Bản vá khẩn cấp cho lỗi ngày số 0 sống còn của IE ném cả cho vòng đời XP lạc hậu

Emergency patch for critical IE 0-day throws lifeline to XP laggards, too

Bản cập nhật tới khi các cuộc tấn công bùng phát qua trung gian, nhằm vào XP lần đầu tiên.

Update comes as in-the-wild attacks get meaner, target XP for first time.

by Dan Goodin - May 2 2014, 1:22am ICT

Theo: http://arstechnica.com/security/2014/05/emergency-patch-for-critical-ie-0day-throws-lifeline-to-xp-laggards-too/

Bài được đưa lên Internet ngày: 02/05/2014

Brandon Weeks

Lời người dịch: Dù đưa ra bản vá cho cả Windows XP đã hết hạn sử dụng, thì vẫn có nhiều chỉ trích về việc này. Bên cạnh đó, còn những nhắc nhở như: “Những người hiện vẫn còn sử dụng Windows XP nên nhận thức được rằng sự lựa chọn hệ điều hành của họ là một sự nguy hiểm cho bản thân họ và những người khác, và họ nên tiến hành bất kỳ bước nào cần thiết để chuyển sang một nền tảng an toàn hơn”. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer.

Microsoft đã phát hành một bản cập nhật khẩn cấp cho tất cả các hệ điều hành Windows gần đây - bao gồm cả XP gần đây đã hết hỗ trợ - sửa một lỗi an ninh sống còn hiện được bị khai thác trong các cuộc tấn công thế giới thực.

Quyết định vá XP nhấn mạnh tính nghiêm trọng tiềm tàng của chỗ bị tổn thương. Vì nó nằm trong các phiên bản từ 6 đến 11 của Internet Explorer, lỗ hổng chạy được mã từ xa để lại 26% ước tính các trình duyệt Internet có khả năng bị tấn công mà có thể cài đặt giấu giếm các cửa hậu mà tin tặc kiểm soát khi những người sử dụng thăm một website bị đánh bẫy. Bằng một số đo đếm, 28% công chúng sử dụng web tiếp tục sử dụng hệ điều hành cũ kỹ này, thiếu những bảo vệ an toàn sống còn được xây dựng trong Windows 7 và 8.1.

Phiên bản hôm thứ năm thể hiện sợi dây thẳng như lưỡi dao cạo mà Microsoft đi khi nó cố cho người sử dụng cai sữa một nền tảng mà nó thừa nhận không còn an toàn chống lại các cuộc đột nhập hiện đại nữa. Trong khi sửa lỗi XP có thể lấy đi vài sự lạc hậu đối với động lực nâng cấp, thì Microsoft cũng có trách nhiệm ngăn chặn những khai thác có thể biến số lượng lớn dân số Internet thành các nền tảng bị tổn thương mà tấn công những người khác.

Các cuộc tấn công của “nhiều tác nhân các mối đe dọa mới”

Bản vá của Microsoft tới khi các cuộc tấn công đang bùng phát khai thác chỗ bị tổn thương đã mở rộng để bao gồm những người sử dụng XP đang chạy IE8, các nhà nghiên cứu từ hãng an ninh FireEye đã nêu hôm thứ năm.

“Chúng tôi cũng đã quan sát thấy rằng nhiều tác nhân các mối đe dọa mới bây giờ đang sử dụng khai thác đó trong các cuộc tấn công và đã mở rộng ra các nền công nghiệp mà họ đang ngắm đích”, bài trên blog hôm thứ năm từ FireEye đã nêu. “Hơn nữa các cuộc tấn công được quan sát thấy trước đó chống lại các lĩnh vực phòng thủ và tài chính, các tổ chức trong các khu vực chính phủ và năng lượng bây giờ cũng đối mặt các cuộc tấn công”.

