Một đoạn mã Windows PowerShell có thể giúp bạn nhanh chóng kiểm tra xem máy tính Windows của mình có bị ảnh hưởng bởi lỗ hổng MDS (Zombieload) hay không.

Hồi đầu tuần qua, một nhóm các nhà khoa học và các nhà nghiên cứu bảo mật đã tiết lộ một nhóm các lỗ hổng mới ảnh hưởng tới hầu hết các CPU của Intel, được gọi là các cuộc tấn công Lấy mẫu Dữ liệu Vi Kiến trúc (Microarchitectural Data Sampling, viết tắt là MDS).
Tương tự như các lỗ hổng Meltdown và Spectre nổi tiếng được phát hiện hồi năm ngoái, lỗ hổng MDS cho phép kẻ tấn công có thể xem các dữ liệu đang được xử lý bên trong các CPU của Intel, ngay cả khi những dữ liệu ấy thuộc về một ứng dụng khác mà đoạn mã của kẻ tấn công không có quyền truy cập vào.
Đã có bốn lỗ hổng thuộc nhóm MDS được hé lộ, trong đó lỗ hổng Zombieload được coi là nguy hiểm nhất:
- CVE-2018-12126 – Lấy mẫu Dữ liệu Lưu trữ Đệm Vi Kiến trúc (Microarchitectural Store Buffer Data Sampling - MSBDS) [tên mã là Fallout] 
- CVE-2018-12127 - Lấy mẫu Dữ liệu Cổng Tải Vi Kiến trúc (Microarchitectural Load Port Data Sampling - MLPDS) [tên mã là RIDL] 
- CVE-2018-12130 - Lấy mẫu Dữ liệu Đệm Điền Vi Kiến trúc (Microarchitectural Fill Buffer Data Sampling - MFBDS) [tên mã là Zombieload hoặc RIDL] 
- CVE-2018-11091 - Lấy mẫu Dữ liệu Đệm đối với Bộ nhớ không thể thiết lập Bộ đệm Microarchitectural Data Sampling Uncacheable Memory - MDSUM) [tên mã là RIDL]



Để bảo vệ an toàn cho hệ thống của mình, người dùng phải cài đặt hai loại bản vá: một bản cập nhật vi mã dành cho các bộ xử lý của Intel, và một bản cập nhật ở cấp độ hệ điều hành. Microsoft, cùng với các nhà sản xuất hệ điều hành khác, đã nhanh chóng tung ra các bản vá dành cho các hệ điều hành.

Intel cũng đã tung ra các bản cập nhật vi mã cho các nhà sản xuất bo mạch chủ và firmware OEM, và các nhà sản xuất trên sẽ sớm tung ra bản vá lỗi (dưới dạng một phần của bản cập nhật firmware OEM định kỳ) trong tương lai gần.
Năm ngoái, Microsoft đã phát hành một đoạn mã PowerShell để giúp các nhà quản trị hệ thống xác định xem liệu máy tính đã được cài đặt các bản vá lỗi Meltdown và Spectre hay chưa và liệu chúng có hoạt động đúng hay không.
Mới đây, Microsoft đã tung ra một phiên bản mới của đoạn mã trên để hỗ trợ xác định tình trạng vá lỗ hổng MDS của hệ thống. Tương tự như các lỗ hổng Meltdown và Spectre của năm ngoái, MDS là loại lỗ hổng thực thi suy lý luận (speculative execution), và cũng có thể được phát hiện ra bằng phương pháp đã được sử dụng đối với Meltdown và Spectre.
Bài viết này sẽ hướng dẫn các bạn tải về và sử dụng đoạn mã PowerShell trên, cũng như hướng dẫn cách đọc kết quả mà đoạn mã này hiển thị.

1) Mở cửa sổ dòng lệnh PowerShell với quyền quản trị hệ thống (administrator). Cách làm như sau: Mở menu Start, tìm kiếm với từ khoá "Windows PowerShell", nhấn chuột phải vào tuỳ chọn hiện ra và chọn lệnh "Run as Administrator".




