Quản trị mạng - Ngày hôm qua, Microsoft vừa có thông báo rằng mã tấn công đã được phát hành nhằm vào một lỗ hổng nghiêm trọng trong các phiên bản trước đây của phần mềm cơ sở dữ liệu SQL Server của hãng, bên cạnh đó Microsoft cũng khuyên người dùng sử dụng cách giải quyết tạm thời này.

Lỗi bảo mật này được báo cáo lần đầu đến Microsoft vào tháng 4 năm 2008 bởi một công ty tư vấn bảo mật Áo mang tên SEC Consult. Tuy nhiên công ty này nói rằng không thể đợi Microsoft quyết định thời điểm khi nào phát hành bản vá lỗi và đã tiết lộ lỗi này hai tuần vừa qua cùng với công bố mã khai thác proof-of-concept.

Theo SEC Consult, Microsoft đã có thể có sẵn sàng một bản vá lỗi vào khoảng ba tháng gần đây nhưng đến giờ phút này vẫn chưa có phát hành bản vá lỗi.

Về phía Microsoft, trong một mục tư vấn bảo mật được phát hành vào thứ Hai vừa qua, Microsoft cũng đã cho biết rằng, các hệ thống đang chạy SQL Server 2000, SQL Server 2005, SQL Server 2005 Express Edition, SQL Server 2000 Desktop Engine (MSDE 2000), Microsoft SQL Server 2000 Desktop Engine (WMSDE) và Windows Internal Database (WYukon) có thể bị khai thác và bị khống chế bởi tin tặc.

Lỗi này đã được phát hiện nằm trong "sp_replwritetovarbin" thủ tục lưu trữ mở rộng của SQL Server.

Tuy nhiên các phiên bản gần đây của phần mềm phổ biến này, được sử dụng cho nhiều Website để cung cấp thêm sức mạnh cho các cơ sở dữ liệu back-end của chúng, lại không bị tấn công. Các phiên bản này gồm có SQL Server 7.0 Service Pack 4 (SP4), SQL Server 2005 SP3 và SQL Server 2008. Phiên bản gần đây nhất, mới nhất theo dòng sản phẩm này, đã được phát hành đến các nhà sản xuất từ cuối tháng Tám.

Như các động thái trước đây, Microsoft đã có những hành động nói giảm cho lỗ hỏng của họ. “Chúng tôi đã biết được mã khai thác bị publish trên Internet. Mặc dù vậy vẫn chưa thấy về bất cứ tấn công nào đang cố gắng sử dụng lỗ hổng đã được báo cáo.”, Bill Sisk, người phát ngôn của công ty đã nói vậy trong một email hôm thứ Hai.

Các kẻ tấn công có thể khai thác lỗ hổng này từ xa nếu chúng có khả năng tăng quyền truy cập vào máy chủ thông qua tấn công SQL injection vào ứng dụng Web trên hệ thống, Sisk đã cho biết thêm như vậy.

Các tấn công SQL injection đã thành công; hacker đã giành quyền điều khiển để thỏa hiệp một số lượng lớn các site, thậm chí cả các tên miền thương mại nổi tiếng, bằng các tấn công như vậy. Hàng nghìn site hợp lệ đã bị hack thông qua các tấn công SQL injection trong một vài tuần gần đây bởi các tổ chức tội phạm, sau đó những hacker này đã cắm mã giả mạo vào các trang của họ và tấn công khách ghé thăm sử dụng Internet Explorer (IE). Trong lỗi bảo mật này, Microsoft đã chặn được lỗ hổng trong IE vào thứ Tư tuần trước với bản vá khẩn cấp thứ hai trong vòng hai tháng.  

Microsoft đã nói rằng việc từ chối các điều khoản đối với các thủ tục lưu trữ mở rộng "'sp_replwritetovarbin" sẽ tạo lỗ hổng cho hệ thống, bên cạnh đó cũng đã cung cấp những chỉ dẫn về cách thực hiện nhằm chống lại tấn công này.

Tuy nhiên Sisk đã không cam kết một bản sửa lỗi hoặc một timeline nào đó cho bản sửa, nhưng ông đã dãn chứng – “Microsoft sẽ tiếp tục nghiên cứu tỉ mỉ về lỗ hổng và tiến đến hoàn thiện nghiên cứu này, trong quá trình nghiên cứu, công ty sẽ đưa ra các hành động thích hợp” – những chỉ dẫn điển hình ở một số điểm cho bản vá.

Tuy nhiên bên phía SEC Consult đã có những yêu sách đòi Microsoft nên hoàn tất bản sửa vào tháng 9.

Công ty có trụ sở tại Viên đã công bố lỗ hổng vào 9.12 qua một thông tin publish, cùng với đó là một mã tấn công mẫu trong một mục tư vấn trên site của họ, cũng như một vài danh sách mail bảo mật: Bugtraq và Full Disclosure.

Cũng trong tiết lộ này, SEC Consult đã nó rằng hãng này đã được Microsoft thông báo vào tháng 9 thông qua một mail rằng bản vá sửa đã được hoàn thiện. Tuy nhiên “Lịch trình phát hành cho bản sửa này vẫn chưa được thông báo”.

Công ty bảo mật của Áo này cũng đưa cả một timeline phản ánh sự truyền thông giữa công ty và Microsoft. Theo bảng thời gian đó, SEC Consult đã báo cáo lỗ hổng này cho Microsoft vào 17 tháng 4 năm 2008 và phản hồi gần đây nhất từ phía Microsoft là vào 29 tháng 9. Bốn lần từ đó 14.10, 29.10, 12.11 và 28.11 - SEC Consult đã chất vấn Microsoft về bản nâng câp cho bản vá nhưng chưa hề nhận được thông tin phản hồi từ phía Microsoft.

Microsoft đã không đáp trả những câu hỏi của SEC Consult về khả năng có sẵn của bản vá và timeline của nó.