Windows cập nhật bản vá lỗi liên quan đến máy in đã tồn tại 20 năm

Sau ròng rã 20 năm, giờ đây Microsoft mới có bản vá lỗi bảo mật cho phép hacker tấn công người dùng qua kết nối máy in vốn có từ thời Windows 95. Tuy nhiên, các chuyên gia cho biết, với bản vá lỗi này có lẽ lỗ hổng nguy hiểm đó vẫn chưa được khắc phục triệt để.

Thứ ba tuần trước, Microsoft đã phát hành bản vá 1 lỗi bảo mật vô cùng nghiêm trọng đã tồn tại suốt 20 năm. Lỗ hổng này nằm trong Windows Print Spooler, quản lý tiến trình kết nối với các máy in hiện có và các tài liệu đang in. Một giao thức được biết đến với tên Point-and-Print cho phép mọi người kết nối lần đầu với một máy in trên mạng lưu trữ, sẽ tự động tải về driver cần thiết ngay lập tức trước khi sử dụng nó. Nó hoạt động bằng cách lưu trữ một driver được chia sẻ trên máy in hoặc máy chủ in, và loại bỏ sự phức tạp về việc người dùng phải tải xuống bằng tay và cài đặt nó.

Các nhà nghiên cứu với hãng bảo mật Vectra Networks đã khám phá ra rằng Windows Print Spooler không xác thực một cách chính xác driver của máy in khi cài đặt chúng trong các địa điểm từ xa. Lỗi này làm cho nó có thể bị những kẻ tấn công sử dụng các kỹ thuật khác nhau nhằm đưa vào các driver bị chỉnh sửa một cách độc hại thay vì driver hợp lệ cung cấp bởi nhà sản xuất máy in.

Như vậy, trong hơn hai thập kỉ, hệ điều hành Windows phổ biến của hầu hết người dùng máy tính đã tạo nên một cửa ngõ cho hacker tùy ý lén cài đặt phần mềm độc hại vào các máy tính khi kết nối với các máy in đặt bẫy, hoặc các thiết bị khác giả làm máy in trong mạng nội bộ.  Khi kẻ tấn công khai thác lỗi này, họ có thể dễ dàng biến các máy in, các máy chủ máy in, hoặc bất cứ thiết bị kết nối mạng nào có thể đóng giả như một máy in bằng một bộ khai thác lỗi bằng driver nội bộ, để có thể lây nhiễm mã độc bất kỳ khi nào nó kết nối.

Phương thức tấn công của hacker

Một chuyên gia bảo mật cho biết có hàng loạt các thức để hacker có thể khai thác và lợi dụng lỗ hổng bảo mật này. Chẳng hạn:

Cách 1: Kết nối một laptop hoặc một thiết bị di động khác với một thiết bị tự nhận nó là một máy in trong mạng nội bộ. Khi mọi người trong cùng mạng lưới kết nối với nó, thiết bị được cài đặt tự động đưa vào một driver bẫy.

Cách 2: Theo dõi băng thông thiết lập cho một máy in hợp lệ trong mạng lưới, và chờ đến khi nạn nhân bổ sung thêm máy in vào hệ thống của họ. Sau đó kẻ tấn công sẽ chiếm quyền yêu cầu driver của máy in và trả lời bằng một driver độc hại.

Hacker có thể đảo ngược hoạt động của một máy in và làm giả firmware của nó để có thể đưa vào một driver độc hại đã bị chỉnh sửa. Một lỗi riêng biệt liên quan đến giao thức point-and-print cũng có thể làm cho những người dùng không đáng tin trong mạng lưới nâng quyền ưu tiên cho tài khoản của mình lên với toàn bộ các quyền của nhà quản trị.

Microsoft phát hành bản vá lỗi khá yếu kém

Với một lỗ hổng bảo mật cực kì nghiêm trọng có từ thời Windows 95, song theo nhiều người cho biết bản vá của Microsoft mới phát hành thứ Ba vừa rồi lại không hẳn giải quyết được vấn đề. Bản cập nhật này thực chất không không vá lỗi mã thực thi mà chỉ đơn thuần thêm vào các cảnh báo.

Các chuyên gia bảo mật cho biết việc hack mã thực thi có thể không hiệu quả với các cài đặt trong hệ thống của doanh nghiệp vốn sử dụng Active Directory của Microsoft (ngoại trừ có thay đổi các thiết lập mặc định). Đối tượng bị ảnh hưởng nhiều nhất chính là các hộ gia đình, doanh nghiệp vừa và nhỏ hay các công ty cho phép mọi người kết nối với thiết bị riêng của họ.

Xuân Dung