Microsoft đã để người dùng Windows bị tấn công ra sao suốt nhiều năm qua

Hải Đăng

Microsoft đã không cập nhật kịp thời danh sách chặn driver trong suốt 3 năm qua, khiến người dùng Windows dễ bị các phần mềm độc hại tấn công.

Microsoft đã thất bại trong việc bảo vệ người dùng máy tính Windows khỏi các driver (trình điều khiển) độc hại kể từ năm 2019, theo một báo cáo.

Hãng công nghệ khẳng định rằng mỗi bản cập nhật Windows đều được bổ sung danh sách driver ác ý để người dùng không tải nhầm. Nhưng trên thực tế, chúng vẫn có kẽ hở, khiến các mã độc dễ dàng xâm nhập vào máy tính.

Microsoft đã để người dùng Windows bị tấn công ra sao suốt nhiều năm qua - Ảnh 1

Driver vốn là những tệp tin được hệ điều hành sử dụng để truyền dữ liệu cho các thiết bị ngoại vi như máy in, card đồ họa hay webcam. Chúng hoạt động như một cầu nối giữa lõi của hệ điều hành (kernel) và thiết bị để hoàn thành một nhiệm vụ cụ thể. Trong quá trình này, các driver thường yêu cầu quyền truy cập vào lõi, phần nhạy cảm nhất của hệ điều hành.

Để tránh lõi hệ điều hành bị xâm nhập trái phép, Microsoft  không cho phép các driver từ các nguồn không đáng tin cậy truy cập vào nó. Tuy nhiên, tin tặc và những kẻ xấu hiện đang sử dụng "driver hợp pháp" có chứa lỗ hổng bảo mật bộ nhớ để vượt qua các rào cản bảo mật do Microsoft đặt ra. Các driver như vậy đã cho phép tội phạm mạng truy cập lõi hệ điều hành và kiểm soát thiết bị của người dùng. Kỹ thuật này được gọi là BYOVD (Bring your own vulnerable driver), xuất hiện từ năm 2012.

Theo Ars Technica, Microsoft hiện sử dụng tính năng bảo mật của máy chủ Hypervisor-Enforced Code Integrity (HVCI), giúp bảo vệ thiết bị không bị các driver độc hại xâm nhập. Tuy nhiên, Will Dormann, chuyên gia của công ty an ninh mạng Analygence, lại cho rằng HVCI không hề có lớp bảo mật nhằm ngăn chặn những phần mềm ác ý này.

Trước đó, trong một bài viết đăng tải trên Twitter hồi tháng 9, Dormann cho biết ông đã tải thành công về máy một driver độc hại có tên là WinRing0 dù thiết bị đã bật HVCI và driver này nằm trong danh sách chặn tải về của Microsoft. Ông tuyên bố rằng danh sách chặn đã không được cập nhật kể từ năm 2019, ngụ ý rằng người dùng đã không được Microsoft bảo vệ khỏi các trình điều khiển này trong nhiều năm.

Đầu tháng này, giám đốc dự án của Microsoft, Jeffery Sutherland đã thừa nhận đã có vấn đề xảy ra với quy trình cập nhật driver bị chặn trên máy tính Windows và cho biết công ty đã thực hiện các biện pháp bảo mật bổ sung gần đây để giảm thiểu vấn đề.

Microsoft nói với ArsTechnica rằng họ đã bổ sung các driver độc hại vào danh sách chặn. “Danh sách driver dễ bị tấn công được cập nhật thường xuyên, tuy nhiên, chúng tôi nhận được phản hồi rằng có một lỗ hổng trong việc đồng bộ hóa giữa các phiên bản hệ điều hành. Chúng tôi đã sửa lỗi này và nó sẽ được bảo dưỡng trong các bản cập nhật Windows sắp tới và trong tương lai, ”công ty cho biết.

Trong khi đó, nhiều trường hợp tấn công theo hình thức BYOVD đã trở thành tiêu đề trong thời gian gần đây. Gần đây, tội phạm mạng đã khai thác một lỗ hổng trong driver chống gian lận cho trò chơi Genshin Impact. 

Tin Cùng Chuyên Mục