Hàng triệu người dùng Chrome trên toàn cầu có thể đang ngồi trên "thùng thuốc súng" mà không hề hay biết. Google vừa phát hành bản cập nhật Chrome 148 khẩn cấp để vá loạt lỗ hổng bảo mật nghiêm trọng, trong đó có lỗ hổng use-after-free cho phép tin tặc thực thi mã độc và chiếm quyền điều khiển máy tính từ xa. Chúng tôi cho rằng đây là một trong những đợt cập nhật bảo mật quan trọng nhất trong năm 2024.

Theo thống kê của StatCounter, Chrome chiếm hơn 70% thị phần trình duyệt toàn cầu và khoảng 65% tại Việt Nam. Con số này có nghĩa hàng chục triệu người dùng Việt đang tiềm ẩn nguy cơ bị tấn công nếu không cập nhật ngay lập tức. Đặc biệt đáng lo ngại khi nhiều cơ quan, doanh nghiệp tại Việt Nam vẫn chưa có chính sách cập nhật bảo mật thường xuyên.

Khi Chrome trở thành cửa ngõ tấn công chính

Lỗ hổng use-after-free trong Chrome 148 thuộc loại critical-severity (mức độ nghiêm trọng tối đa) cho phép tin tặc khai thác lỗi quản lý bộ nhớ của trình duyệt. Khi một đoạn mã tiếp tục sử dụng vùng nhớ đã được giải phóng, tin tặc có thể chèn mã độc vào vùng nhớ đó và thực thi với quyền của Chrome. Điều này tương đương việc trao chìa khóa nhà cho kẻ xấu.

Chúng tôi đánh giá đây không phải lần đầu Chrome gặp phải lỗ hổng use-after-free. Năm 2023, Google đã phải vá tới 15 lỗ hổng tương tự, cho thấy đây là điểm yếu cố hữu trong kiến trúc trình duyệt. Tình trở nên nghiêm trọng hơn khi các lỗ hổng này ảnh hưởng nhiều thành phần khác nhau của Chrome, từ engine rendering đến xử lý JavaScript, tạo ra bề mặt tấn công rộng lớn cho tin tặc.

Giải phẫu cuộc tấn công qua lỗ hổng use-after-free

Để hiểu rõ mức độ nguy hiểm, hãy tưởng tượng kịch bản tấn công thực tế. Tin tặc tạo một trang web chứa mã JavaScript đặc biệt được thiết kế để kích hoạt lỗ hổng use-after-free. Khi nạn nhân truy cập trang web này bằng Chrome chưa cập nhật, mã độc sẽ lợi dụng lỗi quản lý bộ nhớ để "nhảy" ra khỏi sandbox (hộp cát bảo mật) của trình duyệt và thực thi với quyền system.

Từ đó, tin tặc có thể cài đặt malware, đánh cắp mật khẩu, truy cập camera/microphone hoặc thậm chí mã hóa toàn bộ dữ liệu để tống tiền. Đặc biệt nguy hiểm là các cuộc tấn công này diễn ra âm thầm, không cần người dùng tải file hay nhập mật khẩu. Chỉ cần click vào link độc hại qua email, mạng xã hội hay quảng cáo là đủ để máy tính bị xâm nhập hoàn toàn.

Tác động lan tỏa tới doanh nghiệp Việt Nam

Theo báo cáo của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Việt Nam ghi nhận trung bình 15.000 cuộc tấn công mạng mỗi ngày trong năm 2024. Với lỗ hổng Chrome nghiêm trọng này, chúng tôi lo ngại con số sẽ tăng vọt trong những tuần tới nếu doanh nghiệp không hành động kịp thời. Đặc biệt, các ngân hàng, công ty fintech và doanh nghiệp thương mại điện tử đang đối mặt nguy cơ cao khi nhân viên sử dụng Chrome để truy cập hệ thống nội bộ.

Kinh nghiệm từ vụ tấn công Lazarus Group vào các sàn cryptocurrency Việt Nam năm ngoái cho thấy tin tặc thường khai thác lỗ hổng trình duyệt để xâm nhập mạng doanh nghiệp. Chi phí khắc phục một vụ tấn công thành công có thể lên tới hàng tỷ đồng, chưa kể thiệt hại về uy tín và dữ liệu khách hàng bị rò rỉ.

Hành động ngay để bảo vệ hệ thống

Người dùng cần cập nhật Chrome 148 ngay lập tức thông qua menu ba chấm > Help > About Google Chrome. Chrome sẽ tự động tải và cài đặt bản vá, sau đó khởi động lại trình duyệt để áp dụng. Doanh nghiệp nên triển khai Group Policy để đẩy update tự động cho toàn bộ hệ thống và kiểm tra version Chrome trên từng máy trạm.

Chúng tôi khuyến nghị các tổ chức nên kích hoạt Enhanced Safe Browsing, sử dụng phần mềm endpoint detection and response (EDR) để giám sát hoạt động bất thường và đào tạo nhân viên nhận biết email/link độc hại. Đặc biệt quan trọng là thiết lập chính sách backup dữ liệu thường xuyên và test khả năng khôi phục để sẵn sàng ứng phó với tình huống xấu nhất.