Làn sóng khai thác Java tấn công người dùng
Microsoft hôm thứ Hai cho biết đang có một "làn sóng chưa từng thấy" các cuộc tấn công khai thác lỗ hổng trong phần mềm Java của Oracle. Theo một giám đốc tại Trung tâm phòng chống mã độc của Microsoft (Microsoft Malware Protection Center - MMPC), những cố gắng khai thác lỗi Java đã tăng vọt trong chín tháng qua, từ dưới nửa triệu trong quý đầu năm nay đã leo lên hơn 6 triệu trong quý 3/2010.
"Một số họ phần mềm độc hại đang kể một câu chuyện kinh hoàng... một làn sóng chưa từng có khai thác lỗi Java", Holly Stewart, một giám đốc lập trình cao cấp tại MMPC, viết trong một bài đăng lên blog của nhóm hôm thứ Hai.
Oracle là một đối thủ của Microsoft, nhất là trong thị trường cơ sở dữ liệu doanh nghiệp, nơi mà SQL Server của Microsoft cạnh tranh với phần mềm máy chủ cơ sở dữ liệu hàng đầu của Oracle.
Stewart lưu ý rằng phần lớn các cuộc tấn công trong quý 3/2010 chỉ khai thác ba lỗ hổng của Java, tất cả đều đã được vá trong quý hoặc thậm chí những năm trước đây.
Lấy ví dụ, hơn 3,5 triệu trong số hơn 6 triệu cuộc tấn công đã cố gắng khai thác một lỗ hổng Java Runtime Environment (JRE) đã được vá hồi tháng 12/2008. Hơn 2,6 triệu cuộc tấn công nhắm tới lỗi tràn bộ đệm trong Java và JRE vào tháng 11/2009.
Stewart đã giả định vì sao sự gia tăng ồ ạt các cuộc tấn công không được chú ý, dựa trên những gì bà gọi là "Java mù" ở phía các nhà cung cấp phần mềm phát hiện và ngăn chặn xâm nhập IDS/IPS (intrusion-detection and -prevention software), được thiết kế để phát hiện và ngăn chặn việc khai thác trước khi chúng tiếp cận được các máy tính của một công ty.
"Các nhà cung cấp IDS/IPS... gặp thách thức trong việc phân tích cú pháp các chương trình viết bằng ngôn ngữ Java", Stewart khẳng định. "Hãy nghĩ về việc kết hợp một trình thông dịch Java vào một công cụ IPS... Nó sẽ gây ảnh hưởng hiệu năng trên một mạng IPS. Vì vậy những người mà chúng ta muốn thông báo sự gia tăng tấn công khai thác có thể khó nhìn thấy được... Hãy gọi nó là Java mù".
"Vì Java hỗ trợ mọi trình duyệt và cho phép chạy trên mọi nền tảng nên nó hấp dẫn cho những kẻ tấn công", Marc Fossi, Giám đốc đội phản ứng an ninh của Symantec, cho biết khi đề cập đến việc sử dụng Java của các trình duyệt thông dụng hiện nay, và trên Windows, Mac OS và Linux.
Những người khác đã đưa ra các giả định riêng về lý do tại sao bùng nổ các cuộc tấn công khai thác Java.
Tháng trước, blogger bảo mật Brian Krebs đã báo cáo rằng "Crimepack", một trong nhiều bộ công cụ tấn công trên diện rộng mà tin tặc sử dụng để cấy phần mềm độc hại của chúng vào các máy tính dễ bị tổn thương, đã rất thành công trong việc khai thác một lỗ hổng Java đã được vá hồi giữa tháng Tư vừa rồi. Oracle vá lỗ hổng này chỉ 6 ngày sau khi kỹ sư bảo mật Tavis Ormandy của Google công bố lỗ hổng.
Theo số liệu thống kê khai thác Crimepack mà Krebs tìm thấy trên mạng, 67% các cuộc tấn công thành công ghi nhận được là từ một băng nhóm tin tặc khai thác lỗ hổng Java.
Những kẻ tấn công sử dụng bộ công cụ như Crimepack khai thác trước tiên các lỗ hổng đã cũ, Fossi của Symantec giải thích. "Các bộ công cụ tấn công có xu hướng bao gồm một mảng rộng với khá nhiều mục tiêu khai thác trình duyệt, plug-in trình duyệt và những ứng dụng khác ở phía máy trạm", ông nói. "Chúng thường cố gắng khai thác lỗ hổng cũ trước tiên. Do đó, những khai thác mới hơn không nhiều".
Stewart của Microsoft khuyên người dùng nên cập nhật Java bằng cách áp dụng tất cả các bản vá có sẵn. Thứ Ba tuần trước, Oracle đã phát hành một bản cập nhật “khổng lồ” với 85 miếng vá bao gồm 29 bản sửa lỗi cho riêng Java.
Krebs từ lâu đã đề xuất lời khuyên mạnh mẽ hơn với người sử dụng, đó là gỡ bỏ cài đặt Java hoặc các công cụ cập nhật ít được sử dụng kiểu như Personal Software Inspector của Secunia để tự động cài đặt các bản cập nhật bảo mật Java.
Oracle vẫn chưa có bất cứ phản hồi nào với tuyên bố chắc nịch của Microsoft về tấn công khai thác Java.
