Các bài cơ sở dữ liệu tri thức (knowledge base articles) của Microsoft được cập nhật và sửa đổi khá nhiều lần. Có một số điều quan trọng mà người dùng cần lưu ý trước khi cập nhật.
Thứ nhất, bản vá gộp tháng 01/2018 và các bản vá bảo mật sắp tới của Windows sẽ không được cài đặt nếu nhà cung cấp phần mềm antivirus không tuân thủ hướng dẫn của Microsoft. Một số nhà cung cấp phần mềm antivirus sử dụng các kỹ thuật để qua mặt tính năng Kernel Patch Protection bằng cách chèn thêm một hypervisor (phần mềm giúp chạy nhiều máy ảo trên một hệ thống) nhằm chặn các lệnh gọi của hệ thống và sử dụng một số giả thiết về vị trí bộ nhớ. Vị trí bộ nhớ sẽ thay đổi khi áp dụng bản vá lỗ hổng Meltdown.
Một số kỹ thuật mà các nhà cung cấp phần mềm antivirus đang sử dụng gần giống với kỹ thuật của rootkit. Sự thật là Microsoft giới thiệu Kernel Patch Protection cách đây một thập kỷ nhằm chống lại rootkit. Vì một số nhà cung cấp phần mềm antivirus sử dụng những kỹ thuật không rõ ràng, nên có thể dẫn đến “màn hình xanh chết chóc”. Lẽ ra điều này không thể xảy ra đối với những hệ điều hành mới, nhưng một số nhà cung cấp phần mềm antivirus vẫn có thể bằng cách nào đó xâm nhập hypervisor.
Để ngăn chặn, Microsoft đã yêu cầu , để xác nhận nó đang hoạt động trên hệ thống đã vá lỗ hổng của CPU. Nếu phần mềm diệt virus không thêm khoá vào registry, người dùng sẽ không thể cập nhật được bản vá bảo mật nào nữa.
Lưu ý rằng, điều này không chỉ ảnh hưởng tới Windows Update mà còn ảnh hưởng cả Windows Server Update Services (WSUS) và System Center Configuration Manager (SCCM). Nguy hiểm hơn, với WSUS và SCCM, PC và máy chủ sẽ hiển thị các bản vá là “Not Applicable/Not Required” (không thích hợp/không cần thiết), khiến người dùng nghĩ rằng hệ thống đã được vá đầy đủ, trong khi chưa hề được vá.
Chuyên gia bảo mật người Anh – Kevin Beaumont, đã tổng hợp . Những nhà cung cấp có hai chữ “Y, Y” nghĩa là sản phẩm của họ có hỗ trợ bản vá bảo mật tháng 01/2018 của Microsoft với khóa registry tương thích. Với các nhà cung cấp khác, người dùng sẽ khá vất vả để có thể cập nhật được bản vá. Chẳng hạn như đối với Symantec Endpoint Protection, Symantec đã khuyến cáo người dùng chưa nên cập nhật bản vá của Microsoft:
Thứ hai, những sản phẩm bảo mật cho thiết bị đầu cuối thế hệ mới sẽ không áp dụng khóa registry. Những nhà cung cấp công cụ bảo mật cho thiết bị đầu cuối thế hệ mới thường tự định danh sản phẩm của họ chỉ là công cụ bổ trợ hoặc lớp bảo vệ phụ cho phần mềm antivirus, tuy nhiên gần đây họ đã tự nhận sản phẩm của họ có thể thay thế phần mềm antivirus. Điều này khá hấp dẫn người dùng, bởi những sản phẩm bổ trợ thì rẻ hơn phần mềm antivirus. Tuy nhiên, những sản phẩm này sẽ không thiết lập khoá registry cho việc đảm bảo tương thích theo yêu cầu của Microsoft. Gần như tất cả các nhà cung cấp cho rằng, họ không sử dụng các kỹ thuật có thể làm hệ thống hiện “màn hình xanh chết chóc”, bởi khách hàng cũng có thể cài các phần mềm diệt antivirus khác.
Chẳng hạn như phần mềm TRAPS của Palo-Alto được thiết kế để bảo vệ người dùng khỏi những nguy cơ đã biết và chưa biết, nhưng tại thời điểm này, người dùng sẽ không được bảo vệ khỏi những kẻ muốn lợi dụng lỗ hổng Meltdown.
Palo-Alto không phải là nhà cung cấp duy nhất gặp vấn đề với các yêu cầu của Microsoft. Công ty Cylance cũng quảng cáo phần mềm CylancePROTECT có thể thay thế các phần mềm antivirus, nhưng họ cũng không tự động thiết lập khoá registry.
Cuối cùng, người dùng nên lưu ý rằng với Windows Server, các bản vá lỗ hổng Meltdown và Spectre không thực sự hoạt động. Theo , dù đã được cài đặt, các bản vá chỉ có tác dụng nếu hệ điều hành xác nhận các khoá registry đã được thêm vào. Thậm chí, nếu là máy ảo Hyper-V thì phải tắt tất cả các máy ảo rồi khởi động lại máy chủ để những thay đổi được hoạt động.
Nguyễn Anh Tuấn
Theo DoublePulsar
08:00 | 16/06/2020
16:00 | 06/08/2024
Nhóm tin tặc Stargazer Goblin thực hiện phân phối dưới dạng dịch vụ (DaaS) phần mềm độc hại từ hơn 3.000 tài khoản giả mạo trên GitHub.
13:00 | 06/08/2024
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.
09:00 | 20/06/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến Máy chủ WebLogic của Oracle vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024