Tại sao cập nhật phần mềm có thể dẫn đến tấn công mạng — và phải làm gì

Cập nhật phần mềm là điều cần thiết để duy trì hoạt động của hệ thống và vá các lỗ hổng đã biết, vậy làm sao chúng có thể dẫn đến các cuộc tấn công mạng? Thật ngạc nhiên, có một số cách mà kẻ tấn công, mối đe dọa nội bộ hoặc thậm chí là người dùng cuối có thể biến một bản sửa lỗi vô hại thành mối đe dọa mạng. Những rủi ro khi cập nhật là gì? Quan trọng hơn, làm sao mọi người có thể bảo vệ dữ liệu và thiết bị của mình?

Khi nào bản cập nhật phần mềm trở thành rủi ro bảo mật?

Đôi khi, các bản phát hành giới thiệu các tính năng, cơ chế hoặc tích hợp mới. Ngay cả khi các nhà phát triển xem xét kỹ lưỡng hàng nghìn dòng mã để tìm điểm yếu tiềm ẩn, họ vẫn có thể bỏ qua một số. Kẻ tấn công có thể khai thác các lỗ hổng zero-day này ngay sau khi bản vá được phát hành, giúp chúng có thời gian nhắm mục tiêu vào người dùng cuối trong khi các thành viên trong nhóm đang loay hoay tìm cách khắc phục.

Một bản sửa lỗi chưa hoàn thiện cũng có kết quả tương tự. Hầu hết mọi người đều háo hức đọc ghi chú bản vá, vì vậy họ không nhận ra rằng có thể có một vài điểm yếu vẫn chưa được giải quyết. Cảm giác an toàn sai lầm của họ khiến họ dễ bị đe dọa — đặc biệt là vì kẻ tấn công có thể đọc nhật ký thay đổi để xác định những gì cần khai thác.

Các bản phát hành lỗi rất hiếm nhưng vẫn xảy ra. Chúng có thể làm hỏng hệ thống hoặc tiết lộ thông tin nhạy cảm, tạo điều kiện cho kẻ tấn công xâm nhập. Các cuộc tấn công mạng xảy ra khi cá nhân đặt quá nhiều niềm tin vào nhà phát triển và lơ là các biện pháp bảo mật của họ. Tại Hoa Kỳ, 92% các công ty đã trải nghiệm một sự cố an ninh mạng do bên thứ ba gây ra.

Nâng cấp bị tấn công tương đối hiếm nhưng có thể xảy ra. Kẻ tấn công có thể chiếm quyền điều khiển hệ thống quản lý thiết bị của nhà sản xuất thiết bị gốc hoặc bí mật thêm một tập lệnh độc hại vào mã. Trong trường hợp đó, chúng có thể trực tiếp đưa phần mềm độc hại vào thiết bị của bất kỳ ai cập nhật chương trình của chúng.

Vào tháng 3, một kỹ sư phần mềm tại Microsoft đã phát hiện ra rằng có người đã đã đánh cắp một bản cập nhật mã nguồn đối với xz Utils — một trình nén dữ liệu nguồn mở được sử dụng rộng rãi trong toàn bộ hệ sinh thái Linux — để tạo ra một cửa hậu trong hệ điều hành. Thủ phạm là Jia Tan, một nhà phát triển đơn độc đã giành được sự tin tưởng bằng cách đóng góp mã hữu ích trước khi đưa phần mềm độc hại vào.

Cuộc tấn công này "rất gần" với thành công. Nếu thành công, nó sẽ là thảm họa, ảnh hưởng đến các hệ thống Linux trên toàn thế giới. Lập trình qua mạng — các bản vá được phân phối đến các thiết bị qua mạng không dây — nổi tiếng là dễ bị tấn công bởi các sự cố an ninh mạng này vì chúng được cài đặt tự động qua internet.

Tại sao việc cập nhật phần mềm lại dẫn đến tấn công mạng?

Thông thường, lỗi của người dùng là nguyên nhân gây ra các cuộc tấn công mạng. Email lừa đảo có thể được ngụy trang thành bản cập nhật phần mềm , lừa những người nhẹ dạ cài đặt phần mềm độc hại thay vì cập nhật ứng dụng của họ. Tin nhắn bật lên là một vectơ tấn công phổ biến khác. Chúng tuyên bố rằng người đó sử dụng phiên bản lỗi thời hoặc có thể hưởng lợi từ việc nâng cấp.

