Gửi lúc: 02/07/2019 15:27:37
Bookmark and Share

Người dùng cần duy trì chế độ Protected View của Microsoft Office

Chế độ “Xem an toàn” (Protected View) được tích hợp trong phần mềm Microsoft Office từ phiên bản 2010 giúp bảo vệ người dùng khỏi các rủi ro an toàn thông tin như lây nhiễm mã độc hại.

Khi chế độ này được kích hoạt, Office sẽ mở các tệp ở chế độ chỉ đọc, vô hiệu hóa các macro và nội dung ngoài. Thực tế, việc bỏ qua chế độ xem an toàn để soạn thảo tài liệu là khá đơn giản, bởi phần lớn người dùng không thực sự đánh giá đúng lợi ích của chế độ này. Có rất nhiều hướng dẫn tắt hẳn chế độ xem an toàn, tuy nhiên đây là hành động dễ dàng đưa người dùng vào nguy cơ lây nhiễm mã độc. Bài viết này sẽ giới thiệu một số kịch bản tấn công đơn giản khi không có chế độ xem an toàn.

Một số kịch bản tấn công

Kịch bản thứ nhất

Tại kịch bản này, tin tặc chèn liên kết thay cho hình ảnh vào một văn bản Word được gửi qua thư điện tử. Hành động này có mục đích theo dõi khách hàng nào đã nhận thư quảng cáo nếu mail client vô hiệu hóa thủ thuật theo dõi thư. URL trỏ tới hình ảnh sẽ có một mã định danh để nhận biết khách hàng nào đọc văn bản quảng cáo. Khi phần mềm Word mở một văn bản ở chế độ xem an toàn, nó sẽ chỉ hiển thị những nội dung chứa trong văn bản đó chứ không tải từ bên ngoài. Điều này có thể khiến cho văn bản không hiển thị đầy đủ, dù hình ảnh lấy từ bên ngoài chỉ là một chấm nhỏ.

Khi người dùng nhấn nút “Enable Editing”, tức là đã tin tưởng vào văn bản và bắt đầu tải tất cả các tài nguyên bên ngoài để hiển thị đầy đủ văn bản. Đây chính là lúc cuộc tấn công thành công.

Việc chuẩn bị cho cuộc tấn công theo kịch bản này khá đơn giản. Thay vì chèn một bức ảnh bình thường, kẻ tấn công chỉ cần nhập một địa chỉ liên kết vào File name rồi chọn Link to File thay vì Insert.

Hơn nữa, khi Word truy cập máy chủ của kẻ tấn công để lấy hình ảnh, hắn sẽ biết được cả địa chỉ IP của nạn nhân và chuỗi “user-agent” bao gồm phiên bản của hệ điều hành, Office và Internet Explorer. Những thông tin đó có thể được dùng cho các cuộc tấn công sau này, chứ không chỉ đơn giản là tiết lộ thông tin một khách hàng đã xem quảng cáo.

Kịch bản thứ hai

Kịch bản này cũng thực hiện theo dõi khách hàng, nhưng có thể được thực hiện theo một cách khó nhận biết hơn. Khi kẻ tấn công dùng một mẫu văn bản (Word template) từ xa, người đọc sẽ không phát hiện các dấu hiệu dễ nhận thấy trong văn bản.

Kịch bản thứ ba

Kịch bản này giống như kịch bản thứ nhất là dùng liên kết trỏ tới máy chủ bên ngoài thay cho một hình ảnh bình thường, nhưng lại có thể giúp kẻ tấn công đánh cắp mật khẩu đăng nhập Windows của người đọc. Điểm khác biệt đó là thay vì dùng một địa chỉ HTTP, kẻ tấn công sẽ đổi thành một đường dẫn UNC – kiểu đường dẫn dược dùng trong các thư mục chia sẻ của Windows. Cách sửa thành đường dẫn UNC khá đơn giản: sau khi tạo liên kết trỏ tới máy chủ của mình và lưu văn bản Word, kẻ tấn công chỉ cần thực hiện các bước sau:

- Đổi phần mở rộng từ .docx thành .zip rồi kích đúp vào để mở như một thư mục thông thường.

