Làm thế nào một bản vá bảo mật lại trở thành cửa hậu cho tin tặc? Câu trả lời đang khiến cộng đồng an ninh mạng toàn cầu lo ngại khi Microsoft vừa vô tình tạo ra lỗ hổng bảo mật mới thông qua bản vá không hoàn chỉnh. Nhóm tin tặc APT28 có liên quan đến tình báo quân sự Nga đã nhanh chóng khai thác lỗ hổng này để thực hiện các cuộc tấn công zero-click nhắm vào Ukraine và các nước EU. Chúng tôi cho rằng đây là minh chứng rõ ràng cho thấy việc vá lỗi vội vàng có thể gây hậu quả nghiêm trọng hơn cả lỗ hổng gốc.

Khi bản vá trở thành vũ khí tấn công

Lỗ hổng bảo mật ban đầu được Microsoft phát hiện và phát hành bản vá trong chu kỳ cập nhật định kỳ. Tuy nhiên, bản vá này được đánh giá là không đầy đủ, chỉ khắc phục một phần vấn đề và vô tình tạo ra vector tấn công mới. Điều đáng lo ngại là lỗ hổng mới này cho phép thực hiện các cuộc tấn công zero-click - tức là nạn nhân không cần thực hiện bất kỳ thao tác nào như click link hay mở file đính kèm.

APT28, còn được biết đến với tên gọi Fancy Bear, đã chứng minh khả năng phản ứng nhanh chóng của mình khi khai thác lỗ hổng này chỉ trong thời gian ngắn sau khi bản vá được phát hành. Nhóm tin tặc này không xa lạ gì với việc nhắm mục tiêu vào các cơ quan chính phủ và tổ chức quan trọng của Ukraine cũng như các nước EU, đặc biệt trong bối cảnh căng thẳng địa chính trị hiện tại.

Giải mã cơ chế tấn công không cần tương tác

Zero-click attack (tấn công không cần click) là một trong những kỹ thuật tấn công nguy hiểm nhất hiện nay. Khác với phishing hay malware truyền thống cần nạn nhân thực hiện một hành động nào đó, zero-click hoàn toàn tự động khai thác lỗ hổng hệ thống. Tin tặc chỉ cần biết địa chỉ IP hoặc thông tin cơ bản của mục tiêu để thực hiện tấn công từ xa.

Trong trường hợp này, bản vá không hoàn chỉnh của Microsoft đã tạo ra một entry point (điểm xâm nhập) mới trong Windows kernel hoặc các service quan trọng. Chúng tôi đánh giá đây là hậu quả của việc Microsoft vội vàng phát hành bản vá mà không kiểm tra kỹ lưỡng các tác động phụ. Điều này cho thấy quy trình kiểm thử bảo mật của Microsoft cần được cải thiện đáng kể, đặc biệt với các bản vá critical security update.

Tầm ảnh hưởng lan rộng khắp châu Âu

Các cuộc tấn công được ghi nhận chủ yếu tại Ukraine và một số nước EU, với mục tiêu là các cơ quan chính phủ, doanh nghiệp năng lượng và tổ chức quân sự. APT28 đã sử dụng lỗ hổng này để cài đặt backdoor và thu thập thông tin tình báo có giá trị. Theo ước tính sơ bộ, hàng nghìn hệ thống Windows chưa được cập nhật bản vá mới có thể đang trong tình trạng dễ bị tổn thương.

Đặc biệt đáng lo ngại là khả năng lan truyền nhanh chóng của các cuộc tấn công zero-click. Một khi tin tặc có được quyền truy cập vào một hệ thống trong mạng nội bộ, họ có thể dễ dàng thực hiện lateral movement (di chuyển ngang) để kiểm soát toàn bộ hạ tầng IT của tổ chức. Chúng tôi nhận định đây có thể là chiến dịch tấn công có quy mô lớn nhất của APT28 trong năm 2024.

Khẩn cấp: Hành động bảo vệ ngay lập tức

Người dùng và doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để bảo vệ hệ thống. Đầu tiên, kiểm tra và cài đặt bản vá bảo mật mới nhất từ Microsoft Windows Update, đồng thời kích hoạt automatic update để nhận bản vá khẩn cấp khi có. Tiếp theo, triển khai giải pháp EDR (Endpoint Detection and Response) để giám sát các hoạt động bất thường trên endpoint.

Chúng tôi khuyến nghị các doanh nghiệp nên thực hiện penetration testing định kỳ và áp dụng zero-trust security model. Đặc biệt quan trọng là backup dữ liệu thường xuyên và lưu trữ offline, vì các cuộc tấn công zero-click thường kết hợp với ransomware. Cuối cùng, đào tạo nhân viên IT về các kỹ thuật tấn công mới và xây dựng incident response plan cụ thể để ứng phó khi bị tấn công.