Windows có một lỗ hổng bảo mật đã tồn tại 8 năm có thể bạn chưa biết

Vào năm 2024, các nhà nghiên cứu bảo mật của Trend Micro đã phát hiện ra một lỗ hổng trong .lnk shortcuts, có thể bị khai thác để tải xuống phần mềm độc hại. Tuy nhiên, điều đáng chú ý là dường như lỗ hổng này đã bị khai thác từ năm 2017, nhưng đến nay vẫn chưa được xử lý dứt điểm.

Điều này đặt ra câu hỏi về cách Microsoft tiếp cận các vấn đề bảo mật dài hạn, và mức độ an toàn thực sự của Windows trước các cuộc tấn công mạng.

.lnk shortcuts được sử dụng rộng rãi để liên kết đến các tệp, thư mục hoặc chương trình. Tuy nhiên, chính tính năng này cũng tạo ra lỗ hổng cho tin tặc khai thác.

Lỗ hổng bảo mật liên quan đến tệp .lnk dường như đã bị khai thác từ năm 2017. Ảnh: Microsoft

Cách thức tấn công phổ biến là nhúng mã độc vào tệp .lnk, sau đó phân phối qua email, liên kết tải xuống hoặc thậm chí gắn vào thiết bị lưu trữ di động như USB.

Khi người dùng mở thư mục chứa tệp .lnk, Windows sẽ tự động tải và thực thi mã độc mà không có cảnh báo rõ ràng. Một số phần mềm độc hại như Lumma Stealer hoặc GuLoader đã được phát hiện sử dụng kỹ thuật này để xâm nhập hệ thống.

Microsoft và phản ứng chậm chạp trước lỗ hổng

Điều đáng nói là mặc dù Microsoft đã được thông báo về lỗ hổng này từ tháng 9-2024, nhưng hãng vẫn chưa có động thái khắc phục đáng kể. Theo Trend Micro, Microsoft đã đánh giá vấn đề ở mức độ nghiêm trọng thấp, đồng nghĩa với việc bản vá có thể sẽ không được phát hành trong tương lai gần. Điều này khiến nhiều chuyên gia bảo mật lo ngại, đặc biệt khi phương thức tấn công qua tệp .lnk ngày càng phổ biến.

Trước đây, Microsoft từng phát hành bản vá cho một lỗ hổng tương tự vào năm 2017, với mã định danh CVE-2017-8464.

Lỗ hổng này cũng liên quan đến tệp .lnk và cho phép thực thi mã từ xa khi người dùng xem biểu tượng của phím tắt. Tuy nhiên, việc tiếp tục xuất hiện các phương thức tấn công liên quan đến .lnk cho thấy bản vá đó chưa đủ mạnh để ngăn chặn triệt để nguy cơ bị khai thác.

Một phát ngôn viên của Microsoft khi được hỏi về vấn đề này chỉ đưa ra khuyến nghị chung chung: "Người dùng nên cẩn thận khi tải xuống các tệp từ nguồn không xác định". Điều này không thực sự giúp giảm thiểu rủi ro, đặc biệt với những cuộc tấn công có tính chất tinh vi, khai thác lỗ hổng trong chính cách Windows xử lý tệp phím tắt.

Vì sao tệp .lnk trở thành công cụ tấn công phổ biến?

Trong vài năm qua, Microsoft đã siết chặt việc sử dụng macro trong các tệp Office tải xuống từ Internet nhằm ngăn chặn các cuộc tấn công lừa đảo qua email. Khi kênh tấn công này bị đóng lại, tin tặc nhanh chóng chuyển hướng sang các phương thức khác, trong đó có việc sử dụng tệp .lnk.

Theo báo cáo từ Intezer, kể từ năm 2022, số lượng chiến dịch tấn công sử dụng tệp .lnk đã tăng mạnh, đặc biệt trong các chiến dịch phát tán mã độc như QakBot hay Emotet. Với việc macro không còn là lựa chọn hàng đầu để chèn mã độc vào tệp Office, tệp .lnk trở thành một công cụ thay thế hiệu quả, giúp kẻ tấn công vượt qua các cơ chế bảo vệ của Windows một cách dễ dàng.

Người dùng cần làm gì để tự bảo vệ mình?

Dù Microsoft chưa có biện pháp khắc phục triệt để, người dùng vẫn có thể chủ động giảm thiểu rủi ro từ lỗ hổng này bằng một số biện pháp:

- Không mở tệp shortcuts từ nguồn không xác định, đặc biệt là các tệp được gửi qua email, tải từ Internet hoặc nhận từ USB không rõ nguồn gốc.

- Bật hiển thị phần mở rộng tệp trong Windows để dễ dàng phân biệt các tệp thực thi nguy hiểm giả dạng phím tắt.

- Sử dụng phần mềm bảo mật mạnh để phát hiện và ngăn chặn tệp .lnk độc hại. Một số giải pháp bảo mật tiên tiến có thể nhận diện và cảnh báo về các tệp shortcut bị sửa đổi bất thường.

- Cập nhật hệ điều hành và phần mềm bảo mật thường xuyên để đảm bảo hệ thống có khả năng chống lại các phương thức tấn công mới.

Tiểu Minh