Lỗ hổng trong SMB (Server Message Block) 2, giao thức chia sẻ file và chia sẻ máy in qua mạng của Microsoft đi kèm trong Windows, đã ảnh hưởng đến Windows Vista, Windows Server 2008 vả cả bản  Windows 7.

Khi lỗ hổng này lần đầu lộ diện hôm 7/9, nhiều người nghĩ nó chỉ làm treo PC và gây ra “màn hình xanh chết chóc.” Tuy nhiên đến nay các nhà nghiên cứu đã tìm ra cách khai thác lỗ hổng này để tấn công máy tính. 

Thứ tư tuần trước, Immunity, nổi tiếng với hệ thống kiểm định CANVAS, đã xây dựng một bản mã tấn công và phát hành cho một số người dùng. 

Đến thứ 6, Microsoft xác nhận rằng bản mã của Immunity đã hoạt động đúng như thế. “Chúng tôi đã phân tích mã và có thể xác nhận rằng nó tấn công được Windows Vista và Windows Server 2008 32-bit,” Mark Wodrich và Jonathan Ness, cả hai đều là thành viên của Trung tâm phản ứng nhanh an ninh Microsoft (MSRC) cho biết. “Mã tấn công đã toàn hoàn khống chế được hệ thống."

Tuy nhiên đáng lo hơn cả là thông tin rằng bộ công cụ hack Metasploit sẽ bổ sung thêm mã tấn công này vào tuần tới. Mã tấn công của Metasploit vẫn được giới hacker sử dụng để thực hiện tấn công. 

Theo Kostya Kortchinsky, nhà nghiên cứu của Immunity thuộc nhóm dựng module CANVAS thì lỗ hổng SMB 2 “thực sự nguy hiểm.”   

Điều này đã khiến Wolfgang Kandek, trưởng bộ phận an ninh tại hãng an ninh Qualys phải khuyến cáo người dùng Windows ngay lập tức thực hiện các biện pháp bảo vệ. “Việc tự bảo vệ là rất cần thiết bởi những kẻ tấn công sẽ sớm có được mã tấn công này, nhanh nhất là vào tuần tới,” Kandek nói. 

Microsoft vẫn chưa đưa ra thời gian phát hành bản vá, nhưng cho biết họ đang khẩn trương nghiên cứu. “Chúng tôi không điều tra chậm lại, mà đang nghiên cứu một bản vá cho tất cả các khách hàng,” Wodrich và Ness nói. 

Cho đến khi bản vá sẵn sàng, Microsoft khuyên người dùng nên chạy công cụ “Fix It” tự động post trên trang hỗ trợ của công ty này. Công cụ này sẽ tự động khóa dịch vụ SMB2. Tuy nhiên điều này cũng khiến PC không thể giao tiếp với máy chủ file và máy in mạng sử dụng giao thức này. 

Microsoft đã vài lần sử dụng công cụ “Fix it” để giúp người dùng bảo vệ máy tính của họ trong khi chờ bản vá. Lần cuối họ phát hành công cụ này là vào đầu tháng 7, khi phát hành “Fix it” để ngăn ngừa các cuộc tấn công nhằm vào IE6 và IE7. 

Lịch vá mới của công ty này là vào 13/10, còn hơn 3 tuần nữa, nhưng trong một số trường hợp hiếm hoi Microsoft vẫn phát hành bản cập nhật không theo lịch, thường là khi thấy hiểm họa đã ở ngay trước mắt. 

Cho đến giờ họ vẫn chưa ghi nhận cuộc tấn công nào. “Chúng tôi không thấy có vụ tấn công lan rộng nào,” Wodrich và Ness nói.

Windows Vista, Windows 2008 và bản Windows 7 Release Candidate (RC) đều bị lỗi SMB 2 và có thể bị tấn công. Các bản cũ hơn như Windows 7, và bản của Windows 7 RTM - "release to manufacturing” - thì không bị.