- Tìm và sao chép tệp document.xml.rels (giả sử tệp Word có tên là “testfile” thì sẽ tìm thấy tệp cần tìm ở đường dẫn “testfile.zip\word\_rels\document.xml.rels”) ra thư mục khác. Sau đó, sử dụng Notepad để đổi địa chỉ trỏ tới hình ảnh thành dạng đường dẫn UNC (như hình minh họa) và lưu lại.

- Chép đè tệp document.xml.rels vào trong tệp .zip.

- Đổi phần mở rộng tệp .zip thành .docx như ban đầu

Khi người nhận mở văn bản và bỏ qua chế độ xem an toàn, Word sẽ cho rằng hình ảnh còn thiếu nằm trên một máy chủ chia sẻ, cố gắng truy cập nó bằng cách gửi tên người dùng và giá trị băm của mật khẩu để xác thực. Kẻ tấn công dùng công cụ responder để đóng giả một máy chủ chia sẻ tệp hợp lệ nhằm lấy cắp thông tin đăng nhập của người dùng. Mặc dù, Word sẽ báo lỗi cho người dùng, nhưng giá trị băm của mật khẩu mà người dùng gửi tới có thể được kẻ tấn công giải mã bằng công tụ john-the-ripper hay một công cụ tương tự.

Cách kích hoạt chế độ xem an toàn

Trên đây là 3 kịch bản tấn công đơn giản và dễ thực hiện nhất khi người dùng bỏ kích hoạt chế độ xem an toàn, ngoài ra còn nhiều phương pháp tấn công khác. Người dùng cần giữ chế độ xem an toàn, đồng thời biết cách kiểm tra xem chế độ này đang có được kích hoạt hay không bằng cách: Mở trình soạn thảo )Word, Excel hay PowerPoint, chọn File/ Options. Trong cửa sổ Options, chọn mục Trust Center, nhấn nút Trust Center Settings, chọn mục Protected View.

Microsoft Word, PowerPoint và Excel đều có 3 thiết lập chính được kích hoạt mặc định là: Enable Protected View For Files Originating From The Internet (áp dụng cho các tệp từ Internet), Enable Protected View For Files Located In Potentially Unsafe Locations (áp dụng cho các tệp mở từ những thư mục được coi là không an toàn như Temporary Internet Files) và Enable Protected View For Outlook Attachments (áp dụng cho các tệp đính kèm trong thư điện tử mở bằng Microsoft Outlook). Nếu đã bỏ các tùy chọn này, người dùng cần nhanh chóng khôi phục lại trạng thái mặc định.

Riêng Excel có hai thiết lập khác bị bỏ kích hoạt theo mặc định là: Always Open Untrusted Text-Based Files (.csv, .dif and .sylk) In Protected View và Always Open Untrusted Database Files (.dbf) In Protected View.

Tuy nhiên, chế độ xem an toàn có một điểm gây bất tiện cho người dùng, là hiển thị văn bản ở chế độ Read Mode theo mặc định. Ở chế độ này, người dùng không nhìn thấy thanh di chuyển nên khó khăn hơn trong việc xem và sao chép văn bản. Để thấy lại thanh di chuyển trong văn bản, người dùng nhấn nút Esc để quay lại chế độ xem thông thường (vẫn không thể soạn thảo và duy trì trạng thái được bảo vệ). Nếu muốn loại bỏ chế độ Read Mode, mỗi khi mở những tệp có nguy cơ mất an toàn, người dùng chọn File/ Options rồi bỏ dấu chọn ở mục Open e-mail attachments and other uneditable files in reading view.



Nguyễn Anh Tuấn