Khi chế độ này được kích hoạt, Office sẽ mở các tệp ở chế độ chỉ đọc, vô hiệu hóa các macro và nội dung ngoài. Thực tế, việc bỏ qua chế độ xem an toàn để soạn thảo tài liệu là khá đơn giản, bởi phần lớn người dùng không thực sự đánh giá đúng lợi ích của chế độ này. Có rất nhiều hướng dẫn tắt hẳn chế độ xem an toàn, tuy nhiên đây là hành động dễ dàng đưa người dùng vào nguy cơ lây nhiễm mã độc. Bài viết này sẽ giới thiệu một số kịch bản tấn công đơn giản khi không có chế độ xem an toàn.
Một số kịch bản tấn công
Kịch bản thứ nhất
Tại kịch bản này, tin tặc chèn liên kết thay cho hình ảnh vào một văn bản Word được gửi qua thư điện tử. Hành động này có mục đích theo dõi khách hàng nào đã nhận thư quảng cáo nếu mail client vô hiệu hóa thủ thuật theo dõi thư. URL trỏ tới hình ảnh sẽ có một mã định danh để nhận biết khách hàng nào đọc văn bản quảng cáo. Khi phần mềm Word mở một văn bản ở chế độ xem an toàn, nó sẽ chỉ hiển thị những nội dung chứa trong văn bản đó chứ không tải từ bên ngoài. Điều này có thể khiến cho văn bản không hiển thị đầy đủ, dù hình ảnh lấy từ bên ngoài chỉ là một chấm nhỏ.
Khi người dùng nhấn nút “Enable Editing”, tức là đã tin tưởng vào văn bản và bắt đầu tải tất cả các tài nguyên bên ngoài để hiển thị đầy đủ văn bản. Đây chính là lúc cuộc tấn công thành công.
Việc chuẩn bị cho cuộc tấn công theo kịch bản này khá đơn giản. Thay vì chèn một bức ảnh bình thường, kẻ tấn công chỉ cần nhập một địa chỉ liên kết vào File name rồi chọn Link to File thay vì Insert.
Hơn nữa, khi Word truy cập máy chủ của kẻ tấn công để lấy hình ảnh, hắn sẽ biết được cả địa chỉ IP của nạn nhân và chuỗi “user-agent” bao gồm phiên bản của hệ điều hành, Office và Internet Explorer. Những thông tin đó có thể được dùng cho các cuộc tấn công sau này, chứ không chỉ đơn giản là tiết lộ thông tin một khách hàng đã xem quảng cáo.
Kịch bản thứ hai
Kịch bản này cũng thực hiện theo dõi khách hàng, nhưng có thể được thực hiện theo một cách khó nhận biết hơn. Khi kẻ tấn công dùng một mẫu văn bản (Word template) từ xa, người đọc sẽ không phát hiện các dấu hiệu dễ nhận thấy trong văn bản.
Kịch bản thứ ba
Kịch bản này giống như kịch bản thứ nhất là dùng liên kết trỏ tới máy chủ bên ngoài thay cho một hình ảnh bình thường, nhưng lại có thể giúp kẻ tấn công đánh cắp mật khẩu đăng nhập Windows của người đọc. Điểm khác biệt đó là thay vì dùng một địa chỉ HTTP, kẻ tấn công sẽ đổi thành một đường dẫn UNC – kiểu đường dẫn dược dùng trong các thư mục chia sẻ của Windows. Cách sửa thành đường dẫn UNC khá đơn giản: sau khi tạo liên kết trỏ tới máy chủ của mình và lưu văn bản Word, kẻ tấn công chỉ cần thực hiện các bước sau:
- Đổi phần mở rộng từ .docx thành .zip rồi kích đúp vào để mở như một thư mục thông thường.
- Tìm và sao chép tệp document.xml.rels (giả sử tệp Word có tên là “testfile” thì sẽ tìm thấy tệp cần tìm ở đường dẫn “testfile.zip\word\_rels\document.xml.rels”) ra thư mục khác. Sau đó, sử dụng Notepad để đổi địa chỉ trỏ tới hình ảnh thành dạng đường dẫn UNC (như hình minh họa) và lưu lại.
- Chép đè tệp document.xml.rels vào trong tệp .zip.
- Đổi phần mở rộng tệp .zip thành .docx như ban đầu
Khi người nhận mở văn bản và bỏ qua chế độ xem an toàn, Word sẽ cho rằng hình ảnh còn thiếu nằm trên một máy chủ chia sẻ, cố gắng truy cập nó bằng cách gửi tên người dùng và giá trị băm của mật khẩu để xác thực. Kẻ tấn công dùng công cụ responder để đóng giả một máy chủ chia sẻ tệp hợp lệ nhằm lấy cắp thông tin đăng nhập của người dùng. Mặc dù, Word sẽ báo lỗi cho người dùng, nhưng giá trị băm của mật khẩu mà người dùng gửi tới có thể được kẻ tấn công giải mã bằng công tụ john-the-ripper hay một công cụ tương tự.
Cách kích hoạt chế độ xem an toàn
Trên đây là 3 kịch bản tấn công đơn giản và dễ thực hiện nhất khi người dùng bỏ kích hoạt chế độ xem an toàn, ngoài ra còn nhiều phương pháp tấn công khác. Người dùng cần giữ chế độ xem an toàn, đồng thời biết cách kiểm tra xem chế độ này đang có được kích hoạt hay không bằng cách: Mở trình soạn thảo )Word, Excel hay PowerPoint, chọn File/ Options. Trong cửa sổ Options, chọn mục Trust Center, nhấn nút Trust Center Settings, chọn mục Protected View.
Microsoft Word, PowerPoint và Excel đều có 3 thiết lập chính được kích hoạt mặc định là: Enable Protected View For Files Originating From The Internet (áp dụng cho các tệp từ Internet), Enable Protected View For Files Located In Potentially Unsafe Locations (áp dụng cho các tệp mở từ những thư mục được coi là không an toàn như Temporary Internet Files) và Enable Protected View For Outlook Attachments (áp dụng cho các tệp đính kèm trong thư điện tử mở bằng Microsoft Outlook). Nếu đã bỏ các tùy chọn này, người dùng cần nhanh chóng khôi phục lại trạng thái mặc định.
Riêng Excel có hai thiết lập khác bị bỏ kích hoạt theo mặc định là: Always Open Untrusted Text-Based Files (.csv, .dif and .sylk) In Protected View và Always Open Untrusted Database Files (.dbf) In Protected View.
Tuy nhiên, chế độ xem an toàn có một điểm gây bất tiện cho người dùng, là hiển thị văn bản ở chế độ Read Mode theo mặc định. Ở chế độ này, người dùng không nhìn thấy thanh di chuyển nên khó khăn hơn trong việc xem và sao chép văn bản. Để thấy lại thanh di chuyển trong văn bản, người dùng nhấn nút Esc để quay lại chế độ xem thông thường (vẫn không thể soạn thảo và duy trì trạng thái được bảo vệ). Nếu muốn loại bỏ chế độ Read Mode, mỗi khi mở những tệp có nguy cơ mất an toàn, người dùng chọn File/ Options rồi bỏ dấu chọn ở mục Open e-mail attachments and other uneditable files in reading view.
Nguyễn Anh Tuấn
17:00 | 18/05/2018
08:00 | 19/10/2017
10:00 | 21/08/2020
14:24 | 01/07/2016
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024
