Cơ quan An ninh Quốc gia Mỹ (National Security Agency - NSA) gần đây đã cảnh báo Microsoft về một lỗ hổng lớn trong hệ điều hành Windows có thể cho phép tin tặc đóng vai trò là công ty phần mềm hợp pháp, các quan chức cơ quan cho biết hôm thứ ba.
Microsoft đã phát hành bản cập nhật phần mềm vào thứ ba để khắc phục lỗ hổng, như một phần trong lịch trình bình thường của nó để phát hành các bản vá phần mềm.
Tin tức về lỗ hổng và bản vá được báo cáo đầu tiên bởi nhà báo độc lập Brian Krebs, người cho biết Microsoft đã cung cấp bản sửa lỗi phần mềm cho quân đội và các công ty cơ sở hạ tầng quan trọng trước ngày phát hành công khai vào thứ ba.
Microsoft cho biết trong một tuyên bố vào tối thứ Hai rằng họ cung cấp các phiên bản cập nhật trước cho một số người dùng theo một chương trình thử nghiệm đặc biệt. Jeff Jones, một giám đốc cấp cao của Microsoft, đã từ chối thảo luận về các chi tiết cụ thể của lỗ hổng "để ngăn ngừa rủi ro không cần thiết cho khách hàng".
Thông báo hiếm hoi của NSA về lỗ hổng, cùng với quyết định cảnh báo Microsoft thay vì khai thác lỗi cho mục đích tình báo, nhấn mạnh mức độ đe dọa mà nó có thể gây ra cho các doanh nghiệp, người tiêu dùng và các cơ quan chính phủ trên toàn thế giới.
NSA cho biết, trong khi họ đã chia sẻ thông tin về lỗ hổng với khu vực tư nhân trong quá khứ, điều này đánh dấu lần đầu tiên họ đưa ra công khai để làm như vậy. Cơ quan này cho biết quyết định này phản ánh nỗ lực xây dựng niềm tin với các nhà nghiên cứu an ninh mạng.
"Một phần của việc xây dựng lòng tin là hiển thị dữ liệu", Anne Neuberger, giám đốc an ninh mạng của NSA, nói với các phóng viên về cuộc gọi hội nghị hôm thứ ba. Vì NSA chưa bao giờ cho phép bản thân được liên kết với tiết lộ lỗ hổng, cô nói, "thật khó để các thực thể tin tưởng rằng chúng tôi thực hiện việc này một cách nghiêm túc. Và đảm bảo các lỗ hổng có thể được giảm thiểu là ưu tiên tuyệt đối."
NSA đã không sử dụng lỗ hổng để khai thác các đối thủ và lỗi đã được chuyển sang Microsoft ngay khi phát hiện ra, Neuberger nói thêm. Cô cho biết NSA đã không phát hiện bất kỳ thực thể nào khác sử dụng lỗi này. Bộ An ninh Nội địa cho biết trong cuộc gọi rằng họ sẽ đưa ra một bản tin cho các cơ quan liên bang khuyên họ nên cài đặt các bản vá của Microsoft ngay lập tức.
Lỗ hổng liên quan đến chức năng Windows cốt lõi xác minh tính hợp pháp của các ứng dụng và chương trình, một tính năng được gọi là CryptoAPI.
Ashkan Soltani, chuyên gia bảo mật và cựu kỹ thuật viên của Ủy ban Thương mại Liên bang cho biết: "Nó tương đương với một bàn bảo vệ tòa nhà kiểm tra ID trước khi cho phép một nhà thầu đến và lắp đặt thiết bị mới". Bằng cách thỏa hiệp tính năng xác thực đó, tin tặc có thể dễ dàng mạo danh các công ty phần mềm "tốt" để cài đặt phần mềm xấu, Soltani nói, có khả năng cho phép chúng theo dõi người dùng máy tính hoặc bắt giữ con tin để đòi tiền chuộc.
Microsoft đã phát hành bản cập nhật phần mềm vào thứ ba để khắc phục lỗ hổng, như một phần trong lịch trình bình thường của nó để phát hành các bản vá phần mềm.
Tin tức về lỗ hổng và bản vá được báo cáo đầu tiên bởi nhà báo độc lập Brian Krebs, người cho biết Microsoft đã cung cấp bản sửa lỗi phần mềm cho quân đội và các công ty cơ sở hạ tầng quan trọng trước ngày phát hành công khai vào thứ ba.
Microsoft cho biết trong một tuyên bố vào tối thứ Hai rằng họ cung cấp các phiên bản cập nhật trước cho một số người dùng theo một chương trình thử nghiệm đặc biệt. Jeff Jones, một giám đốc cấp cao của Microsoft, đã từ chối thảo luận về các chi tiết cụ thể của lỗ hổng "để ngăn ngừa rủi ro không cần thiết cho khách hàng".
Thông báo hiếm hoi của NSA về lỗ hổng, cùng với quyết định cảnh báo Microsoft thay vì khai thác lỗi cho mục đích tình báo, nhấn mạnh mức độ đe dọa mà nó có thể gây ra cho các doanh nghiệp, người tiêu dùng và các cơ quan chính phủ trên toàn thế giới.
NSA cho biết, trong khi họ đã chia sẻ thông tin về lỗ hổng với khu vực tư nhân trong quá khứ, điều này đánh dấu lần đầu tiên họ đưa ra công khai để làm như vậy. Cơ quan này cho biết quyết định này phản ánh nỗ lực xây dựng niềm tin với các nhà nghiên cứu an ninh mạng.
"Một phần của việc xây dựng lòng tin là hiển thị dữ liệu", Anne Neuberger, giám đốc an ninh mạng của NSA, nói với các phóng viên về cuộc gọi hội nghị hôm thứ ba. Vì NSA chưa bao giờ cho phép bản thân được liên kết với tiết lộ lỗ hổng, cô nói, "thật khó để các thực thể tin tưởng rằng chúng tôi thực hiện việc này một cách nghiêm túc. Và đảm bảo các lỗ hổng có thể được giảm thiểu là ưu tiên tuyệt đối."
NSA đã không sử dụng lỗ hổng để khai thác các đối thủ và lỗi đã được chuyển sang Microsoft ngay khi phát hiện ra, Neuberger nói thêm. Cô cho biết NSA đã không phát hiện bất kỳ thực thể nào khác sử dụng lỗi này. Bộ An ninh Nội địa cho biết trong cuộc gọi rằng họ sẽ đưa ra một bản tin cho các cơ quan liên bang khuyên họ nên cài đặt các bản vá của Microsoft ngay lập tức.
Lỗ hổng liên quan đến chức năng Windows cốt lõi xác minh tính hợp pháp của các ứng dụng và chương trình, một tính năng được gọi là CryptoAPI.
Ashkan Soltani, chuyên gia bảo mật và cựu kỹ thuật viên của Ủy ban Thương mại Liên bang cho biết: "Nó tương đương với một bàn bảo vệ tòa nhà kiểm tra ID trước khi cho phép một nhà thầu đến và lắp đặt thiết bị mới". Bằng cách thỏa hiệp tính năng xác thực đó, tin tặc có thể dễ dàng mạo danh các công ty phần mềm "tốt" để cài đặt phần mềm xấu, Soltani nói, có khả năng cho phép chúng theo dõi người dùng máy tính hoặc bắt giữ con tin để đòi tiền chuộc.
Nguồn: CNN
