Microsoft phát hành bản vá lỗi khẩn cấp cho lỗ hổng cực nghiêm trọng trên Windows Defender

Phần mềm bảo mật của Microsoft có thể làm cho các máy tính Windows 7, 8.1, RT, 10 và thậm chí cả Windows Server 2016 dễ bị tấn công do các lỗ hỗng bảo mật.

Mới đây, Microsoft vừa phát hành bản cập nhật vá lỗi khẩn cấp cho lỗ hổng bảo mật nghiêm trọng được phát hiện bởi nhóm nghiên cứu Google Project Zero cuối tuần trước.

Theo chuyên gia bảo mật Tavis Ormandy và Natalie Silvanovich, họ đã phát hiện ra một mã vận hành từ xa tồi tệ nhất của Windows trên bộ nhớ. Lỗ hổng RCE được báo cáo rằng có thể làm việc với các cài đặt mặc định và tự sao chép chính nó trên một máy tính bị lây nhiễm và sau đó lây lan sang các máy tính khác một cách tự động.

Theo cố vấn của Microsoft, lỗ hổng bảo mật được khai thác từ xa (CVE – 2017 – 0290) tồn tại trong MMPE (Microsoft Malware Protection Engine) – phần mềm diệt virus của hãng có thể khởi chạy trên các máy Windows mà không cần tương tác của người dùng.

Danh sách những phần mềm diệt virus bị lây nhiễm:

• Windows Defender
• Windows Intune Endpoint Protection
• Microsoft Security Essentials
• Microsoft System Center Endpoint Protection
• Microsoft Forefront Security for SharePoint
• Microsoft Endpoint Protection
• Microsoft Forefront Endpoint Protection

Các phần mềm diệt virus của Microsoft được mặc định kích hoạt sử dụng trên Windows 7, 8.1, RT 8.1 và Windows 10, thậm chí là trên cả Windows Server 2016. Theo đó, nếu lỗ hổng bị khai thác có thể ảnh hưởng đến toàn hệ thống từ xa trên diện rộng.

Lỗ hổng này nằm trong cách vận hành lệnh quét của các phần mềm diệt virus của Microsoft. Những kẻ tấn công có thể tạo ra một tập tin độc hại làm hư hại bộ nhớ trên hệ thống máy tính mà chúng muốn tấn công. Vì các phần mềm diệt virus có chức năng quét theo thời gian thực cũng như được kích hoạt mặc định, tự động quét tập tin khi được tạo, mở, sao chép hoặc tải xuống, lỗ hổng này sẽ tạo điều kiện cho tập tin độc hại được tải xuống và lây nhiễm cho máy tính. Qua đó, lỗ hổng có thể bị khai thác bằng nhiều cách như gửi emails, lừa đảo người dùng nhấp vào hoặc truy cập các trang web có chứa tập tin độc hại và gửi tin nhắn…

Các tập tin độc hại được tải về được chạy với đặt quyền LocalSystem, cho phép hacker chiếm toàn quyền điều khiển hệ thống bị xâm nhập, và thực hiện các hành vi gây hại như cài phần mềm gián điệp, đánh cắp thông tin nhạy cảm, thông tin đăng nhập và hơn thế nữa.

Microsoft đã nhanh chóng phục hồi vấn đề này và phát hành bản vá lỗi trong vòng 3 ngày. Nay bản vá lỗi đã có trên Windows Update cho Windows 7, 8.1, RT và Windows 10.

Phiên bản Microsoft Malware Protection Engine (MMPE) bị lỗi là 1.1.13701.0 và bản vá lỗi là 1.1.13704.0.

Các máy tính Windows sẽ tự động cập nhật phiên bản vá lỗi này, do đó hệ thống sẽ được tự động cài đặt trong vòng 1 đến 2 ngày, nhưng người dùng có thể tự cài đặt ngay lập tức bằng cách nhấp vào nút “Check update” trên phần cài đặt của máy tính.

Minh Hương