Lỗ hổng zero-day mới được phát hiện tồn tại trong MSHTML. Đây là một công cụ trình duyệt dành cho Internet Explorer và được sử dụng trong Office để hiển thị nội dung web bên trong các tập tin Word, Excel và PowerPoint.
Các cuộc tấn công đang diễn ra nhắm vào Office 365
Theo đó, lỗ hổng này với mã CVE-2021-40444, là lỗ hổng bảo mật nghiêm trọng cao (điểm CVSS là 8.8) ảnh hưởng đến các phiên bản máy chủ Windows Server 2008 đến 2019 và các máy trạm Windows 8.1 đến Windows 10, cho phép kẻ tấn công thực thi mã từ xa trong MSHTML.
Microsoft xác định rằng, các cuộc tấn công có chủ đích cố gắng khai thác lỗ hổng bằng cách gửi các tập tin Office được thiết kế đặc biệt đến người dùng. “Kẻ tấn công có thể tạo ra một cơ chế điều khiển ActiveX độc hại để được sử dụng bởi một tài liệu Microsoft Office, sau đó hacker sẽ thực hiện các biện pháp đánh lừa người dùng để mở các tập tin này”, Microsoft cho biết.
Trước đó, một số nhà nghiên cứu bảo mật từ nhiều công ty an ninh mạng, bao gồm: Haifei Li của EXPMON, Dhanesh Kizhakkinan, Bryce Abdo và Genwei Jiang tới từ Mandiant và Rick Cole của Microsoft Security Intelligence đã báo cáo các cuộc tấn công lỗ hổng zero-day trong các hệ điều hành nói trên cho Microsoft.
Trên Twitter, công ty an ninh mạng EXPMON cho biết họ đã tìm thấy lỗ hổng sau khi phát hiện một “cuộc tấn công zero-day rất tinh vi” nhắm vào người dùng Microsoft Office.
Thông báo trên Twitter của công ty EXPMON về lỗ hổng zero-day nhắm vào Microsoft Office
EXPMON đã mô phỏng lại cuộc tấn công vào Office 2019/Office 365 mới nhất trên Windows 10. Theo nhà nghiên cứu bảo mật Haifei Li của công ty này, những kẻ tấn công đã sử dụng tập tin .DOCX và đánh lừa người dùng mở nó, tài liệu này sẽ tự động kích hoạt Internet Explorer để mở một trang web từ xa của kẻ tấn công đã được thiết kế sẵn. Phần mềm độc hại sau đó được tải xuống và cài đặt trên máy tính của người dùng bằng một cơ chế điều khiển ActiveX được tích hợp trong trang web này.
Haifei Li cho biết thêm, phương pháp tấn công thông qua lỗ hổng này có tỉ lệ thành công lên đến 100%, điều này rất nguy hiểm bởi chỉ cần kẻ tấn công đánh lừa người dùng mở tập tin Office là có thể khai thác lỗ hổng.
Tuy nhiên, cuộc tấn công sẽ gặp trở ngại nếu Microsoft Office chạy với cấu hình mặc định, khi các tập tin được mở ở chế độ Protected View hoặc Application Guard for Office.
Protected View là chế độ chỉ đọc và vô hiệu hóa hầu hết các chức năng chỉnh sửa, trong khi Application Guard for Office từ chối các tập tin không đáng tin cậy truy cập vào tài nguyên của cơ quan, tổ chức, mạng nội bộ hoặc các tập tin khác trên hệ thống.
Theo chia sẻ của Microsoft, các phần mềm Microsoft Defender Antivirus và Microsoft Defender for Endpoint đều cung cấp khả năng phát hiện và có thể bảo vệ người dùng trước nguy cơ bị kẻ tấn công khai thác lỗ hổng trên. Các cảnh báo về cuộc tấn công này được thể hiện dưới dạng “Suspicious Cpl File Execution”.
Giải pháp tạm thời để khắc phục các cuộc tấn công zero-day CVE-2021-40444
Hiện tại, Microsoft chưa phát hành bản cập nhật vá lỗi đối với CVE-2021-40444, tuy nhiên hãng đã đưa ra một số giải pháp khắc phục tạm thời để giảm thiểu nguy cơ tấn công bởi lỗ hổng này như: Không nên mở các tài liệu Office từ những nguồn lạ và không đáng tin cậy; Cập nhật phiên bản mới nhất cho Microsoft Defender Antivirus và Microsoft Defender for Endpoint; Vô hiệu hóa tất cả các cơ chế điều khiển ActiveX trong Internet Explorer.
Để tắt cơ chế điều khiển ActiveX, người dùng nên tạo một tập tin và lưu với định dạng phần mở rộng .REG, sau đó thực thi tập tin này. Cuối cùng là khởi động lại máy tính để cấu hình mới được áp dụng vào hệ thống.
Cụ thể, các bước để tắt cơ chế điều khiển ActiveX được thực hiện như sau:
Sao chép và dán văn bản sau. Lưu thành tập tin “disable-activex.reg”, đảm bảo rằng người dùng đã bật hiển thị phần mở rộng tệp.
Chạy tập tin vừa được tạo bằng cách nhấp đúp vào nó. Một lời nhắc UAC được hiển thị, chọn “Yes” để thực thi.
Thông báo chạy tập tin thành công.
Sau khi khởi động lại máy tính của mình, các cơ chế điều khiển ActiveX sẽ bị tắt trong Internet Explorer. Lưu ý rằng khi Microsoft cung cấp bản cập nhật bảo mật chính thức cho lỗ hổng này, người dùng có thể gỡ bản sửa lỗi Registry tạm thời trên bằng cách xóa thủ công các key Registry đã tạo.
Đinh Hồng Đạt
(Theo bleepingcomputer)
07:00 | 23/10/2023
11:00 | 13/09/2021
14:00 | 17/08/2023
14:00 | 29/11/2021
10:00 | 04/02/2022
17:00 | 29/07/2021
13:00 | 09/09/2021
09:00 | 19/07/2023
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 22/04/2024