Windows bị nhiễm độc – hãy tự trách mình


Nghiên cứu bảo mật mới nhất của Microsoft cho thấy lỗ hổng cũ chưa được vá bằng các bản vá đã được phát hành là nguyên nhân của hầu hết máy tính Windows bị nhiễm độc.

Lỗ hổng Zero-day luôn làm cho các chuyên gia CNTT đau đầu, nhưng vẫn ít nguy hiểm hơn những lỗ hổng chưa được vá dù các bản vá đã được phát hành, Microsoft cho biết.

Báo cáo bảo mật Microsoft Security Intelligence phiên bản 11, còn gọi là SIRv11, cho thấy chỉ 1% các vụ tấn công và bị khai thác trong nửa đầu năm 2011 là có liên quan tới các lỗ hổng Zero-day. Điều này đồng nghĩa với việc, các lỗ hổng phần mềm khi chưa có các bản vá do nhà cung cấp đưa ra rất ít khi bị khai thác.
Ngược lại, 99% các cuộc tấn công cùng khoảng thời gian này đã chuyển tải mã độc (malware) thông qua các kỹ thuật quen thuộc, như các kỹ thuật xã hội và các lỗ hổng chưa được vá. Chẳng hạn như, Microsoft nhận thấy rằng Java vẫn là một trong những nguyên nhân tồi tệ nhất dẫn đến hệ thống bị lây nhiễm; phiên bản Java trên máy người dùng thường đã cũ, trong khi từ lâu đã có sẵn các bản vá lỗi.

“Các cuộc tấn công lỗi Java chiếm từ 1/3 đến một nửa số vụ tấn công khai thác được ghi nhận trong bốn quý gần đây nhất”, Microsoft công bố trong báo cáo SIRv11 mới được phát hành hôm thứ Ba (xem toàn bộ báo cáo tại đây). Các cuộc tấn công Java bao gồm khai thác lỗ hổng trong Java Runtime Environment, Java Virtual Machine, và Java Development Kit.
Một hình thức lây nhiễm khác đáng báo động là những cuộc tấn công lợi dụng Win32/Autorun, một tính năng tự động chạy các file media từ các thiết bị ngoại vi, như CD/DVD hay USB, khi chúng được kết nối với máy tính. Microsoft cho biết hơn một phần ba mã độc được phát tán thông qua con đường này.

Báo cáo còn khẳng định, 90% số tổn hại là do tin tặc khai thác lỗ hổng ở những máy có sử dụng các phần mềm phòng chống virus nhưng đã hơn 1 năm chưa hề cập nhật.

Bản báo cáo SIRv11 cũng tiết lộ rằng, các cuộc tấn công dùng kỹ thuật xã hội (Social Engineering) chiếm đa số; hình thức tương tác với người dùng để lừa đảo này đã tạo ra gần một nửa (45%) số phần mềm độc hại lan truyền trong nửa đầu năm 2011.

Giống như các phiên bản trước của báo cáo này, Microsoft nhận thấy rằng gần như mọi sự lây nhiễm có thể được ngăn chặn nếu người dùng sử dụng phiên bản mới nhất của phần mềm, hoặc không nhấp vào các liên kết dẫn đến trang chứa phần mềm độc hại.

Lưu ý rằng báo cáo chỉ thống kê các cuộc tấn công mà Microsoft có thể phát hiện thông qua Công cụ gỡ bỏ phần mềm độc hại (Malicious Software Removal Tool) và các sản phẩm chống phần mềm độc hại khác của hãng. Các cuộc tấn công Zero-day không thể phát hiện sẽ không được tính. Công ty đã báo cáo dựa trên việc phân tích dữ liệu thu thập được từ hơn 600 triệu máy tính chạy Windows của hơn 100 quốc gia trong nửa đầu năm 2011. Nhiều máy trong số đó thuộc sở hữu của người dùng cá nhân hoặc doanh nghiệp nhỏ không có bộ phận CNTT chuyên trách.

Có lẽ không láy gì làm ngạc nhiên khi nghiên cứu của Microsoft chỉ ra rằng sản phẩm mới của Microsoft là an toàn hơn và phương pháp phòng chống của hãng hoạt động hữu hiệu. Tuy nhiên, báo cáo cũng cung cấp cái nhìn sâu sắc đối với các hình thức lây nhiễm và đưa ra những khuyến nghị về tầm quan trọng của việc giữ cho hệ thống luôn được cập nhật nhằm phòng ngừa máy tính trở thành nạn nhân.

Xếp thứ hai trong danh sách những hình thức lây nhiễm phổ biến nhất là tấn công khai thác lỗ hổng trong Windows, tăng vọt trong quý 2/2011. Điều này do loại sâu nổi tiếng Stuxnet đã khai thác thành công lỗ hổng trong Windows Shell. Microsoft đã vá lỗ hổng này vào tháng 8/2010 cho tất cả các phiên bản của Windows.

Nguy cơ tiếp theo là các cuộc tấn công thông qua HTML và Javascript, rồi tới lỗ hổng trong phần mềm đọc và biên tập tài liệu bao gồm Office, sau đó là lỗ hổng trong Adobe Flash.

Tin tốt là, theo báo cáo, 27 mối đe dọa đại diện cho hơn 80% phần mềm độc hại được phát hiện trong kỳ và hầu như tất cả có thể ngăn chặn được thông qua các bản vá lỗi đã có sẵn.

