Các bài cơ sở dữ liệu tri thức (knowledge base articles) của Microsoft được cập nhật và sửa đổi khá nhiều lần. Có một số điều quan trọng mà người dùng cần lưu ý trước khi cập nhật.
Thứ nhất, bản vá gộp tháng 01/2018 và các bản vá bảo mật sắp tới của Windows sẽ không được cài đặt nếu nhà cung cấp phần mềm antivirus không tuân thủ hướng dẫn của Microsoft. Một số nhà cung cấp phần mềm antivirus sử dụng các kỹ thuật để qua mặt tính năng Kernel Patch Protection bằng cách chèn thêm một hypervisor (phần mềm giúp chạy nhiều máy ảo trên một hệ thống) nhằm chặn các lệnh gọi của hệ thống và sử dụng một số giả thiết về vị trí bộ nhớ. Vị trí bộ nhớ sẽ thay đổi khi áp dụng bản vá lỗ hổng Meltdown.
Một số kỹ thuật mà các nhà cung cấp phần mềm antivirus đang sử dụng gần giống với kỹ thuật của rootkit. Sự thật là Microsoft giới thiệu Kernel Patch Protection cách đây một thập kỷ nhằm chống lại rootkit. Vì một số nhà cung cấp phần mềm antivirus sử dụng những kỹ thuật không rõ ràng, nên có thể dẫn đến “màn hình xanh chết chóc”. Lẽ ra điều này không thể xảy ra đối với những hệ điều hành mới, nhưng một số nhà cung cấp phần mềm antivirus vẫn có thể bằng cách nào đó xâm nhập hypervisor.
Để ngăn chặn, Microsoft đã yêu cầu các nhà cung cấp phần mềm antivirus thêm một khoá registry mỗi khi chương trình khởi động, để xác nhận nó đang hoạt động trên hệ thống đã vá lỗ hổng của CPU. Nếu phần mềm diệt virus không thêm khoá vào registry, người dùng sẽ không thể cập nhật được bản vá bảo mật nào nữa.
Lưu ý rằng, điều này không chỉ ảnh hưởng tới Windows Update mà còn ảnh hưởng cả Windows Server Update Services (WSUS) và System Center Configuration Manager (SCCM). Nguy hiểm hơn, với WSUS và SCCM, PC và máy chủ sẽ hiển thị các bản vá là “Not Applicable/Not Required” (không thích hợp/không cần thiết), khiến người dùng nghĩ rằng hệ thống đã được vá đầy đủ, trong khi chưa hề được vá.
Chuyên gia bảo mật người Anh – Kevin Beaumont, đã tổng hợp thông tin về việc tuân thủ hướng dẫn của Microsoft của các nhà cung cấp phần mềm antivirus. Những nhà cung cấp có hai chữ “Y, Y” nghĩa là sản phẩm của họ có hỗ trợ bản vá bảo mật tháng 01/2018 của Microsoft với khóa registry tương thích. Với các nhà cung cấp khác, người dùng sẽ khá vất vả để có thể cập nhật được bản vá. Chẳng hạn như đối với Symantec Endpoint Protection, Symantec đã khuyến cáo người dùng chưa nên cập nhật bản vá của Microsoft:
Thứ hai, những sản phẩm bảo mật cho thiết bị đầu cuối thế hệ mới sẽ không áp dụng khóa registry. Những nhà cung cấp công cụ bảo mật cho thiết bị đầu cuối thế hệ mới thường tự định danh sản phẩm của họ chỉ là công cụ bổ trợ hoặc lớp bảo vệ phụ cho phần mềm antivirus, tuy nhiên gần đây họ đã tự nhận sản phẩm của họ có thể thay thế phần mềm antivirus. Điều này khá hấp dẫn người dùng, bởi những sản phẩm bổ trợ thì rẻ hơn phần mềm antivirus. Tuy nhiên, những sản phẩm này sẽ không thiết lập khoá registry cho việc đảm bảo tương thích theo yêu cầu của Microsoft. Gần như tất cả các nhà cung cấp cho rằng, họ không sử dụng các kỹ thuật có thể làm hệ thống hiện “màn hình xanh chết chóc”, bởi khách hàng cũng có thể cài các phần mềm diệt antivirus khác.
Chẳng hạn như phần mềm TRAPS của Palo-Alto được thiết kế để bảo vệ người dùng khỏi những nguy cơ đã biết và chưa biết, nhưng tại thời điểm này, người dùng sẽ không được bảo vệ khỏi những kẻ muốn lợi dụng lỗ hổng Meltdown.
Palo-Alto không phải là nhà cung cấp duy nhất gặp vấn đề với các yêu cầu của Microsoft. Công ty Cylance cũng quảng cáo phần mềm CylancePROTECT có thể thay thế các phần mềm antivirus, nhưng họ cũng không tự động thiết lập khoá registry.
Cuối cùng, người dùng nên lưu ý rằng với Windows Server, các bản vá lỗ hổng Meltdown và Spectre không thực sự hoạt động. Theo hướng dẫn của Microsoft, dù đã được cài đặt, các bản vá chỉ có tác dụng nếu hệ điều hành xác nhận các khoá registry đã được thêm vào. Thậm chí, nếu là máy ảo Hyper-V thì phải tắt tất cả các máy ảo rồi khởi động lại máy chủ để những thay đổi được hoạt động.
Nguyễn Anh Tuấn
Theo DoublePulsar
08:00 | 16/06/2020
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024