Một loạt driver Microsoft hết đát khiến hàng triệu PC Windows trở thành miếng mồi ngon cho kẻ gian suốt 3 năm liền
Microsoft nói rằng họ đã tung ra các bản cập nhật nhằm bổ sung driver độc hại vào danh sách chặn, nhưng trớ trêu ở chỗ là chẳng có cập nhật nào ở đây cả.
Theo báo cáo từ trang Ars Technica, Microsoft đã thất bại trong việc bảo về PC Windows khỏi các driver độc hại trong gần 3 năm trời. Mặc dù Microsoft nói là những bản cập nhật Windows của họ có bổ sung driver độc hại mới vào danh sách chặn (blocklist) mỗi khi người dùng tải về máy, trang Ars Technica cho biết sự thật lại không như vậy các bạn ạ.
Chính lỗ hổng này đã khiến hàng triệu người dùng trở thành mục tiêu cho 1 loại tấn công được gọi là BYOVD (bring your own vulnerable driver). Driver là các tập tin mà hệ điều hành trong máy tính sử dụng để giao tiếp với các thiết bị và phần cứng, chẳng hạn như card đồ họa, máy in, webcam, vân vân. Do driver có thể truy cập vào phần lõi của hệ điều hành (hay còn gọi là kernel) nên Microsoft yêu cầu tất cả driver phải có chữ ký số (digitally signed), chứng minh là nó an toàn để sử dụng. Tuy nhiên, nếu một driver đã có chữ ký số nhưng lại dính lỗ hổng bảo mật thì hacker có thể khai thác nó và nắm trong tay quyền truy cập thẳng vào Windows.
Thực chất, những đợt tấn công kiểu này đã từng xuất hiện rồi chứ không phải không có. Chẳng hạn, hồi tháng 8/2022, hacker đã cài ransomware BlackByte vào 1 driver dùng cho phần mềm MSI Afterburner. Hoặc gần đây còn có trường hợp kẻ gian khai thác lỗ hổng trong driver chống gian lận của trò Genshin Impact.
Ars Technica có nói là Microsoft đã dùng tính năng HVCI (hypervisor-protected code integrity) để bảo vệ người dùng khỏi những driver độc hại, và Microsoft còn khẳng định là mặc định nó sẽ được bật sẵn trên một số thiết bị Windows. Tuy nhiên, cả Ars Technica lẫn Will Dormann – một nhân viên cấp cao chuyên phân tích lỗ hổng tại công ty an ninh mạng Analygence – đều nhận định là HVCI không có đủ khả năng bảo vệ người dùng trước các driver độc hại.
Hồi tháng 9, Dormann có đăng 1 bài trên Twitter, chia sẻ rằng anh ấy có thể tải driver độc hại về một chiếc máy tính đã được bật HVCI, dù driver đó có nằm trong danh sách chặn của Microsoft. Sau đó, anh phát hiện ra là danh sách driver bị chặn của Microsoft đã không được cập nhật từ hồi 2019, và tính năng ASR (attack surface reduction) cũng không bảo vệ máy tính khỏi các driver độc hại luôn. Điều này có nghĩa là tất cả các thiết bị có bật HVCI đều không được bảo vệ trước những driver độc hại trong gần 3 năm trời.
Microsoft lúc đó vẫn im hơi lặng tiếng, mãi cho đến đầu tháng 10/2022 thì họ mới có phản hồi về ý kiến của Dormann. Đồng thời, họ cũng hướng dẫn cập nhật danh sách blocklist theo cách thủ công, nhưng không rõ là khi nào thì Microsoft mới tự động cập nhật thêm driver mới vào danh sách này thông qua các bản cập nhật Windows.
Tóm tắt ý chính:
- Microsoft nói là những bản cập nhật Windows có bổ sung driver độc hại mới vào danh sách chặn
- Nhưng trang Ars Technica lẫn Will Dormann – nhân viên cấp cao chuyên phân tích lỗ hổng bảo mật – cho biết danh sách driver bị chặn của Microsoft đã không được cập nhật từ hồi 2019
- Microsoft đã có hướng dẫn cập nhật danh sách blocklist theo cách thủ công
- Không rõ là khi nào thì Microsoft mới tự động cập nhật thêm driver mới vào danh sách chặn bằng các bản cập nhật Windows
Mời các bạn tham khảo thêm một số thông tin liên quan tại GVN 360 như:
- Sau hơn 30 năm gắn bó, Microsoft Office sẽ lột xác thành Microsoft 365 với diện mạo và nhiều tính năng mới
- Lộ tin Microsoft muốn xâm chiếm thế giới laptop gaming với dòng Surface trang bị Core i7-12700H, RTX 3070 Ti, màn hình 165Hz
Nguồn: The Verge