Trong khi tin tặc luôn tìm các lỗ hổng phần mềm, việc nâng cấp phần mềm giúp hệ thống được bảo vệ an toàn trước các cuộc tấn công của kẻ xấu, ông Jeff Jones, giám đốc khối Microsoft Trustworthy Computing (Máy tính tin cậy) cho biết. Những kỹ thuật như bảo vệ tràn ngăn xếp (stack), bảo vệ phòng chống mất mát dữ liệu và bố trí không gian địa chỉ ngẫu nhiên sẽ hạn chế mức độ thiệt hại của việc lây nhiễm nếu phần mềm độc hại đã cấy được vào máy.

“Mới hơn thì tốt hơn, và tôi không chỉ nói cho các sản phẩm của Microsoft. Các nhà sản xuất smartphone đang phát triển các kỹ thuật mới hơn như sử dụng địa chỉ ngẫu nhiên”, Jones nói, và không bỏ lỡ dịp quảng bá cho Windows 7. “Nếu bạn đang dùng một sản phẩm 10 năm tuổi (ý nói Windows XP – PV), đây là lúc để nghĩ đến việc chuyển sang dùng sản phẩm mới hơn”.
Ví dụ, tỷ lệ lây nhiễm thấp hơn đáng kể đối với các phiên bản Windows mới hơn, với 10,9% của Windows XP SP3 không chống chọi nổi lây nhiễm, Vista SP2 32-bit “dính” 5,7% trong cùng thời gian, Windows 7 32-bit ở mức 4% và Windows 7 SP1 32-bit chỉ có 1,8% (tỷ lệ bị nhiễm của phiên bản 64-bit thậm chí còn thấp hơn). Microsoft chuẩn hóa các số liệu thống kê này, so sánh số máy tính bằng nhau cho mỗi phiên bản, vì vậy số lượng người sử dụng XP chênh nhiều so với những người dùng Windows 7 không làm kết quả mất giá trị. Windows 7 SP1 được phát hành vào tháng 2/2011, về cơ bản được tăng cường khả năng bảo mật và vá các lỗi, không có tính năng bổ sung.

Trong khi đó, báo cáo cho biết các cuộc tấn công khai thác làm ảnh hưởng đến Android và Open Handset Alliance (Liên minh điện thoại mở) đã tăng lên. Điều này đã được phát hiện khi người dùng Android tải về máy tính Windows các chương trình bị nhiễm trước khi chuyển chúng sang thiết bị di động của họ. Nhiều nhất là họ Trojan, gọi là AndroidOS/DroidDream, “thường giả mạo như một ứng dụng Android hợp pháp, và có thể cho phép một kẻ tấn công từ xa giành quyền truy cập thiết bị di động”, báo cáo cho biết. Google đã sửa lỗi này với một bản cập nhật bảo mật được công bố hồi tháng 3/2011, tuy nhiên, việc lây nhiễm DroidDream tiếp tục tăng trong quý 2/2011.

Có một số tin tốt. Nhiều phương pháp Microsoft đã phát triển để hạn chế mức độ thiệt hại do lây nhiễm đang phát huy tác dụng, Microsoft khẳng định. Ví dụ, vào tháng 2, Microsoft đã phát hành một bản cập nhật cho XP và Vista đã vô hiệu hóa tính năng Autorun quá dễ bị lợi dụng. Windows 7 mặc định có tính năng này. Autorun là một cầu nối thâm nhập máy ưa thích của sâu Conficker – hiện được xem như là “nỗi kinh hoàng” của các mạng doanh nghiệp, báo cáo cho biết. Để an toàn, Autorun không nên để tự động nạp các ứng dụng trên các ổ USB và đĩa quang CD/DVD.

Microsoft báo cáo rằng khả năng lây nhiễm bởi Autorun đã giảm 82%. Tuy nhiên, Autorun vẫn là một kỹ thuật bị lạm dùng hàng đầu, và 43% phần mềm độc hại đã lợi dụng Autorun để lây lan, báo cáo cho biết.

Tương tự, với sự giúp đỡ của Microsoft trong việc đánh sập các mạng máy tính ma (botnet) CutwailRustock, tỷ lệ thư rác đã giảm từ khoảng 90 tỷ tin nhắn bị chặn trong tháng 7/2010 xuống còn khoảng 25 tỷ tin bị chặn trong tháng 6/2011.

Thật vậy, mức độ máy tính bị nhiễm đã giảm so với nửa sau của năm 2010; từ một mức cao 12,3 trên 1.000 máy tính bị nhiễm trong quý 3/2010, xuống còn 9,8 trong quý 2/2011.

Tuy nhiên lại xuất hiện những tin xấu đáng ngại. Tin tặc giờ đây không dễ gì tấn công thông qua những con đường kỹ thuật thông thường đã chuyển sang hình thái lừa đảo trên các phương tiện truyền thông xã hội, kiểu như cung cấp đường link độc hại trên Facebook. “Trong tháng 4, 84% vụ lừa đảo được thực hiện thông qua các mạng xã hội”, Jones nói.

Microsoft đã phát hiện ra vấn đề, bảo vệ chống lại các cuộc tấn công này là việc của bạn. Hãy cập nhật thường xuyên các bản vá và sửa lỗi.

 

 

Nguồn: Network World, Microsoft

PHT-Pcworldvietnam

5 thoughts on “Windows bị nhiễm độc – hãy tự trách mình

  1. Pingback: Oscar

  2. Pingback: Liveshopping

  3. Pingback: http://adsenseapihelp.blogspot.com

  4. Pingback: Thủ thuật hay cho menu Start và Taskbar trong Windows 7 « tuyendt_qng'weblog

  5. Pingback: Windows bị nhiễm độc – hãy tự trách mình « Victor Carlos Villegas Lozano

Thank for your comments

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s