Bản vá của Microsoft sẽ được phân phối tự động cho từng người mà đã thiết lập cấu hình cho Windows để nhận được các bản cập nhật tự động. Trong khi có một loạt các thiết lập mà những người sử dụng có thể làm bằng tay để ngăn chặn các khai thách thành công trong các hệ thống không được vá, thì mọi người nên cài đặt bản cập nhật càng sớm càng tốt. Những người sử dụng nên cân nhắc mạnh mẽ nâng cấp lên IE 11 và đảm bảo rằng Chế độ Bảo vệ Tiên tiến (Enhanced Protection Mode - nó mặc định là tắt ngoại trừ trên các hệ điều hành máy chủ và trình duyệt ở chế độ Metro - được bật bằng tay. Đối với những người đang sử dụng các ứng dụng không tương thích với IE 11, IE 10 với Chế độ Bảo vệ Tiên tiến là lựa chọn an toàn nhất tiếp sau. (Thiết lập này đưa ra sự bảo vệ cho những người sử dụng Windows 7 chỉ khi các trình duyệt đang chạy trngo chế độ 64 it trên phần cứng cho phép x64, giới hạn tính hiệu quả của biện pháp. Hơn nữa, nếu nó không can thiệp với các ứng dụng được cài đặt, sẽ không có nguy hại nào trong việc kích hoạt nó). Những người hiện vẫn còn sử dụng Windows XP nên nhận thức được rằng sự lựa chọn hệ điều hành của họ là một sự nguy hiểm cho bản thân họ và những người khác, và họ nên tiến hành bất kỳ bước nào cần thiết để chuyển sang một nền tảng an toàn hơn.

“Microsoft không còn hỗ trợ Windows XP nữa, và hãng tiếp tục khuyến khích các khách hàng chuyển đổi sang một hệ điều hành hiện đại, như Windows 7 và 8.1”, các đại diện của hãng đã viết trong một thư điện tử. “Bức tranh mối đe dọa đó đã thay đổi, và những kẻ tấn công đã trở nên tinh vi phức tạp hơn. Các hệ điều hành hiện đại như Windows 7 và 8.1 có các chức năng an toàn và an ninh hơn so với các hệ điều hành cũ hơn như Windows XP”.

Trong một bài trên blog trùng với bản vá Windows, Adrienne Hall, tổng giám đốc nhóm Tính toán Tin cậy của Microsoft, dường như đã biết trước các chỉ trích rằng có khả năng gây ra từ quyết định ném cho những người sử dụng XP một phao cứu sinh sau hơn 1 tháng cảnh báo rằng học có thể tự họ sau tuần đầu tháng 4. Bà đã viết:

Thậm chí dù Windows XP không còn được Microsoft hỗ trợ nữa và đã qua thời gian chúng tôi cung cấp một cách thông thường các bản cập nhật an ninh, chúng tôi đã quyết định cung cấp một bản cập nhật cho tất cả các phiên bản của Windows XP (bao gồm cả bản nhúng) hôm nay. Chúng tôi đã tiến hành ngoại lệ này dựa vào số lượng rất nhỏ các cuộc tấn công dựa vào chỗ bị tổn thương đặc biệt này và những lo lắng từng, một cách trung thực, đã trôi qua. Không may đây là dấu hiệu của thời gian và điều này không thể nói chúng tôi không thấy các báo cáo đó là nghiêm trọng. Chúng tôi tuyệt đối không.

Theo FireEye, các bảo vệ an ninh được xây dựng trong Windows 7 và 8 đòi hỏi các tin tặc phải làm việc cật lực hơn nhiều để khai thác thành công chỗ bị tổn thương của IE. Trong số những điều khác, các khai thác phải làm hỏng các đối tượng vector trung gian của Adobe Flash để vượt qua một biện pháp được biết tới như là sự ngẫu nhiên hình thức không gian địa chỉ. Qui trình của vượt giải pháp giảm nhẹ trong XP, ngược lại, dễ dàng hơn nhiều.

“Chiến thuật mới ngắm đích đặc biệt này vào những người đang chạy Windows XP có nghĩa là các yếu tố rủi ro của chỗ bị tổn thương này bây giờ thậm chí là cao hơn”, các nhà nghiên cứu Dan Caselden và Xiaobo Chen của FireEye đã viết.

May thay, quyết định của Microsoft nháy lại và đẩy một bản sửa lỗi của những người sử dụng XP là trong sự cân nhắc động thái đúng. Nó tiệt trừ những gì gây tranh cãi chỗ bị tổn thương nghiêm trọng nhất đó đe dọa Internet vào lúc này hơn là để lại số lượng lớn khổng lồ những người sử dụng bị tổn thương đói với các cuộc tấn công thực thi mã ở xa mà là dễ dàng để triển khai. Nói thế, bản vá đó có thể làm bạo dạn hoặc ít nhất loại bỏ một bản cập nhật quan trọng khuyến khích cho mọi người mà vẫn còn đang sử dụng XP. Hoặc lực chọn mà Microsoft có thể đã làm có khả năng sẽ tạo ra những rủi ro, không nhắc tới việc có nhiều chỉ trích.