2) Trong cửa sổ dòng lệnh PowerShell, nhập dòng mã sau "$SaveExecutionPolicy = Get-ExecutionPolicy".
Câu lệnh này sẽ lưu trữ phương thức thực thi (các quyền truy cập) hiện tại của PowerShell vào một biến, để bạn có thể khôi phục lại sau này.
3) Trong cửa sổ dòng lệnh PowerShell, nhập tiếp câu lệnh "Set-ExecutionPolicy RemoteSigned -Scope Currentuser". Sau đó nhấn phím "Y" và nút Enter trên bàn phím để tiếp tục. Nếu không được, bạn hãy thay chữ Currentuser trong câu lệnh trên bằng Unrestricted.
4) Trong cửa sổ dòng lệnh PowerShell, gõ dòng lệnh "Install-Module SpeculationControl". Lệnh này sẽ tải về và cài đặt đoạn mã kiểm tra trạng thái của lỗ hổng thực thi suy lý luận của Microsoft.
5) Trong cửa sổ dòng lệnh PowerShell, gõ dòng lệnh "Get-SpeculationControlSettings". Lệnh này sẽ trả về một bản báo cáo có dạng như hình dưới đây:




Hai mục được khoanh đỏ và đánh dấu chữ A và B trong hình trên về cơ bản có nội dung giống hệt nhau. Tuy nhiên, mục A giải thích ý nghĩa các câu lệnh bằng ngôn ngữ tự nhiên hơn, còn mục B hiển thị dưới dạng các mã và biến. Tuy nhiên, để giúp bạn đọc hiểu rõ hơn ý nghĩa của từng kết quả, chúng tôi xin lược dịch phần mô tả ý nghĩa các dòng lệnh từ chính trang web của Microsoft để các bạn tham khảo:

MDSWindowsSupportPresent hoặc "Windows OS support for MDS mitigation is present"
Microsoft giải thích dòng này như sau: "Dòng này cho bạn biết hệ điều hành Windows của bạn có hỗ trợ chức năng giảm thiểu thiệt hại ở cấp độ hệ điều hành do lỗ hổng Lấy mẫu Dữ liệu Vi Kiến trúc (MDS) gây ra hay không. Nếu kết quả trả về là True, bản cập nhật Windows tháng 5 năm 2019 đã được cài đặt thành công trên hệ thống, và chức năng giảm thiểu thiệt hại do MDS đã được kích hoạt. Nếu kết quả trả về là False, có nghĩa là bản cập nhật Windows tháng 5 năm 2019 chưa được cài đặt, và chức năng giảm thiểu thiệt hại do MDS cũng chưa được bật."

MDSHardwareVulnerable
hoặc "Hardware is vulnerable to MDS"
Microsoft giải thích: "Dòng này cho bạn biết liệu phần cứng của bạn có bị ảnh hưởng bởi nhóm lỗ hổng Lấy mẫu Dữ liệu Vi Kiến trúc (MDS) (bao gồm các lỗ hổng CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Nếu kết quả trả về là True, phần cứng máy tính của bạn được cho là có bị ảnh hưởng bởi các lỗ hổng này. Nếu kết quả trả về là False, thì phần cứng của bạn không bị ảnh hưởng bởi lỗ hổng."

MDSWindowsSupportEnabled hoặc "Windows OS support for MDS mitigation is enabled"
Microsoft giải thích dòng này như sau: "Dòng này cho bạn biết liệu chức năng giảm thiểu thiệt hại ở cấp độ hệ điều hành do lỗ hổng Lấy mẫu Dữ liệu Vi Kiến trúc (MDS) gây ra có được kích hoạt hay không. Nếu giá trị trả về là True, phần cứng máy tính của bạn có bị ảnh hưởng bởi các lỗ hổng MDS, hệ điều hành của bạn có hỗ trợ chức năng giảm thiểu thiệt hại do MDS gây ra, và chức năng đó đã được kích hoạt. Nếu giá trị trả về là False, có thể rơi vào các trường hợp sau: hoặc phần cứng của máy bạn không bị ảnh hưởng bởi lỗi này, hoặc hệ điều hành của bạn không hỗ trợ chức năng giảm thiểu thiệt hại do MDS gây ra, hoặc tính năng đó vẫn chưa được kích hoạt."

6) Trong cửa sổ dòng lệnh PowerShell, gõ dòng lệnh "Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser" để khôi phục lại phương thức thực thi dòng lệnh PowerShell gốc của hệ thống. Để chắc chắn hơn nữa, bạn có thể nhập thêm dòng lệnh "Set-ExecutionPolicy -ExecutionPolicy Restricted".

Nếu bạn chưa có thời gian hoặc vì một lý do nào đó chưa thể cài đặt các bản vá, nhóm các nhà nghiên cứu bảo mật phát hiện ra nhóm lỗ hổng MDS khuyên người dùng hãy vô hiệu hoá công nghệ Đa luồng Song song (Intel gọi là Siêu đa luồng - Simultaneous Multi-Threading (SMT)) trên các CPU của Intel. Việc làm này có thể giúp giảm đáng kể nguy cơ hệ thống của bạn bị tấn công bởi các lỗ hổng MDS.

An Huy (VnReview)



Chủ đề tương tự: