Theo nhà nghiên cứu Tavis Ormandy, những lỗ hổng này không đòi hỏi tương tác người dùng, ảnh hưởng đến cấu hình mặc định và các phần mềm chạy ở mức ưu tiên cao nhất có thể. Trong trường hợp nhất định trên Windows, mã độc thậm chí còn được tải vào kernel, dẫn đến lỗi bộ nhớ kernel từ xa.

Trước đó, Symantec đã phát hành bản tin an ninh riêng, liệt kê 17 sản phẩm doanh nghiệp của Symantec và 8 sản phẩm người dùng và doanh nghiệp nhỏ của Norton bị ảnh hưởng. Theo Ormandy, lỗ hổng này dễ khai thác, cho phép việc khai thác lan rộng từ máy tính này đến máy tính khác qua mạng mục tiêu, hoặc qua Internet nói chung.

Lỗ hổng nằm trong engine các sản phẩm sử dụng để đảo ngược công cụ nén mà tác giả mã độc thường sử dụng để giấu payload độc hại. Trình giải nén sẽ phân tích mã chứa trong file trước khi cho phép tải về hoặc thực thi. Vì Symantec chạy trình giải nén trực tiếp trong kernel hệ điều hành, lỗi có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn máy tính tồn tại lỗ hổng.

Nhà nghiên cứu cho biết một trong những khai thác proof-of-concept mà mình phát minh hoạt động bằng cách trình giải nén xử lý các hồ sơ cỡ lẻ, gây ra việc đầu vào được làm tròn không đúng, dẫn đến lỗi tràn bộ đệm. Một “thư viện giải nén” riêng biệt trong phần mềm có lỗ hổng chứa mã nguồn mở mà trong một số trường hợp đã không được cập nhật trong ít nhất là bảy năm.

Bản tin an ninh được phát hành hôm thứ 3 cũng bao gồm các bản vá lỗi, hầu hết sẽ được tự động cập nhật. Với các lỗi còn lại, người dùng cuối hoặc quản trị viên sẽ phải tự cài đặt bản vá.

Dù hầu hết các trang web phổ biến đã khắc phục được lỗi, điều này không có nghĩa là người dùng có thể lơ là cảnh giác.

Heartbleed làm ảnh hưởng tới các phần mềm trình khách (client software) như trình khách Web, trình khách email, trình khách chat, trình khách FTP, các ứng dụng di động, trình khách VPN, các chương trình cập nhật phần mềm – đây chỉ là một số nhỏ những ứng dụng bị ảnh hưởng. Nói tóm lại, bất kỳ trình khách nào tương tác thông qua các giao thức bảo mật SSL/TLS sử dụng phiên bản OpenSSL chứa lỗ hổng bảo mật đều có thể bị tấn công.
Hơn nữa, Heartbleed ảnh hưởng tới rất nhiều máy chủ khác ngoài những máy chủ Web, trong đó có máy chủ proxies, máy chủ media, máy chủ game, máy chủ CSDL, máy chủ chat và máy chủ FTP. Các thiết bị phần cứng cũng không miễn nhiễm với mối đe dọa bảo mật này. Nó có thể ảnh hưởng tới các bộ định tuyến routers, các hệ thống điện thoại doanh nghiệp (FBXes) và nhiều nhiều thiết bị khác nữa trong kỷ nguyên “mọi thứ kết nối Internet”.
Việc tấn công những máy chủ phần mềm và phần cứng này thông qua lỗ hổng bảo mật Heartbleed được thực hiện theo cách tương tự như tấn công vào một trang web có chứa lỗ hổng bảo mật. Tuy nhiên, những tấn công vào các trình khách, về cơ bản, có thể được thực hiện theo phương thức ngược lại.

Một trình khách có chứa lỗ hổng bị tấn công theo phương thức ngược lại với tấn công vào một máy chủ

Thông thường, việc khai thác lỗ hổng Heartbleed được mô tả là một trình khách tấn công bằng cách gửi một thông điệp có chứa Heartbleed độc hại tới máy chủ có lỗ hổng, sau đó máy chủ sẽ để lộ dữ liệu cá nhân. Tuy nhiên, phương thức ngược lại cũng khả thi. Một trình khách có chứa lỗ hổng có thể kết nối tới một máy chủ, và máy chủ này có thể gửi thông điệp kèm Heartbleed độc hại tới trình khách. Sau đó, trình khách sẽ phản hồi lại với những dữ liệu phụ được tìm thấy trong bộ nhớ của nó, điều này tiềm ẩn nguy cơ lộ thông tin cá nhân và các dữ liệu cá nhân khác.
May mắn là, dù các trình khách có chứa lỗ hổng thì việc khai thác lỗ hổng cũng khó thực hiện ngoài đời thực. Hai thủ thuật tấn công chủ đạo là hướng dẫn khách hàng truy nhập vào một máy chủ SSL/TLS độc hại và/hoặc lấy cắp 1 kết nối qua một điểm yếu không liên quan. Cả 2 phương pháp đều thực sự khá phức tạp đối với những kẻ tấn công.
Do vậy, các doanh nghiệp cần lưu ý một số điểm sau:
• Đây là một lỗ hổng bảo mật thuộc thư viện OpenSSL và không phải là lỗi nằm trong SSL/TLS hay những chứng nhận được Symantec đưa ra
• Bất kỳ ai đang sử dụng OpenSSL 1.0.1 tới 1.0.1f nên cập nhật phiên bản vá mới nhất của phần mềm (1.0.1g) hoặc thiết lập lại OpenSSL loại bỏ phần Heartbleed
• Sau khi nâng cấp lên phiên bản OpenSSL vá lỗi, nếu bạn nghi ngờ rằng chứng nhận trên máy chủ web của bạn có thể đã bị lộ, lấy cắp hoặc bị khai thác, hãy liên hệ với đơn vị cấp chứng nhận để thay thế.
• Cuối cùng, các doanh nghiệp cũng nên cân nhắc thiết lập lại mật khẩu của người dùng cuối – có thể đã bị lộ trên bộ nhớ máy chủ.
Lời khuyên cho người dùng cuối:
• Người dùng cuối nên cảnh giác rằng dữ liệu của mình có thể đã bị lộ cho một bên thứ ba vì sử dụng nhà cung cấp dịch vụ có chứa lỗ hổng bảo mật
• Theo dõi để biết bất kỳ thông báo nào từ nhà cung cấp dịch vụ bạn sử dụng. Khi nhà cung cấp dịch vụ liên hệ và thông báo với người dùng rằng họ nên thay mật khẩu, người dùng nên làm như vậy.
• Tránh những email lừa đảo từ những kẻ tấn công yêu cầu bạn cập nhật mật khẩu, tránh truy nhập vào những website lạ, chỉ nên truy nhập vào những tên miền chính thống.
• Sử dụng các dịch vụ và website uy tín bởi họ sẽ là những người đầu tiên vá lỗ hổng bảo mật này.
• Theo dõi tài khoản ngân hàng và thẻ tín dụng để phát hiện những khoản chi tiêu bất thường nào.
Ngoài ra, Symantec cũng khuyến cáo thêm:
• Tránh truy nhập vào những tên miền lạ với bất kỳ phần mềm trình khách nào
• Ngừng sử dụng các dịch vụ proxy chưa được vá lỗi
• Cập nhật phần cứng và phần mềm ngay khi nhà sản xuất công bố bản vá.
• Sử dụng một trình khách VPN và những dịch vụ được đảm bảo không bị ảnh hưởng bởi Heartbleed khi truy nhập trên các mạng công cộng.
LỆ THÀNH

Chiêu thức này sử dụng một tiêu đề thư đơn giản với tên gọi “Documents” (Tài liệu) và hối thúc người dùng hiển thị nội dung của một tài liệu quan trọng trên Google Docs bằng cách nhấn chuột vào liên kết đính kèm. Liên kết đính kèm sẽ hướng người dùng tới một trang truy nhập Google Docs giả mạo mà sau đó người dùng sẽ phải điền thông tin truy nhập của họ. Từ đây, thông tin truy nhập của người dùng sẽ được gửi tới một máy chủ web do tội phạm mạng kiểm soát để lưu trữ trước khi họ được chuyển hướng tới tài liệu Google Docs thực sự. Điều này khiến cho trò lừa đảo trở nên tinh vi và gần như không có kẽ hở.

