Bạn có tưởng tượng được khi phần mềm bảo mật đáng tin cậy nhất lại trở thành cánh cửa cho hacker xâm nhập không? CISA (Cybersecurity and Infrastructure Security Agency - Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ) vừa ban hành lệnh khẩn cấp yêu cầu tất cả các cơ quan liên bang Mỹ phải vá ngay lỗ hổng bảo mật trong Microsoft Defender. Lỗ hổng mang tên BlueHammer này đã bị tin tặc khai thác thành công trong các cuộc tấn công zero-day (tấn công ngày zero - tức tấn công khi lỗ hổng chưa có bản vá). Điều đáng lo ngại nhất là Microsoft Defender đang được cài đặt mặc định trên hàng tỷ máy tính Windows trên toàn thế giới.

Khi "người bảo vệ" trở thành "kẻ phản bội"

BlueHammer không phải một lỗ hổng bình thường. Đây là lỗ hổng leo thang đặc quyền (privilege escalation) cho phép tin tặc nâng cấp quyền hạn từ user thường lên administrator - quyền cao nhất trong hệ thống Windows. Chúng tôi cho rằng đây là một trong những kiểu tấn công nguy hiểm nhất bởi một khi đã có quyền admin, hacker có thể làm bất cứ điều gì: cài đặt malware, đánh cắp dữ liệu, xóa file quan trọng hay thậm chí biến máy tính thành botnet.

Điều trớ trêu là Microsoft Defender - công cụ được thiết kế để bảo vệ máy tính khỏi các mối đe dọa - lại trở thành con đường để tin tặc thâm nhập sâu vào hệ thống. CISA đã liệt kê lỗ hổng này vào danh mục KEV (Known Exploited Vulnerabilities - Lỗ hổng bị khai thác đã xác nhận), đồng nghĩa với việc đã có bằng chứng cụ thể về các cuộc tấn công thành công ngoài thực tế.

Giải mã bản chất kỹ thuật của BlueHammer

Lỗ hổng BlueHammer tồn tại trong cơ chế xử lý quyền hạn của Microsoft Defender Antivirus. Khi ứng dụng này quét file hoặc thực hiện các tác vụ bảo mật, nó cần quyền system cao để truy cập vào các khu vực nhạy cảm của hệ điều hành. Tin tặc đã tìm ra cách lợi dụng quá trình này bằng cách tạo ra các file đặc biệt hoặc kích hoạt các tình huống mà Microsoft Defender xử lý không đúng cách.

Zero-day attack (tấn công ngày zero) là thuật ngữ chỉ các cuộc tấn công khai thác lỗ hổng mà nhà phát triển phần mềm chưa biết hoặc chưa có bản vá. Đây là loại tấn công nguy hiểm nhất vì nạn nhân hoàn toàn không có cách phòng thủ. Theo thống kê của Google's Project Zero, trung bình mỗi lỗ hổng zero-day có thể gây thiệt hại lên đến hàng triệu USD trước khi được phát hiện và vá lỗi.

Sóng thần tấn công đang lan rộng

CISA yêu cầu các cơ quan liên bang Mỹ phải hoàn thành việc vá lỗi trong vòng 21 ngày - một thời hạn được coi là cực kỳ gấp gáp theo tiêu chuẩn của chính phủ. Điều này cho thấy mức độ nghiêm trọng mà CISA đánh giá đối với lỗ hổng BlueHammer. Với hơn 1.5 tỷ thiết bị Windows đang hoạt động trên toàn cầu, số lượng máy tính có khả năng bị tấn công là rất lớn.

Tại Việt Nam, theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), có khoảng 85% máy tính cá nhân và doanh nghiệp sử dụng hệ điều hành Windows với Microsoft Defender được kích hoạt mặc định. Chúng tôi ước tính có hàng triệu máy tính Việt Nam đang trong tình trạng dễ bị tấn công nếu chưa cập nhật bản vá bảo mật mới nhất.

Hành động ngay để bảo vệ hệ thống

Người dùng cá nhân cần thực hiện ngay các bước sau: Mở Windows Update thông qua Settings > Update & Security > Windows Update, sau đó click "Check for updates" để tải về các bản cập nhật mới nhất. Đảm bảo Microsoft Defender được cập nhật định nghĩa virus mới nhất bằng cách mở Windows Security > Virus & threat protection > Check for updates. Khởi động lại máy tính sau khi hoàn thành cập nhật để đảm bảo các thay đổi có hiệu lực.

Đối với doanh nghiệp và tổ chức, IT administrator cần triển khai bản vá thông qua Windows Server Update Services (WSUS) hoặc Microsoft System Center Configuration Manager (SCCM) một cách có hệ thống. Ưu tiên cập nhật cho các máy chủ quan trọng và máy tính có quyền truy cập vào dữ liệu nhạy cảm trước. Đồng thời, tăng cường giám sát log hệ thống để phát hiện các hoạt động bất thường có thể liên quan đến việc khai thác lỗ hổng BlueHammer.