Microsoft has released an emergency update for all recent Windows operating systems—including the recently decommissioned XP—fixing a critical security bug that is currently being exploited in real-world attacks.

The decision to patch XP underscores the potential seriousness of the vulnerability. Since it resides in versions 6 through 11 of Internet Explorer, the remote code-execution hole leaves an estimated 26 percent of Internet browsers susceptible to attacks that can surreptitiously install hacker-controlled backdoors when users visit a booby-trapped website. By some measures, 28 percent of the Web-using public continues to use the aging OS, which lacks crucial safety protections built into Windows 7 and 8.1.

Thursday's release demonstrates the razor-thin tightrope Microsoft walks as it tries to wean users off a platform it acknowledges is no longer safe against modern hacks. While the XP fix may deprive some laggards of the incentive to upgrade, Microsoft also has a responsibility to prevent exploits that could turn large numbers of the Internet population into compromised platforms that attack others.

Attacks grow by “multiple, new threat actors”

The Microsoft patch comes as the in-the-wild attacks exploiting the vulnerability have expanded to include XP users running IE 8, researchers from security firm FireEye reported Thursday. Previously, the IE attacks FireEye observed targeted only versions 9, 10, and 11 running on Windows 7 and 8.

"We have also observed that multiple, new threat actors are now using the exploit in attacks and have expanded the industries they are targeting," Thursday's blog post from FireEye reported. "In addition to previously observed attacks against the defense and financial sectors, organization[s] in the government- and energy sector[s] are now also facing attack."

The Microsoft patch will be delivered automatically to anyone who has Windows configured to receive automatic updates. While there are a variety of settings users can manually make to prevent successful exploits on unpatched systems, people should install the update as soon as possible. Users should strongly consider upgrading to IE 11 and ensure that Enhanced Protection Mode—which is off by default except on server OSes and the Metro-mode browser—is manually switched on. For those using apps that aren't compatible with IE 11, IE 10 with Enhanced Protected Mode is the next safest option. (The setting provides protection for Windows 7 users only when browsers are running in 64-bit mode on x64-enabled hardware, limiting the effectiveness of the measure. Still, if it doesn't interfere with installed apps, there's no harm in enabling it.) Those still using Windows XP should recognize that their OS choice is a danger to themselves and others, and they should take whatever steps are needed to switch to a safer platform.

"Microsoft no longer supports Windows XP, and the company continues to encourage customers to migrate to a modern operating system, such as Windows 7 or 8.1," company representatives wrote in an e-mail. "The threat landscape has changed, and attackers have become more sophisticated. Modern operating systems like Windows 7 and 8.1 have more safety and security features than older operating systems like Windows XP."

In a blog post that coincided with the Windows patch, Adrienne Hall, the general manager of Microsoft's Trustworthy Computing group, seemed to anticipate criticism that is likely to result from the decision to throw XP users a lifeline after more than a year of warnings that they would be on their own after the first week in April. She wrote:

Even though Windows XP is no longer supported by Microsoft and is past the time we normally provide security updates, we've decided to provide an update for all versions of Windows XP (including embedded) today. We made this exception based on the proximity to the end of support for Windows XP. The reality is there have been a very small number of attacks based on this particular vulnerability and concerns were, frankly, overblown. Unfortunately this is a sign of the times and this is not to say we don’t take these reports seriously. We absolutely do.

According to FireEye, the security protections built in to Windows 7 and 8 require attackers to work much harder to successfully exploit the IE vulnerability. Among other things, the exploits must corrupt Adobe Flash vector objects to bypass a measure known as address space layout randomization. The process of bypassing mitigations in XP, by contrast, is much easier.

"This new tactic of specifically targeting those running Windows XP means the risk factors of this vulnerability are now even higher," FireEye researchers Dan Caselden and Xiaobo Chen wrote.

Ultimately, Microsoft's decision to blink and push a fix of XP users is on balance the right move. It eradicates what's arguably the most severe vulnerability threating the Internet at this moment rather than leaving large swaths of users vulnerable to remote code-execution attacks that are trivial to carry out. That said, the patch may embolden or at least remove an significant update incentive for people who continue to use XP. Either choice Microsoft could have made was likely to generate risks, not to mention blistering criticism.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com