Hình minh họa trang truy nhập Google Docs giả mạo

 Tài khoản Google thực sự là mục tiêu có giá trị đối với những kẻ lừa đảo bởi chúng có thể sử dụng những tài khoản này để tiếp cận với nhiều dịch vụ của người dùng, gồm cả Gmail và Google Play – cho phép chúng mua các ứng dụng và nội dung trên nền Android.

Symantec khuyến cáo người dùng trực tuyến nên thực hành cẩn trọng đối với những dịch vụ mà họ tiếp cận từ một trang web uy tín và không mở những email với những liên kết không rõ ràng. Người dùng cũng nên cân nhắc sử dụng những giải pháp bảo mật như Norton 360 hoặc Norton Internet Security 2014.

LỆ THÀNH

Nhiều thư rác liên quan tới ngày lễ Tình yêu đã được lan truyền khá nhiều trên mạng lưới Probe của Symantec  (Symantec’s Probe Network). Những tổ hợp từ khóa hay được sử dụng trong các thông điệp thư rác bao gồm:

• Find-Your-Valentine (Tìm kiếm quà tặng cho ngày lễ Tình yêu)
• eCards-for-Valentine (Thiệp chúc mừng điện tử cho ngày lễ Tình yêu)
• Valentine’s-Day-Flowers (Hoa đẹp ngày lễ Tình yêu)

Thư rác về thiệp chúc mừng điện tử ngày lễ tình yêu sẽ được gửi đi đính kèm với một tệp tin độc hại có tên ValentineCard4you.zip. Khi người dùng mở tệp tin đính kèm, mã độc sẽ được tải về máy tính của họ. Symantec đã phát hiện tệp tin đính kèm là một Trojan có tên là Backdoor.Trojan.

Thiệp chúc mừng điện tử với tệp tin độc hại đính kèm

Thư rác chào mời thiệp chúc mừng điện tử

Điều thú vị ở đây là trong một mẫu thư rác, tội phạm mạng mời gọi người dùng mua sản phẩm được quảng cáo với một mã giảm giá giả mạo. Kèm theo những hứa hẹn “trên trời”, thư rác này cũng quảng cáo bán hàng giảm giá trước ngày lễ Tình yêu và bán đồng hồ nhái thương hiệu nổi tiếng giống như thật:

• Accuracy (độ chính xác cao)
• Movement (chuyển động mượt mà)
• Labeling (nhãn hiệu thật)
• Materials (vật liệu như thật)

Mã giảm giá được sử dụng trong các tấn công thư rác này, chẳng hạn như vday[MỘT DÃY SỐ NGẪU NHIÊN], được sử dụng để lừa phỉnh người dùng nhấp chuột vào liên kết URL để được nhận “món hời” đó.

Thư rác mời gọi giảm giá giả mạo

Khi nhấp chuột vào liên kết, người dùng sẽ được chuyển hướng tới một trang web yêu cầu cung cấp thông tin cá nhân. Động cơ chính của những quảng cáo khuyến mãi giả mạo này là lấy được thông tin cá nhân cũng như thông tin tài chính của người dùng.

Những thư rác liên quan tới ngày lễ Tình yêu có thể có tiêu đề như sau:

