng tôi không thấy các
báo cáo đó là nghiêm trọng. Chúng tôi tuyệt đối không.
Theo FireEye, các bảo
vệ an ninh được xây dựng trong Windows 7 và 8 đòi hỏi
các tin tặc phải làm việc cật lực hơn nhiều để khai
thác thành công chỗ bị tổn thương của IE. Trong số
những điều khác, các khai thác phải làm hỏng các đối
tượng vector trung gian của Adobe Flash để vượt qua một
biện pháp được biết tới như là sự ngẫu nhiên hình
thức không gian địa chỉ. Qui trình của vượt giải pháp
giảm nhẹ trong XP, ngược lại, dễ dàng hơn nhiều.
“Chiến
thuật mới ngắm đích đặc biệt này vào những người
đang chạy Windows XP có nghĩa là các yếu tố rủi ro của
chỗ bị tổn thương này bây giờ thậm chí là cao hơn”,
các nhà nghiên cứu Dan Caselden và Xiaobo Chen của FireEye đã
viết.
May
thay, quyết định của Microsoft nháy lại và đẩy một
bản sửa lỗi của những người sử dụng XP là trong sự
cân nhắc động thái đúng. Nó tiệt trừ những gì gây
tranh cãi chỗ bị tổn thương nghiêm trọng nhất đó đe
dọa Internet vào lúc này hơn là để lại số lượng lớn
khổng lồ những người sử dụng bị tổn thương đói
với các cuộc tấn công thực thi mã ở xa mà là dễ dàng
để triển khai. Nói thế, bản vá đó có thể làm
bạo dạn hoặc ít nhất loại bỏ một bản cập nhật
quan trọng khuyến khích cho mọi người mà vẫn còn đang
sử dụng XP. Hoặc lực chọn mà Microsoft có thể đã làm
có khả năng sẽ tạo ra những rủi ro, không nhắc tới
việc có nhiều chỉ trích.
Microsoft
has released an emergency update for all recent Windows operating
systems—including the recently
decommissioned XP—fixing a critical security bug that is
currently being exploited in real-world attacks.
The
decision to patch XP underscores the potential seriousness of the
vulnerability. Since it resides in versions 6 through 11 of Internet
Explorer, the remote code-execution hole leaves an estimated 26
percent of Internet browsers susceptible to attacks that can
surreptitiously install hacker-controlled backdoors when users visit
a booby-trapped website. By some measures, 28
percent of the Web-using public continues to use the aging OS,
which lacks crucial safety protections built into Windows 7 and 8.1.
Thursday's
release demonstrates the razor-thin tightrope Microsoft walks as it
tries to wean users off a platform it acknowledges is no longer safe
against modern hacks. While the XP fix may deprive some laggards of
the incentive to upgrade, Microsoft also has a responsibility to
prevent exploits that could turn large numbers of the Internet
population into compromised platforms that attack others.
Attacks
grow by “multiple, new threat actors”
The
Microsoft patch comes as the in-the-wild attacks exploiting the
vulnerability have expanded
to include XP users running IE 8, researchers from security firm
FireEye reported Thursday. Previously, the IE attacks FireEye
observed targeted only versions 9, 10, and 11 running on Windows 7
and 8.
"We
have also observed that multiple, new threat actors are now using the
exploit in attacks and have expanded the industries they are
targeting," Thursday's blog post from FireEye reported. "In
addition to previously observed attacks against the defense and
financial sectors, organization[s] in the government- and energy
sector[s] are now also facing attack."
The
Microsoft patch will be delivered automatically to anyone who has
Windows configured to receive automatic updates. While there are a
variety of settings users can manually make to prevent successful
exploits on unpatched systems, people should install the update as
soon as possible. Users should strongly consider upgrading to IE 11
and ensure that Enhanced Protection Mode—which is off by default
except on server OSes and the Metro-mode browser—is manually
switched on. For those using apps that aren't compatible with IE 11,
IE 10 with Enhanced Protected Mode is the next safest option. (The
setting provides protection for Windows 7 users only when browsers
are running in 64-bit mode on x64-enabled hardware, limiting the
effectiveness of the measure. Still, if it doesn't interfere with
installed apps, there's no harm in enabling it.) Those still using
Windows XP should recognize that their OS choice is a danger to
themselves and others, and they should take whatever steps are needed
to switch to a safer platform.
"Microsoft
no longer supports Windows XP, and the company continues to encourage
customers to migrate to a modern operating system, such as Windows 7
or 8.1," company representatives wrote in an e-mail. "The
threat landscape has changed, and attackers have become more
sophisticated. Modern operating systems like Windows 7 and 8.1 have
more safety and security features than older operating systems like
Windows XP."
In
a blog
post that coincided with the Windows patch, Adrienne Hall, the
general manager of Microsoft's Trustworthy Computing group, seemed to
anticipate criticism that is likely to result from the decision to
throw XP users a lifeline after more than a year of warnings that
they would be on their own after the first week in April. She wrote:
Even
though Windows XP is no longer supported by Microsoft and is past the
time we normally provide security updates, we've decided to provide
an update for all versions of Windows XP (including embedded) today.
We made this exception based on the proximity to the end of support
for Windows XP. The reality is there have been a very small number of
attacks based on this particular vulnerability and concerns were,
frankly, overblown. Unfortunately this is a sign of the times and
this is not to say we don’t take these reports seriously. We
absolutely do.
According
to FireEye, the security protections built in to Windows 7 and 8
require attackers to work much harder to successfully exploit the IE
vulnerability. Among other things, the exploits must corrupt Adobe
Flash vector objects to bypass a measure known as address space
layout randomization. The process of bypassing mitigations in XP, by
contrast, is much easier.
"This
new tactic of specifically targeting those running Windows XP means
the risk factors of this vulnerability are now even higher,"
FireEye researchers Dan Caselden and Xiaobo Chen wrote.
Ultimately,
Microsoft's decision to blink and push a fix of XP users is on
balance the right move. It eradicates what's arguably the most severe
vulnerability threating the Internet at this moment rather than
leaving large swaths of users vulnerable to remote code-execution
attacks that are trivial to carry out. That said, the patch may
embolden or at least remove an significant update incentive for
people who continue to use XP. Either choice Microsoft could have
made was likely to generate risks, not to mention blistering
criticism.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.