Sau cuộc tấn công chống lại trang web bảo mật DigiNotar của Hà Lan tuần trước, hacker được biết đến dưới tên gọi Comodohacker đã đưa ra lời đe dọa có thể tấn công dịch vụ Windows Update của Microsoft.
Trong một thông báo đăng trên Pastebin tuần trước nói về cuộc tấn công của mình, hacker khét tiếng tuyên bố rằng ông có thể cung cấp một bản cập nhật Windows giả mạo, mặc cho Microsoft đáp trả ngược lại.
Comodohacker cho biết: “Tôi có thể đưa ra bản cập nhật Windows mặc cho Microsoft tuyên bố rằng Windows có thể phát hiện bản cập nhật giả mạo. Để làm được điều này tôi đã đảo ngược giao thức cập nhật ENTIRE có trong Windows để nó có thể đọc một các tệp XML qua chứng nhận SSL bao gồm URL, các gói KB, SHA-1 hash của các tập tin cho mỗi lần cập nhật. Công cụ Windows Update sẽ xác minh các giao thức này được ký kết bằng cách sử dụng WinVerifyTrust API,...”.
Các chuyên gia bảo mật cho biết, nếu Comodohacker có thể thỏa hiệp với Windows Update thì về cơ bản ông có thể đưa vào hệ thống các gói phần mềm độc hại cho bất kỳ máy tính Windows nào chạy dịch vụ này.
Trong một bài vết trước đây về nghiên cứu bảo mật trên trang blog Security Research & Defense, Microsoft cho biết họ đã nhận ra được một số giấy chứng nhận giả mạo được phát hành bởi DigiNotar được cấp cho các lĩnh vực như Microsoft.com, Windowsupdate.com và Update.microsoft.com. Kết quả là, công ty chỉ định tất cả các giấy chứng nhận DigiNotar là không đáng tin và ngay lập tức cung cấp bản cập nhật bảo mật của Windows có thể được cài đặt bằng tay và sẽ tự động cài đặt cho tất cả người dùng bật chế độ Auto Update.
Tuy nhiên, mặc dù đưa ra những hành động của mình nhưng Microsoft cho rằng Windows Update của công ty có chức năng bảo vệ tránh bất kỳ mối đe dọa từ các chứng chỉ bảo mật giả.
Theo kỹ sư Jonathan Ness của Microsoft viết trên blog thì những kẻ tấn công không thể tận dụng một giấy chứng nhận Windows Update giả mạo để cài đặt phần mềm độc hại thông qua máy chủ Windows Update. Windows Update client sẽ chỉ cài đặt các bản cập nhật có chữ ký xác nhận chứng chỉ CA của Microsft vốn được ban hành và đảm bảo bởi Microsoft”.
Được biết trước đó, Comodohacker đã tấn công trang bảo mật DigiNotar của Hà Lan với việc phát hành các chứng nhận Secure Sockets Layer (SSL) giả mạo của Google, Microsoft, Skype, Twitter và một loạt các tổ chức khác. Hacker này cũng đã đe dọa phát hành giấy chứng nhận giả mạo của các công ty khác.
Giấy chứng nhận SSL xác thực các trang web Web an toàn để xác minh rằng người sử dụng kết nối với các trang web đó mà không lo bị tấn công mã độc. Giả mạo giấy chứng nhận đặc biệt đáng báo động vì chúng có thể chuyển hướng người sử dụng Internet vào các trang web giả mạo, thường là một cách để cung cấp phần mềm độc hại và có thể dễ dàng phá hủy các chứng chỉ CA.
Để biện minh cho hành động của mình chống lại DigiNotar, Comodohacker đã đổ lỗi cho hành động thất bại mà chính phủ Hà Lan đã thực hiện để ngăn chặn nạn diện chủng vào năm 2002, vụ thảm sát khiến 8.000 đàn ông và trẻ nhỏ bị giết bởi lực lượng cảnh sát Bosnian Serb.
Theo XHTT
Bình luận