Lỗ hổng chưa được vá
Lỗ hổng trong Office định danh CVE-2023-36884 các chuyên gia bảo mật Microsoft cho biết bản vá có thể được phát hành trước bản vá Path Tuesday của tháng tới.
Trong một động thái mới nhất, Microsoft đã ghi nhận một loạt các lỗ hổng thực thi mã từ xa ảnh hưởng đến người dùng Windows và Office, đồng thời xác nhận rằng họ đang điều tra nhiều báo cáo về các cuộc tấn công có chủ đích nhằm khai thác các lỗ hổng này bằng các tài liệu Microsoft Office độc hại.
“Tin tặc có thể tạo một tài liệu Microsoft Office được thiết kế đặc biệt cho phép chúng thực thi mã từ xa. Tuy nhiên, điều này phụ thuộc vào việc nạn nhân phải mở tệp độc hại”, Microsoft chia sẻ. Mặc dù lỗ hổng vẫn chưa được giải quyết, gã khổng lồ công nghệ này cho biết sẽ cung cấp cho khách hàng các bản vá bảo mật mới thông qua quy trình phát hành hàng tháng hoặc đột xuất.
Các biện pháp giảm thiểu
Cho đến khi có bản vá cho lỗ hổng CVE-2023-36884, Microsoft khuyến cáo người dùng sử dụng Bộ sản phẩm Microsoft Defender cho Office và bật tùy chọn “Block all Office applications from creating child processes” trong tính năng “Attack Surface Reduction Rule” để cung cấp tuyến phòng thủ đầu tiên trong các lớp bảo mật nhằm bảo vệ trước các cuộc tấn công lừa đảo.
Bên cạnh đó, người dùng cũng có thể thêm tên các ứng dụng sau trong registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, chỉnh sửa giá trị type của REG_DWORD với data là 1:
Tuy nhiên, đáng lưu ý là việc đặt key registry để chặn các nỗ lực khai thác cũng có thể ảnh hưởng đến một số chức năng của Microsoft Office được liên kết với các ứng dụng ở trên.
Chỉnh sửa registry FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
Nhắm mục tiêu tại châu Âu và Bắc Mỹ
Trong một blog, nhóm tình báo mối đe dọa của Microsoft cho biết lỗ hổng CVE-2023-36884 đã bị một nhóm tin tặc Nga có tên gọi “Storm-0978” (hay RomCom) khai thác trong các cuộc tấn công mạng gần đây nhắm mục tiêu vào các tổ chức quốc phòng và chính phủ ở châu Âu và Bắc Mỹ.
Theo tài liệu trong các báo cáo được xuất bản bởi Nhóm Ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) và các nhà nghiên cứu của công ty an ninh mạng BlackBerry, tin tặc đã sử dụng các tài liệu độc hại mạo danh tổ chức “Ukrainian World Congress” để cài đặt các phần mềm độc hại, bao gồm cả trình tải MagicSpell và backdoor RomCom.
Các nhà nghiên cứu bảo mật của BlackBerry cho biết: “Nếu khai thác thành công, lỗ hổng cho phép các tin tặc tiến hành một cuộc tấn công dựa trên thực thi mã từ xa thông qua việc tạo ra một tài liệu .docx hoặc .rtf độc hại được thiết kế để khai thác lỗ hổng. Điều này đạt được bằng cách tận dụng tài liệu được chế tạo đặc biệt để thực thi phiên bản MSDT tồn tại lỗ hổng, từ đó cho phép tin tặc chuyển lệnh tới tiện ích để thực thi".
Microsoft cũng cho biết chiến dịch mới nhất của nhóm tin tặc này được phát hiện vào tháng 6/2023 liên quan đến việc lạm dụng CVE-2023-36884 để cung cấp một backdoor tương tự như RomCom.
Hữu Tài
14:00 | 04/08/2023
09:00 | 13/04/2023
14:00 | 22/02/2024
14:00 | 17/08/2023
08:00 | 18/08/2023
16:00 | 11/04/2023
10:00 | 20/09/2021
10:00 | 26/04/2024
Cisco đã đưa ra cảnh báo về chiến dịch tấn công Brute Force quy mô lớn nhắm mục tiêu vào các dịch vụ VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.
17:00 | 12/04/2024
Ngày 8/4, tập đoàn công nghệ Microsoft của Mỹ công bố kế hoạch thành lập một trung tâm trí tuệ nhân tạo mới (AI) tại thủ đô London của Anh. Trung tâm AI của Microsoft sẽ hoạt động dưới sự dẫn dắt của ông Mustafa Suleyman - nhà đồng sáng lập Google DeepMind và là người mới được Microsoft thuê vào tháng trước.
07:00 | 08/04/2024
Red Hat cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora, vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils (trước đó là LZMA Ultis).
14:00 | 26/03/2024
Công ty sản xuất phần mềm Atlassian (Úc) phát hành các bản vá bảo mật để giải quyết hơn 20 lỗ hổng, bao gồm một lỗ hổng nghiêm trọng ảnh hưởng đến Data Center và máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024