• Subject: Pre Valentine Discount Code (Mã giảm giá bán hàng trước ngày lễ Tình yêu)
• Subject: Pre Valentine Day discounts (Giảm giá bán hàng trước ngày lễ Tình yêu)
• Subject: Valentines Day is Getting Closer! Order Flowers for Her Right Now! (Ngày lễ Tình yêu đang tới gần! Hãy tặng hoa cho người bạn yêu ngay từ bây giờ)
• Subject: [REMOVED]@[REMOVED].com :Someone sent you a Valentine Message ([Địa chỉ người gửi]@[địa chỉ trang web].com: Một người bạn đã gửi thông điệp tới bạn nhân ngày lễ Tình yêu)
• Subject: Best Valentine’s Day Bouquets on Sale! (Những bó hoa đẹp nhất ngân ngày lễ Tình yêu đang được bán giảm giá)
• Subject: Don’t go Broke over Valentines Day, Quick and Easy Loans Here (Đừng lo lắng trong ngày lễ Tình yêu, vay nợ nhanh chóng và dễ dàng tại đây)
• Subject: You Will Lose 28 Lbs Of Fat By Valentines Day (Bạn sẽ giảm cân 13kg trong dịp lễ Tình yêu này)
• Subject: Send FREE eCards this VALENTINES DAY (Gửi thiệp chúc mừng điện tử MIỄN PHÍ nhân ngày lễ Tình yêu)

Mua sắm trực tuyến thông thường sẽ an toàn khi bạn tin tưởng vào các trang web được bảo mật tốt và có uy tín. Symantec khuyên người dùng nên cảnh giác khi nhận được những email không rõ nguồn gốc hoặc những email không mong muốn được gửi tới, đồng thời thường xuyên cập nhật chữ ký chống thư rác.

LỆ THÀNH

Những phiên bản mới nhất này giúp nâng cao hiệu năng hoạt động và khả năng bảo vệ hàng đầu, và được thiết kế tương thích với những tính năng mới của hệ điều hành Windows 8.1.

Theo báo cáo hiện trạng các mối đe dọa bảo mật gần đây nhất của Symantec, số lượng các cuộc tấn công Web tăng 30% trong năm 2012, chủ yếu do sự gia tăng số lượng các công cụ mã độc và tần suất xuất hiện ngày càng lớn của các lỗ hổng bảo mật chưa được vá lỗi trên các trang web.

Ông Philip Routley, Giám đốc marketing sản phẩm khối Tiêu dùng cá nhân và Doanh nghiệp nhỏ, tập đoàn Symantec nhận định: “Người dùng có thể bị tấn công ngay cả khi họ đang truy nhập vào một trang web chính thống, và một cuộc tấn công mạng sẽ khiến thiết bị và thông tin cá nhân của người dùng đứng trước nhiều nguy cơ rủi ro. Với những phiên bản Norton mới nhất, chúng tôi mang tới khả năng bảo mật toàn diện cần thiết giúp bảo vệ mọi thiết bị ngày nay trước những mối đe dọa bảo mật mới đang ngày càng gia tăng mà không ảnh hưởng tới hiệu năng hệ thống.”

Mỗi sản phẩm bảo mật mới của Norton đều có 5 lớp bảo mật được cấp bản quyền, gồm nhiều cải tiến về khả năng bảo mật, hiệu năng cũng như khả năng ứng dụng. Những cải tiến chính bao gồm: Khả năng sửa lỗi tân tiến, Cơ chế SONAR được cải tiến, Khắc phục và dọn dẹp hệ thống nhờ SONAR, Cài đặt và quản lý đơn giản hơn, Hiệu năng nhanh hơn, Norton Identity Safe được nâng cấp.

Những phiên bản mới nhất của sản phẩm Norton 360 Multi-Device, Norton Internet Security và Norton AntiVirus sẽ được bày bán tại Việt Nam qua các cửa hàng bán lẻ và trên trang trực tuyến www.norton.com bắt đầu từ tháng 12 năm 2013. Mức giá dự kiến cho Norton 360 Multi-Device là 1.119.000 đồng (tương đương khoảng 53,10 USD), cung cấp khả năng bảo vệ trong vòng 1 năm cho 5 thiết bị khác nhau. Mức giá khởi điểm cho Norton Internet Security là khoảng 296.000 đồng (khoảng 14,05 USD), bản quyền bảo vệ trong vòng 1 năm cho một máy tính. Mức giá khởi điểm cho Norton Mobile Security (1 năm bản quyền cho 1 thiết bị di động) là 210.000 đồng (khoảng 10 USD). Mức giá khởi điểm cho Norton AntiVirus là 195.000 đồng (khoảng 9.29 USD), bản quyền bảo vệ 1 máy tính trong vòng 1 năm.

MINH THIỆN