Các bài cơ sở dữ liệu tri thức (knowledge base articles) của Microsoft được cập nhật và sửa đổi khá nhiều lần. Có một số điều quan trọng mà người dùng cần lưu ý trước khi cập nhật.
Thứ nhất, bản vá gộp tháng 01/2018 và các bản vá bảo mật sắp tới của Windows sẽ không được cài đặt nếu nhà cung cấp phần mềm antivirus không tuân thủ hướng dẫn của Microsoft. Một số nhà cung cấp phần mềm antivirus sử dụng các kỹ thuật để qua mặt tính năng Kernel Patch Protection bằng cách chèn thêm một hypervisor (phần mềm giúp chạy nhiều máy ảo trên một hệ thống) nhằm chặn các lệnh gọi của hệ thống và sử dụng một số giả thiết về vị trí bộ nhớ. Vị trí bộ nhớ sẽ thay đổi khi áp dụng bản vá lỗ hổng Meltdown.
Một số kỹ thuật mà các nhà cung cấp phần mềm antivirus đang sử dụng gần giống với kỹ thuật của rootkit. Sự thật là Microsoft giới thiệu Kernel Patch Protection cách đây một thập kỷ nhằm chống lại rootkit. Vì một số nhà cung cấp phần mềm antivirus sử dụng những kỹ thuật không rõ ràng, nên có thể dẫn đến “màn hình xanh chết chóc”. Lẽ ra điều này không thể xảy ra đối với những hệ điều hành mới, nhưng một số nhà cung cấp phần mềm antivirus vẫn có thể bằng cách nào đó xâm nhập hypervisor.
Để ngăn chặn, Microsoft đã yêu cầu các nhà cung cấp phần mềm antivirus thêm một khoá registry mỗi khi chương trình khởi động, để xác nhận nó đang hoạt động trên hệ thống đã vá lỗ hổng của CPU. Nếu phần mềm diệt virus không thêm khoá vào registry, người dùng sẽ không thể cập nhật được bản vá bảo mật nào nữa.
Lưu ý rằng, điều này không chỉ ảnh hưởng tới Windows Update mà còn ảnh hưởng cả Windows Server Update Services (WSUS) và System Center Configuration Manager (SCCM). Nguy hiểm hơn, với WSUS và SCCM, PC và máy chủ sẽ hiển thị các bản vá là “Not Applicable/Not Required” (không thích hợp/không cần thiết), khiến người dùng nghĩ rằng hệ thống đã được vá đầy đủ, trong khi chưa hề được vá.
Chuyên gia bảo mật người Anh – Kevin Beaumont, đã tổng hợp thông tin về việc tuân thủ hướng dẫn của Microsoft của các nhà cung cấp phần mềm antivirus. Những nhà cung cấp có hai chữ “Y, Y” nghĩa là sản phẩm của họ có hỗ trợ bản vá bảo mật tháng 01/2018 của Microsoft với khóa registry tương thích. Với các nhà cung cấp khác, người dùng sẽ khá vất vả để có thể cập nhật được bản vá. Chẳng hạn như đối với Symantec Endpoint Protection, Symantec đã khuyến cáo người dùng chưa nên cập nhật bản vá của Microsoft:
Thứ hai, những sản phẩm bảo mật cho thiết bị đầu cuối thế hệ mới sẽ không áp dụng khóa registry. Những nhà cung cấp công cụ bảo mật cho thiết bị đầu cuối thế hệ mới thường tự định danh sản phẩm của họ chỉ là công cụ bổ trợ hoặc lớp bảo vệ phụ cho phần mềm antivirus, tuy nhiên gần đây họ đã tự nhận sản phẩm của họ có thể thay thế phần mềm antivirus. Điều này khá hấp dẫn người dùng, bởi những sản phẩm bổ trợ thì rẻ hơn phần mềm antivirus. Tuy nhiên, những sản phẩm này sẽ không thiết lập khoá registry cho việc đảm bảo tương thích theo yêu cầu của Microsoft. Gần như tất cả các nhà cung cấp cho rằng, họ không sử dụng các kỹ thuật có thể làm hệ thống hiện “màn hình xanh chết chóc”, bởi khách hàng cũng có thể cài các phần mềm diệt antivirus khác.
Chẳng hạn như phần mềm TRAPS của Palo-Alto được thiết kế để bảo vệ người dùng khỏi những nguy cơ đã biết và chưa biết, nhưng tại thời điểm này, người dùng sẽ không được bảo vệ khỏi những kẻ muốn lợi dụng lỗ hổng Meltdown.
Palo-Alto không phải là nhà cung cấp duy nhất gặp vấn đề với các yêu cầu của Microsoft. Công ty Cylance cũng quảng cáo phần mềm CylancePROTECT có thể thay thế các phần mềm antivirus, nhưng họ cũng không tự động thiết lập khoá registry.
Cuối cùng, người dùng nên lưu ý rằng với Windows Server, các bản vá lỗ hổng Meltdown và Spectre không thực sự hoạt động. Theo hướng dẫn của Microsoft, dù đã được cài đặt, các bản vá chỉ có tác dụng nếu hệ điều hành xác nhận các khoá registry đã được thêm vào. Thậm chí, nếu là máy ảo Hyper-V thì phải tắt tất cả các máy ảo rồi khởi động lại máy chủ để những thay đổi được hoạt động.
Nguyễn Anh Tuấn
Theo DoublePulsar
08:00 | 16/06/2020
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024