Các nhà nghiên cứu của công ty bảo mật RACK911 vừa tuyên bố tìm thấy “lỗ hổng symlink race” trong 28 phần mềm diệt virus đang phổ biến trên thị trường hiện nay, trong đó có Microsoft Defender, McAfee Endpoint Security và Malwarebytes.

Liên kết tượng trưng (Symbolic link hay còn gọi là symlink) là cách tạo lối tắt tập tin/thư mục liên kết đến những tập tin/thư mục khác. Người dùng có thể tạo liên kết tượng trưng cho các tập tin hoặc thư mục riêng lẻ. Theo báo cáo, lỗ hổng symlink race (cuộc đua liên kết tượng trưng) có thể bị tin tặc khai thác để xóa tập tin quan trọng trong phần mềm diệt virus hoặc trên hệ điều hành máy tính, gây ra lỗi nghiêm trọng, buộc phải cài đặt lại hệ điều hành máy.

Phát hiện "lỗ hổng symlink race" trên 28 phần mềm diệt virus phổ biến

Lỗ hổng symlink race diễn ra khi máy tính liên kết một tập tin chứa mã độc và tập tin hợp pháp với nhau, sau đó thực thi các hoạt động độc hại trên tập tin hợp pháp. Đây là phương pháp thường được tin tặc sử dụng để liên kết các tập tin độc hại với các phần có đặc quyền cao hơn, dẫn đến các cuộc tấn công Nâng cao đặc quyền (Elevation-of-Privilege – EoP).

Trên thực tế, vấn đề này không mới, từng xảy ra với những hệ điều hành cho phép thực hiện nhiều quy trình cùng lúc. Trong quá khứ đã có một số chương trình từng bị khai thác theo phương thức tương tự.

Các chuyên gia của RACK911 đã nghiên cứu về sự xuất hiện của lỗ hổng symlink race trong các phần mềm diệt virus từ năm 2018. Kết quả, đã có 28 sản phẩm diệt virus trên Linux, Mac và Windows có nguy cơ bị tấn công và RACK911 đã thông báo cho nhà cung cấp. Đa số các hãng cung cấp phần mềm diệt virus đã khắc phục sự cố trên sản phẩm. Một số công ty thừa nhận lỗ hổng, trong khi số khác âm thầm tung bản vá bảo mật. Tuy nhiên RACK911 không nêu tên những phần mềm chưa được vá.

Theo các chuyên gia bảo mật, do có cách hoạt động đặc thù nên những phần mềm diệt virus rất dễ bị tấn công bằng lỗ hổng symlink race. Từ khi tập tin được quét và xem là độc hại đến lúc phần mềm diệt virus bắt đầu loại bỏ mối đe dọa mất một khoảng thời gian. Trong lúc đó, tin tặc sẽ tiến hành thay thế tập tin độc hại bằng một liên kết tượng trưng (symlink) để biến nó thành tập tin hợp pháp.

Phát hiện "lỗ hổng symlink race" trên 28 phần mềm diệt virus phổ biến

Các nhà nghiên cứu của RACK911 đã tạo ra các tập lệnh PoC (proof-of-concept scripts) lợi dung thời điểm phần mềm đang quét virus để liên hết các tập tin độc hại và các tập tin hợp pháp thông qua các nút giao (directory junction) trên Windows và các liên kết tượng trưng trên Mac và Linux. Khi phần mềm diệt virus phát hiện tập tin độc hại và bắt đầu hoạt động thì lại xóa nhầm tập tin của chính nó hoặc các tập tin quan trọng trong hệ điều hành. Từ đó gây lỗi nghiêm trọng khiến máy không thể sử dụng được, phải cài đặt lại hệ điều hành để khắc phục. Trong thời gian tới, những cuộc tấn công dạng này sẽ trở nên nguy hiểm hơn nếu tin tặc mở rộng quy mô, tiến hành viết lại tập tin và tiếp quản hoàn toàn hệ thống máy tính của nạn nhân.

Thực tế, để thực hiện cuộc tấn công, tin tặc lợi dụng lỗ hổng để tải xuống và chạy mã tấn công symlink trên thiết bị trước khi bắt đầu khởi chạy “cuộc đua”. Điều này không giúp hắn xâm nhập vào hệ thống, nhưng có thể giúp chiếm quyền truy cập trên hệ thống bị tấn công. Nghĩa là lỗ hổng này chỉ bị khai thác trong gia đoạn hai của quá trình lây nhiễm mã độc, nhằm nâng cao đặc quyền, vô hiệu hóa các loại phần mềm độc hại hoặc phá hoại hệ thống máy tính của nạn nhân.

Theo các chuyên gia bảo mật, những loại lỗ hổng này khá bình thường và đã tồn tại nhiều năm, có thể làm giảm hiệu quả của các loại phần mềm diệt virus. Mặt khác, tin tặc có thể lợi dụng lỗi này để khiến các loại mã độc hoạt động hiệu quả hơn. Tuy nhiên những nhà phát triển phần mềm diệt virus nhiều kinh nghiệm sẽ khắc phục vấn đề một cách dễ dàng, trên tất cả các hệ điều hành. Các chuyên gia cũng khuyến cáo người dùng nên liên tục cập nhật phần mềm diệt virus để tự bảo vệ thiết bị.

Góc quảng cáo