Tuần vừa rồi, Microsoft đã tiến hành vá nhiều lỗi bảo mật cho Windows trong bản vá ngày thứ 3 (Patch Tuesday) của tháng này.
Dù bản vá này dành cho các phiên bản Windows khác nhau, hãng cũng gây ra một số chỉ trích về việc xử lý lỗ hổng bảo mật đã được Google báo cáo. Tuy nhiên, có vẻ như vấn đề bảo mật của công ty có trụ sở tại Redmond vẫn chưa kết thúc khi một báo cáo mới nói Microsoft vừa sửa lỗi zero-day khai thác Windows được báo cáo vào năm 2018.
Tuần trước, Microsoft đã vá một lỗ hổng bảo mật trong các phiên bản Windows khác nhau, chủ yếu là xử lý sai chữ ký của hệ điều hành. Trong bản vá có mã CVE-2020-1464, hãng nói:
Một lỗ hổng giả mạo tồn tại khi Windows xác thực sai chữ ký. Kẻ tấn công khai thác thành công lỗ hổng này có thể bỏ qua các tính năng bảo mật và tải các tập tin được ký không đúng cách. Trong tình huống tấn công, hacker có thể bỏ qua các tính năng bảo mật vốn để ngăn chặn tải các tập tin như vậy. Bản cập nhật giải quyết lỗ hổng bảo mật này giúp Windows sửa cách xác thực chữ ký.
Trong một bài đăng trên blog Medium, nhà nghiên cứu bảo mật Tal Be’ery giải thích rằng Bernardo Quintero, nhà quản lý của VirusTotal – dịch vụ thuộc sở hữu của Google – lần đầu phát hiện ra lỗ hổng bị khai thác vào tháng 8/2018. Việc khai thác này có tên gọi nội bộ là “GlueBall”, ngay lập tức đã được báo cáo cho Microsoft và phát hiện đã được Quintero công bố vào tháng 1/2019. Microsoft đã thừa nhận sự cố và bổ sung các hành động giảm thiểu trong các công cụ hỗ trợ, nhưng tuyên bố rằng họ sẽ không khắc phục sự cố trong chính hệ điều hành. Lý do đằng sau quyết định này không được công khai.
Một số bài đăng sau đó trên blog đã được những người khác xuất bản, giải thích cách sử dụng GlueBall để khai thác Windows. Đến tháng 6/2020, GlueBall một lần nữa được đánh dấu bởi các tài khoản mạng xã hội nổi bật.
Có vẻ như khoảng thời gian khó khăn này Microsoft đã bắt đầu xem xét vấn đề một cách nghiêm túc và bản sửa lỗi thích hợp cho lỗ hổng bảo mật cuối cùng đã được phát hành trong bản vá thứ Ba của tháng này. Theo cố vấn bảo mật của Microsoft, lỗ hổng này đã có trong Windows 7, 8, 8.1, RT 8.1, Server 2008, 2012, 2016, 2019 và Windows 10, cho đến phiên bản 2004 và nó đã bị khai thác trên nhiều phiên bản của hệ điều hành.
Nói với KrebsonSecurity, Microsoft cho biết bản cập nhật bảo mật đã được phát hành vào tháng 8. Những khách hàng áp dụng bản cập nhật hoặc đã bật cập nhật tự động sẽ được bảo vệ. Hãng này tiếp tục khuyến khích khách hàng bật cập nhật tự động để đảm bảo họ được bảo vệ.
Nhiều chuyên gia vẫn tự hỏi tại sao Microsoft lại trì hoãn việc sửa lỗi bảo mật Windows trong gần hai năm, đặc biệt là khi nó có mặt trong hầu hết các phiên bản chính của hệ điều hành.