Kẻ “gác đền” cho Windows OS

Đa phần các cuộc tấn công vào Windows đều bắt nguồn từ việc khai thác lỗ hổng về cách quản lý bộ nhớ của các phần mềm mà người dùng tự cài vào.

Vậy cho nên, Microsoft không thể để các phần mềm mà họ không làm ra ảnh hưởng đến người dùng cũng như danh tiếng của Microsoft được.

Cũng chính vì vậy mà thay vì chờ đợi các nhà phát triển phần mềm tích hợp bảo mật bộ nhớ vào bên trong sản phẩm thì Microsoft đã đi trước một bước bằng việc tạo một lớp bảo mật ở cấp độ hệ điều hành (đó không phải là một phần mềm bảo mật mà chúng ta phải cài thêm hay có thể gỡ bỏ).

Công cụ bảo mật này thì có lẽ ai sử dụng Windows cũng đều biết rồi, nó mang tên Windows Security (hay tên cũ là Windows Defender) !

#1. Nói thêm về Windows Security

Trước đây thì Windows Security được biết đến là một phần mềm diệt virus miễn phí và thường được xếp hạng thấp hơn so với các chương trình bảo mật thương mại khác như: Kaspersky, ESET, AVG, Symatec,…

Nhưng kể từ khi hệ điều hành Windows 10 xuất hiện cho đến nay thì Windows Security dần trở thành một thành phần cốt lõi của hệ điều hành Windows (bài viết này mình đang đề cập đến Windows Defender Exploit Guard, 1 thành phần của Windows Security chỉ có trên bản Windows Pro/ Enterprise).

Nói thêm một chút về Exploit Guard trên Windows thì nó là tập hợp những cơ chế bảo mật nhằm giảm thiểu khả năng người dùng Windows bị tấn công:

1. Attack Surface Reduction Rules: Giúp ngăn chặn virus/ malware ngay từ khi được gửi vào máy (chẳng hạn như các macro độc hại của bộ ứng dụng Office gửi đến hộp thư Email của người dùng).
2. Network Protection: Quét lưu lượng traffic mạng nhằm phát hiện các hoạt động gửi/ nhận data của malware.
3. Controlled Folder Access: Hỗ trợ phát hiện và ngăn chặn việc thay đổi các file quan trọng (như file tài liệu, file word, hình ảnh, file hệ thống,…) từ virus như virus tống tiền Ransomeware chẳng hạn.
4. Exploit Protection (EP): Thay thế cho Enhanced Mitigation Experience Toolkit (EMET) cũ, EP bổ sung thêm các biện pháp phòng chống khai thác lỗ hỗng, ví dụ đối với “chống khai thác bộ nhớ” thì có: DEP (Data Execution Prevention) và ASLR (Address Space Layout Randomization).

Ngoài những cải tiến về cơ chế bảo mật so với người tiền nhiệm EMET thì Exploit Protection còn tích hợp với GPO, việc này giúp ích rất nhiều cho quản trị viên bởi GPO là công cụ đắc lực để quản lý hệ toàn bộ hệ thống mạng Windows.

Bằng việc admin sẽ chủ động đưa ra các phương pháp xử lý khi phát hiện malware lợi dụng lỗi “tràn bộ nhớ đệm” để thực thi mã độc, phương án xử lý được triển khai thông qua các “policy”.

Sau khi cài đặt các thành phần của Exploit Protection: DEP, ASLR, SEHOP trên một máy tính mẫu thì admin có thể xuất (export) các cài đặt này ra file xml rồi sử dụng GPO deploy cài đặt mẫu chứa trong file xml này đến toàn bộ các máy mong muốn.

Ngoài ra, với Windows PowerShell thì admin có thể trực tiếp kết nối đến máy người dùng và điều chỉnh các cài đặt một cách cực kỳ nhanh chóng.