Các cửa sổ bật lên đặc biệt độc hại không có nút hủy, thay vào đó hiển thị các tùy chọn như "cài đặt ngay" và "cài đặt qua đêm", đánh lừa người dùng nghĩ rằng họ không có lựa chọn nào khác ngoài việc chấp nhận. Các bản phát hành giả mạo này sẽ đưa phần mềm gián điệp hoặc phần mềm độc hại vào, xâm phạm thiết bị mục tiêu. Vì nạn nhân mong đợi một cái gì đó được cài đặt, nên họ thậm chí có thể không nhận ra lỗi của mình ngay từ đầu.

Các nhà nghiên cứu gần đây phát hiện phần mềm gián điệp ngụy trang thành ứng dụng Android sử dụng chiến lược này. Trojan truy cập từ xa này gửi thông báo đẩy trông giống như bản cập nhật hệ thống. Nếu người dùng chấp nhận, nó sẽ đánh cắp dữ liệu vị trí, tệp hình ảnh, nhật ký cuộc gọi và danh sách liên lạc của họ. Nó cũng nghe lén bằng micrô của điện thoại và do thám bằng camera.

Ngay cả khi bản nâng cấp là hợp lệ, vẫn có thể xảy ra sự cố. Lỗi của người dùng như tích hợp sai, vô hiệu hóa các tính năng bảo mật và cài đặt không đúng có thể dẫn đến các lỗ hổng chưa biết. Những kẻ xấu thích tấn công ngay sau khi bản sửa lỗi được phát hành vì chúng có cơ hội khi mọi người mắc phải những lỗi như vậy.

Môi trường trực tiếp khác đáng kể so với thử nghiệm được kiểm soát, do đó, việc khai thác bất ngờ là không thể tránh khỏi. Các vấn đề về khả năng tương thích là động lực phổ biến cho các mối đe dọa mạng này. Ngay cả khi không có lỗ hổng zero-day nào tồn tại, những kẻ xấu vẫn có thể lợi dụng lỗi của người dùng để xâm nhập vào mạng và tấn công hệ thống.

Hậu quả của việc cài đặt bản cập nhật độc hại

Tiêm phần mềm độc hại là hậu quả phổ biến nhất của bản vá vội vàng, không đầy đủ, lỗi hoặc không chính thức. Những kẻ xấu có thể cài đặt phần mềm tống tiền, keylogger, vi-rút hoặc phần mềm gián điệp. Điều này cho phép chúng phá hủy thiết bị của nạn nhân để đổi lấy tiền chuộc hoặc theo dõi hoạt động để thu thập dữ liệu nhạy cảm. Nếu chúng tấn công một công ty, chúng có thể đánh cắp thông tin độc quyền và thông tin nhận dạng cá nhân.

Tổn thất tài chính thường xảy ra trong những tình huống này. Chi phí vi phạm dữ liệu trung bình tại Hoa Kỳ tổng số tiền cao kỷ lục là 9,48 triệu đô la vào năm 2023, tăng từ 9,44 triệu đô la vào năm 2022. Cá nhân trả ít hơn vì tin tặc biết rằng họ có ít thanh khoản hơn và ít thiết bị hơn để xâm phạm. Tuy nhiên, họ vẫn chi hàng trăm hoặc thậm chí hàng nghìn đô la để khôi phục.

Trong khi mọi người đang trong quá trình ứng phó và phục hồi sự cố, kẻ tấn công có thể đánh cắp dữ liệu nhạy cảm, khiến họ dễ bị đánh cắp danh tính, lừa đảo và các cuộc tấn công mạng tiếp theo. Hơn nữa, họ có thể sẽ phải tắt bất kỳ chương trình hoặc hệ thống nào gây ra cuộc tấn công mạng, dẫn đến thời gian ngừng hoạt động hoặc chậm trễ bất ngờ.

Tại sao người dùng phải cập nhật bất chấp rủi ro

Các nhà nghiên cứu đã dành gần hai thập kỷ để xây dựng tập dữ liệu lớn nhất về các bản cập nhật của người dùng từng được thực hiện bằng cách theo dõi hơn 150.000 thay đổi phần mềm máy chủ của các công ty vừa và lớn. Họ phát hiện ra rằng 57% trong số các tổ chức này sử dụng mã có lỗ hổng nghiêm trọng ngay cả khi đã có phiên bản an toàn.

