Các bài cơ sở dữ liệu tri thức (knowledge base articles) của Microsoft được cập nhật và sửa đổi khá nhiều lần. Có một số điều quan trọng mà người dùng cần lưu ý trước khi cập nhật.
Thứ nhất, bản vá gộp tháng 01/2018 và các bản vá bảo mật sắp tới của Windows sẽ không được cài đặt nếu nhà cung cấp phần mềm antivirus không tuân thủ hướng dẫn của Microsoft. Một số nhà cung cấp phần mềm antivirus sử dụng các kỹ thuật để qua mặt tính năng Kernel Patch Protection bằng cách chèn thêm một hypervisor (phần mềm giúp chạy nhiều máy ảo trên một hệ thống) nhằm chặn các lệnh gọi của hệ thống và sử dụng một số giả thiết về vị trí bộ nhớ. Vị trí bộ nhớ sẽ thay đổi khi áp dụng bản vá lỗ hổng Meltdown.
Một số kỹ thuật mà các nhà cung cấp phần mềm antivirus đang sử dụng gần giống với kỹ thuật của rootkit. Sự thật là Microsoft giới thiệu Kernel Patch Protection cách đây một thập kỷ nhằm chống lại rootkit. Vì một số nhà cung cấp phần mềm antivirus sử dụng những kỹ thuật không rõ ràng, nên có thể dẫn đến “màn hình xanh chết chóc”. Lẽ ra điều này không thể xảy ra đối với những hệ điều hành mới, nhưng một số nhà cung cấp phần mềm antivirus vẫn có thể bằng cách nào đó xâm nhập hypervisor.
Để ngăn chặn, Microsoft đã yêu cầu các nhà cung cấp phần mềm antivirus thêm một khoá registry mỗi khi chương trình khởi động, để xác nhận nó đang hoạt động trên hệ thống đã vá lỗ hổng của CPU. Nếu phần mềm diệt virus không thêm khoá vào registry, người dùng sẽ không thể cập nhật được bản vá bảo mật nào nữa.
Lưu ý rằng, điều này không chỉ ảnh hưởng tới Windows Update mà còn ảnh hưởng cả Windows Server Update Services (WSUS) và System Center Configuration Manager (SCCM). Nguy hiểm hơn, với WSUS và SCCM, PC và máy chủ sẽ hiển thị các bản vá là “Not Applicable/Not Required” (không thích hợp/không cần thiết), khiến người dùng nghĩ rằng hệ thống đã được vá đầy đủ, trong khi chưa hề được vá.
Chuyên gia bảo mật người Anh – Kevin Beaumont, đã tổng hợp thông tin về việc tuân thủ hướng dẫn của Microsoft của các nhà cung cấp phần mềm antivirus. Những nhà cung cấp có hai chữ “Y, Y” nghĩa là sản phẩm của họ có hỗ trợ bản vá bảo mật tháng 01/2018 của Microsoft với khóa registry tương thích. Với các nhà cung cấp khác, người dùng sẽ khá vất vả để có thể cập nhật được bản vá. Chẳng hạn như đối với Symantec Endpoint Protection, Symantec đã khuyến cáo người dùng chưa nên cập nhật bản vá của Microsoft:
Thứ hai, những sản phẩm bảo mật cho thiết bị đầu cuối thế hệ mới sẽ không áp dụng khóa registry. Những nhà cung cấp công cụ bảo mật cho thiết bị đầu cuối thế hệ mới thường tự định danh sản phẩm của họ chỉ là công cụ bổ trợ hoặc lớp bảo vệ phụ cho phần mềm antivirus, tuy nhiên gần đây họ đã tự nhận sản phẩm của họ có thể thay thế phần mềm antivirus. Điều này khá hấp dẫn người dùng, bởi những sản phẩm bổ trợ thì rẻ hơn phần mềm antivirus. Tuy nhiên, những sản phẩm này sẽ không thiết lập khoá registry cho việc đảm bảo tương thích theo yêu cầu của Microsoft. Gần như tất cả các nhà cung cấp cho rằng, họ không sử dụng các kỹ thuật có thể làm hệ thống hiện “màn hình xanh chết chóc”, bởi khách hàng cũng có thể cài các phần mềm diệt antivirus khác.
Chẳng hạn như phần mềm TRAPS của Palo-Alto được thiết kế để bảo vệ người dùng khỏi những nguy cơ đã biết và chưa biết, nhưng tại thời điểm này, người dùng sẽ không được bảo vệ khỏi những kẻ muốn lợi dụng lỗ hổng Meltdown.
Palo-Alto không phải là nhà cung cấp duy nhất gặp vấn đề với các yêu cầu của Microsoft. Công ty Cylance cũng quảng cáo phần mềm CylancePROTECT có thể thay thế các phần mềm antivirus, nhưng họ cũng không tự động thiết lập khoá registry.
Cuối cùng, người dùng nên lưu ý rằng với Windows Server, các bản vá lỗ hổng Meltdown và Spectre không thực sự hoạt động. Theo hướng dẫn của Microsoft, dù đã được cài đặt, các bản vá chỉ có tác dụng nếu hệ điều hành xác nhận các khoá registry đã được thêm vào. Thậm chí, nếu là máy ảo Hyper-V thì phải tắt tất cả các máy ảo rồi khởi động lại máy chủ để những thay đổi được hoạt động.
Nguyễn Anh Tuấn
Theo DoublePulsar
08:00 | 16/06/2020
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
Các nhà nghiên cứu tới từ nhóm tình báo mối đe dọa Cisco Talos đã phát hiện một tác nhân đe dọa mới có nguồn gốc từ Việt Nam là CoralRaider đang thực hiện chiến dịch đánh cắp thông tin đăng nhập, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo.
19:00 | 30/04/2024