#2. Các thành phần ngăn chặn Memory Exploit Mitigation (MEM)

+) Data Execution Prevention

Đa phần các malware khai thác lỗ hổng bộ nhớ sử dụng thủ thuật chèn mã độc vào vùng RAM memory của ứng dụng thông thường.

Cách tấn công này khó lần ra dấu vết bởi sau khi khởi động lại máy thì nó sẽ biến mất.

DEP giúp giảm nguy cơ đối với loại tấn công này bằng cách giới hạn Range-of-available-memory mà malware có thể truy cập cũng như không cho phép file thực thi (executable) hoạt động ở vùng bộ nhớ được khai báo chỉ-dùng-lưu-trữ-thông-tin.

Kết hợp với các CPU hỗ trợ công nghệ này, DEP đánh dấu vùng bộ nhớ lưu trữ này bằng các bit no-execute (NX) hay còn gọi là chỉ-đọc (read-only), do đó các CPU này sẽ từ chối thực thi các file trên vùng memory kia.

+) Address Space Layout Randomization

Ngoài khai thác các ứng dụng người dùng cài vào máy ra thì malware có thể tấn công vào các processes của hệ thống Windows để xác định tiến trình này chứa mã thực thi/ dữ liệu ở địa chỉ nào trên RAM memory rồi ghi đè mã thực thi độc hại vào đó.

“Heap spraying” là một trong những kỹ thuật tấn công thực thi mã tùy ý (Arbitrarily execute code) phổ biến khi ASLR chưa phát triển.

ASLR giúp hệ điều hành Windows tránh khỏi dạng tấn công này bằng cách randomize (ngẫu nhiên hóa) địa chỉ memory (nơi mà dữ liệu/ mã thực thi) của các thành phần hệ thống Windows đang sử dụng.

+) Structured Exception Handling Overwrite Protection

SEHOP của Windows giúp ngăn malware tấn công vào SEH (Structured Exception Handling), một thành phần của hệ thống bảo mật có trách nhiệm xử lý các exception (ngoại lệ) từ phần cứng đến phần mềm của máy.

Các bạn lưu ý là khi bật SEHOP thì một số ứng dụng không tương thích sẽ bị hiện tượng crash !

#3. Lời kết

Bài viết này tuy mang nặng kiến thức cho các admin (quản trị viên) hệ thống mạng Windows, nhưng các bạn cũng phải thấy rằng các “bộ óc đầy sạn” của Microsoft đang nỗ lực nâng tầm bảo mật của Windows qua từng phiên bản.

(Windows bị tấn công nhiều nhất là do số lượng người dùng quá lớn đi kèm với một số lượng ứng dụng/ phần mềm khổng lồ, cùng với các thành phần bổ trợ đa dạng).

Microsoft cảnh báo rằng chỉ những Administrator am hiểu về các malware tấn công bộ nhớ mới tự điều chỉnh các cài đặt về “Exploit Protection” của Windows Defender Exploit Guard, bắt buộc phải thử nghiệm trong môi trường test trước khi triển khai rộng rãi trong mạng công ty, tránh gây “crash” các ứng dụng quan trọng của hệ thống.

Các bạn cũng phải tỉnh táo khi một số bài viết khuyên nên tắt các tính năng này để game hoặc sử dụng các ứng dụng không bị crash, lỗi không tương thích các thứ… Đây nên là phương án cuối cùng vì nó sẽ rất nguy hiểm trong thời buổi mà malware, virus tống tiền nhan nhản như hiện nay.

Cách tốt nhất để vẫn chạy được game và app cũ mà vẫn đảm bảo tính bảo mật cho máy tính hiện tại của bạn đó là dùng máy tính ảo hoặc thuê hẳn VPS Windows rồi remote vào, xài thoải mái không lo có ngày bị mã hóa file kèm tống tiến bitcoin nha các bạn !

CTV: Dương Minh Thắng – TANTHIENLONGMOBILE
Edit by Kiên Nguyễn