Biết được cách dễ dàng để sửa lỗi đơn giản có thể trở thành phương tiện cho các cuộc tấn công mạng sẽ ngăn cản một số người cập nhật. Tuy nhiên, hành động này còn tệ hơn phương án thay thế. Các bản vá giải quyết các lỗ hổng đã biết mà tin tặc đang tích cực tìm cách khai thác. Chúng cũng bảo mật tích hợp bằng cách cập nhật khả năng tương thích, xử lý và các tính năng.

Mặc dù các bản phát hành có thể gây ra điểm yếu hoặc làm hỏng hoàn toàn thiết bị, việc từ chối chúng có tác động xấu hơn đến an ninh mạng. Những cá nhân sử dụng các phiên bản lỗi thời có nhiều khả năng bị tội phạm mạng nhắm mục tiêu hơn, dẫn đến các cuộc tấn công thường xuyên và tinh vi hơn — có khả năng thành công cao hơn nhiều.

Mọi người không nên cho rằng họ an toàn chỉ vì một bản vá được cho là bảo vệ họ. Thực tế của thời đại kỹ thuật số là bất kể biện pháp bảo vệ nào được áp dụng, cuối cùng ai đó cũng sẽ tìm ra lỗ hổng hoặc điểm yếu để khai thác. Nghe có vẻ ảm đạm nhưng nên an tâm — điều đó có nghĩa là phần mềm cũng giống như bất kỳ tài sản nào khác. Thông thường, cảnh giác là một trong những biện pháp phòng thủ tốt nhất.

Cách bảo vệ dữ liệu và thiết bị

Vì việc bỏ qua các bản cập nhật phần mềm không phải là một lựa chọn nên mọi người nên tuân theo các biện pháp tốt nhất và sử dụng mọi công cụ bảo mật có liên quan.

1. Tắt Cập nhật tự động

Cập nhật qua mạng và tự động mang lại lợi thế cho kẻ tấn công. Mọi người nên tắt chúng và cập nhật hệ thống của mình khi các nhà phát triển cung cấp bản sửa lỗi. Họ cũng nên xác minh danh tính của máy chủ và đảm bảo kết nối của họ được mã hóa trước khi tiếp tục.

2. Xem lại Ghi chú bản vá

Người dùng cuối nên thường xuyên xem lại các ghi chú vá, nhật ký thay đổi và mã để xác định hành vi giả mạo có khả năng gây hại. Cách tiếp cận này cũng cho phép họ xem lỗ hổng nào đã được giải quyết và lỗ hổng nào chưa được giải quyết, loại bỏ mọi cảm giác an toàn sai lầm.

3. Sử dụng Cấu hình Bảo mật theo Mặc định

Cơ quan An ninh mạng và An ninh thông tin khuyến nghị sử dụng cấu hình bảo mật theo mặc định để cải thiện tình hình an ninh mạng. Điều này bao gồm việc sử dụng các biện pháp xác thực danh tính và thay đổi mật khẩu mặc định thành mật khẩu mạnh.

4. Sử dụng nhiều công cụ bảo mật

Bản vá không khắc phục được mọi điểm yếu về bảo mật. Như câu nói, cứ mỗi lỗ hổng mà các nhà phát triển tìm thấy, thì lại có năm lỗ hổng khác tồn tại. Chủ sở hữu thiết bị nên cài đặt tường lửa, giám sát mạng, xác thực đa yếu tố và mạng riêng ảo để bảo vệ dữ liệu của họ.

5. Cập nhật từ nguồn

Việc không tin tưởng theo mặc định đang trở thành một hoạt động an ninh mạng phổ biến. Mọi người sẽ tự động cho rằng bất kỳ tin nhắn nào hướng dẫn họ truy cập trang web hoặc nhấp vào liên kết là lừa đảo. Họ nên truy cập trực tiếp vào nguồn chính thức để biết thông tin hoặc cài đặt.

Luôn cảnh giác để bảo vệ phần mềm và dữ liệu

Tội phạm mạng rất xảo quyệt và lén lút, vì vậy chúng sẽ tiếp tục phát minh ra những cách mới để chiếm đoạt, can thiệp hoặc đầu độc các bản vá. Hành động tốt nhất là luôn cảnh giác và thận trọng. Thực hiện theo các biện pháp tốt nhất, tận dụng các công cụ bảo mật mạnh mẽ và đọc nhật ký thay đổi có thể tạo nên sự khác biệt giữa việc trở thành nạn nhân của cuộc tấn công mạng và giữ an toàn.