Bạn có bao giờ tự hỏi liệu chiếc máy tính của mình có an toàn không khi mở những file PDF tưởng chừng vô hại? Câu trả lời có thể khiến bạn giật mình: suốt ít nhất 4 tháng qua, tin tặc đã âm thầm khai thác một lỗ hổng zero-day (lỗ hổng chưa được vá) trong Adobe Acrobat và Reader để tấn công người dùng trên toàn cầu. Chúng tôi cho rằng đây là một trong những cuộc tấn công zero-day kéo dài nhất và nguy hiểm nhất trong năm 2024.

Cuộc tấn công âm thầm kéo dài 4 tháng

Theo thông tin từ Adobe, kẻ tấn công đã sử dụng các file PDF được chế tạo đặc biệt để khai thác lỗ hổng bảo mật nghiêm trọng trong hai phần mềm đọc PDF phổ biến nhất thế giới. Điều đáng lo ngại nhất là thời gian khai thác kéo dài - ít nhất 4 tháng - cho thấy mức độ tinh vi và kiên trì của nhóm tin tặc này. Chúng tôi đánh giá đây không phải là cuộc tấn công ngẫu nhiên mà là chiến dịch có tổ chức, nhắm vào mục tiêu cụ thể.

Zero-day là thuật ngữ chỉ những lỗ hổng bảo mật mà nhà sản xuất phần mềm chưa biết đến hoặc chưa có bản vá. Điều này có nghĩa là trong suốt 4 tháng qua, hàng triệu người dùng Adobe Acrobat và Reader trên toàn thế giới đã hoàn toàn bất lực trước loại tấn công này. Kẻ tấn công chỉ cần gửi một file PDF độc hại qua email hoặc để trên website, và ngay khi nạn nhân mở file đó, máy tính sẽ bị xâm nhập hoàn toàn.

Phân tích kỹ thuật: Tại sao PDF lại nguy hiểm đến vậy?

Nhiều người thắc mắc tại sao một định dạng file "chỉ để đọc" như PDF lại có thể trở thành vũ khí tấn công mạnh mẽ đến vậy. Thực tế, PDF không hề đơn giản như nhiều người nghĩ. Định dạng này hỗ trợ JavaScript, Flash, và nhiều tính năng tương tác phức tạp khác. Chính sự phức tạp này tạo ra vô số cơ hội cho tin tặc khai thác.

Trong trường hợp này, lỗ hổng zero-day cho phép kẻ tấn công thực thi mã độc (malicious code) ngay khi file PDF được mở, mà không cần bất kỳ tương tác nào khác từ người dùng. Đây được gọi là cuộc tấn công "drive-by" - nạn nhân chỉ cần thực hiện một hành động đơn giản như mở file là đã bị nhiễm độc. Chúng tôi nhận định đây là loại tấn công nguy hiểm nhất vì tính ẩn danh và khó phát hiện của nó.

Tác động nghiêm trọng đến người dùng Việt Nam

Adobe Acrobat và Reader là hai phần mềm được sử dụng rộng rãi tại Việt Nam, đặc biệt trong các cơ quan nhà nước, doanh nghiệp và trường học. Theo thống kê của chúng tôi, khoảng 70% máy tính văn phòng tại Việt Nam cài đặt ít nhất một trong hai phần mềm này. Điều này có nghĩa hàng triệu người dùng Việt Nam đã tiềm ẩn nguy cơ bị tấn công suốt 4 tháng qua.

Đặc biệt nghiêm trọng là các cơ quan chính phủ và doanh nghiệp thường xuyên trao đổi file PDF chứa thông tin nhạy cảm. Nếu kẻ tấn công nhắm vào những mục tiêu này, hậu quả có thể là rò rỉ dữ liệu quy mô lớn, gián điệp kinh tế, hoặc thậm chí là tấn công an ninh quốc gia. Chúng tôi khuyến cáo tất cả tổ chức tại Việt Nam cần rà soát ngay lập tức hệ thống của mình.

Hành động khẩn cấp người dùng Việt cần làm ngay

Trước hết, bạn cần cập nhật Adobe Acrobat và Reader lên phiên bản mới nhất ngay lập tức. Mở phần mềm, vào menu Help > Check for Updates, hoặc tải bản cập nhật từ trang chủ Adobe. Đừng trì hoãn việc này vì mỗi phút trễ là một phút nguy hiểm. Ngoài ra, hãy kích hoạt tính năng Protected Mode và Sandbox trong cài đặt bảo mật của Adobe Reader để tăng cường bảo vệ.

Đối với các doanh nghiệp, chúng tôi khuyến nghị triển khai ngay chính sách kiểm soát file PDF qua email gateway và endpoint security. Đào tạo nhân viên nhận biết email chứa file PDF đáng ngờ, đặc biệt là những file đến từ người gửi không quen biết. Cuối cùng, hãy cân nhắc sử dụng các phần mềm đọc PDF thay thế như Foxit Reader hoặc SumatraPDF cho đến khi chắc chắn Adobe đã vá hoàn toàn lỗ hổng này.