Bản vá khắc phục Meltdown và Spectre của Microsoft không được cài đặt nếu phần mềm antivirus không thêm khoá vào registry
Các bài cơ sở dữ liệu tri thức (knowledge base articles) của Microsoft được cập nhật và sửa đổi khá nhiều lần. Có một số điều quan trọng mà người dùng cần lưu ý trước khi cập nhật.
Thứ nhất, bản vá gộp tháng 01/2018 và các bản vá bảo mật sắp tới của Windows sẽ không được cài đặt nếu nhà cung cấp phần mềm antivirus không tuân thủ hướng dẫn của Microsoft. Một số nhà cung cấp phần mềm antivirus sử dụng các kỹ thuật để qua mặt tính năng Kernel Patch Protection bằng cách chèn thêm một hypervisor (phần mềm giúp chạy nhiều máy ảo trên một hệ thống) nhằm chặn các lệnh gọi của hệ thống và sử dụng một số giả thiết về vị trí bộ nhớ. Vị trí bộ nhớ sẽ thay đổi khi áp dụng bản vá lỗ hổng Meltdown.
Một số kỹ thuật mà các nhà cung cấp phần mềm antivirus đang sử dụng gần giống với kỹ thuật của rootkit. Sự thật là Microsoft giới thiệu Kernel Patch Protection cách đây một thập kỷ nhằm chống lại rootkit. Vì một số nhà cung cấp phần mềm antivirus sử dụng những kỹ thuật không rõ ràng, nên có thể dẫn đến “màn hình xanh chết chóc”. Lẽ ra điều này không thể xảy ra đối với những hệ điều hành mới, nhưng một số nhà cung cấp phần mềm antivirus vẫn có thể bằng cách nào đó xâm nhập hypervisor.
Để ngăn chặn, Microsoft đã yêu cầu các nhà cung cấp phần mềm antivirus thêm một khoá registry mỗi khi chương trình khởi động, để xác nhận nó đang hoạt động trên hệ thống đã vá lỗ hổng của CPU. Nếu phần mềm diệt virus không thêm khoá vào registry, người dùng sẽ không thể cập nhật được bản vá bảo mật nào nữa.
Lưu ý rằng, điều này không chỉ ảnh hưởng tới Windows Update mà còn ảnh hưởng cả Windows Server Update Services (WSUS) và System Center Configuration Manager (SCCM). Nguy hiểm hơn, với WSUS và SCCM, PC và máy chủ sẽ hiển thị các bản vá là “Not Applicable/Not Required” (không thích hợp/không cần thiết), khiến người dùng nghĩ rằng hệ thống đã được vá đầy đủ, trong khi chưa hề được vá.
Chuyên gia bảo mật người Anh – Kevin Beaumont, đã tổng hợp thông tin về việc tuân thủ hướng dẫn của Microsoft của các nhà cung cấp phần mềm antivirus. Những nhà cung cấp có hai chữ “Y, Y” nghĩa là sản phẩm của họ có hỗ trợ bản vá bảo mật tháng 01/2018 của Microsoft với khóa registry tương thích. Với các nhà cung cấp khác, người dùng sẽ khá vất vả để có thể cập nhật được bản vá. Chẳng hạn như đối với Symantec Endpoint Protection, Symantec đã khuyến cáo người dùng chưa nên cập nhật bản vá của Microsoft:
Thứ hai, những sản phẩm bảo mật cho thiết bị đầu cuối thế hệ mới sẽ không áp dụng khóa registry. Những nhà cung cấp công cụ bảo mật cho thiết bị đầu cuối thế hệ mới thường tự định danh sản phẩm của họ chỉ là công cụ bổ trợ hoặc lớp bảo vệ phụ cho phần mềm antivirus, tuy nhiên gần đây họ đã tự nhận sản phẩm của họ có thể thay thế phần mềm antivirus. Điều này khá hấp dẫn người dùng, bởi những sản phẩm bổ trợ thì rẻ hơn phần mềm antivirus. Tuy nhiên, những sản phẩm này sẽ không thiết lập khoá registry cho việc đảm bảo tương thích theo yêu cầu của Microsoft. Gần như tất cả các nhà cung cấp cho rằng, họ không sử dụng các kỹ thuật có thể làm hệ thống hiện “màn hình xanh chết chóc”, bởi khách hàng cũng có thể cài các phần mềm diệt antivirus khác.
Chẳng hạn như phần mềm TRAPS của Palo-Alto được thiết kế để bảo vệ người dùng khỏi những nguy cơ đã biết và chưa biết, nhưng tại thời điểm này, người dùng sẽ không được bảo vệ khỏi những kẻ muốn lợi dụng lỗ hổng Meltdown.
Palo-Alto không phải là nhà cung cấp duy nhất gặp vấn đề với các yêu cầu của Microsoft. Công ty Cylance cũng quảng cáo phần mềm CylancePROTECT có thể thay thế các phần mềm antivirus, nhưng họ cũng không tự động thiết lập khoá registry.
Cuối cùng, người dùng nên lưu ý rằng với Windows Server, các bản vá lỗ hổng Meltdown và Spectre không thực sự hoạt động. Theo hướng dẫn của Microsoft, dù đã được cài đặt, các bản vá chỉ có tác dụng nếu hệ điều hành xác nhận các khoá registry đã được thêm vào. Thậm chí, nếu là máy ảo Hyper-V thì phải tắt tất cả các máy ảo rồi khởi động lại máy chủ để những thay đổi được hoạt động.
Nguyễn Anh Tuấn
Theo DoublePulsar