WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
An ninh mạng tháng 9/2021: Lợi dụng Office tấn công qua MSHTML gây ảnh hưởng cả HĐH Windows
Tháng 9 này, không gian mạng vẫn đầy ắp các lỗ hổng từ nhỏ đến to, từ những hãng “must have” của tháng như Google, Microsoft, Cisco, Apple, VMware… đến cả những cái tên mới của năm như Hikvision, WorkSpaces…
Điểm nhấn an ninh mạng tháng này chọn “ông lớn” Microsoft làm chủ đề bởi một sản phẩm của hãng, công cụ MSHTML (Trident) được dùng trong Internet Explorer, tồn tại lỗ hổng tưởng chừng đơn giản mà lại có độ “sát thương” cao, CVE-2021-40444. Lỗ hổng, có điểm CVSS 8.8, nghiêm trọng đến mức Microsoft phải công bố và đưa cách giảm thiểu rủi ro tạm thời trước khi tung ra bản vá một tuần sau đó. Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cũng buộc phải đưa ra cảnh báo đến người dùng bởi lỗ hổng đang bị tin tặc tích cực khai thác trên thực tế.
Ban đầu, đây tưởng chừng là một lỗi đơn giản vì trước hết cần có sự tương tác của người dùng mới có thể khai thác được. Những người chủ quan sẽ nghĩ: “lại là tấn công phishing ấy mà, có gì đâu, không ‘click’ không ‘dính’…”, nhưng nghiên cứu kỹ sẽ thấy cách tin tặc triển khai tấn công lại khá tinh vi và “kín kẽ”.
Vẫn sử dụng cách thức tấn công chuẩn bài như trong sách giáo khoa vỡ lòng dành cho mọi tin tặc, nạn nhân sẽ nhận được một file tài liệu Office tưởng chừng như vô hại nhưng thực chất đã được “vũ khí hoá” bằng cách chèn thêm mã độc. Chỉ cần nạn nhân mở file tài liệu này là có thể kích hoạt Web page rendering engine (công cụ kết xuất nội dung web) MSHTML, đồng thời hacker sẽ khởi chạy chương trình ActiveX Control trên Internet Explorer để thực thi mã độc. Kết quả “ngư ông đắc lợi”, hacker hoàn toàn chiếm được quyền điều khiển thiết bị nạn nhân.
Cuộc tấn công này đặc biệt ở chỗ các file văn bản Office phổ biến được dùng làm bàn đạp tấn công qua trình duyệt IE có sẵn trên hầu hết các phiên bản Windows (trừ Windows 11). Ngoài ra, điều kiện khai thác lỗ hổng cũng khá đơn giản, tất cả đều là cấu hình mặc định trên Office và sử dụng những tài nguyên hệ thống sẵn có.
Để đảm bảo an toàn, các chuyên gia WhiteHat khuyến cáo người dùng cập nhật hệ điều hành càng sớm càng tốt. Trong trường hợp không cập nhật lên phiên bản hệ điều hành mới nhất, người dùng cần tắt chương trình ActiveX Control. Người dùng cũng không click vào tính năng “Enable Content” khi mở file Microsoft Office, bởi nó đồng nghĩa với việc vô hiệu hoá tính năng bảo vệ “Protected View” trên Office.
Bên cạnh đó, với việc lỗ hổng vẫn đang bị lợi dụng khai thác thì các cơ quan, tổ chức cần nâng cao ý thức cảnh giác của nhân viên trong đơn vị mình thông qua các chương trình đào tạo nhận thức an ninh mạng định kỳ bởi con người luôn là lỗ hổng lớn nhất trong mọi hệ thống.
Điểm nhấn an ninh mạng tháng này chọn “ông lớn” Microsoft làm chủ đề bởi một sản phẩm của hãng, công cụ MSHTML (Trident) được dùng trong Internet Explorer, tồn tại lỗ hổng tưởng chừng đơn giản mà lại có độ “sát thương” cao, CVE-2021-40444. Lỗ hổng, có điểm CVSS 8.8, nghiêm trọng đến mức Microsoft phải công bố và đưa cách giảm thiểu rủi ro tạm thời trước khi tung ra bản vá một tuần sau đó. Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cũng buộc phải đưa ra cảnh báo đến người dùng bởi lỗ hổng đang bị tin tặc tích cực khai thác trên thực tế.
Ban đầu, đây tưởng chừng là một lỗi đơn giản vì trước hết cần có sự tương tác của người dùng mới có thể khai thác được. Những người chủ quan sẽ nghĩ: “lại là tấn công phishing ấy mà, có gì đâu, không ‘click’ không ‘dính’…”, nhưng nghiên cứu kỹ sẽ thấy cách tin tặc triển khai tấn công lại khá tinh vi và “kín kẽ”.
Vẫn sử dụng cách thức tấn công chuẩn bài như trong sách giáo khoa vỡ lòng dành cho mọi tin tặc, nạn nhân sẽ nhận được một file tài liệu Office tưởng chừng như vô hại nhưng thực chất đã được “vũ khí hoá” bằng cách chèn thêm mã độc. Chỉ cần nạn nhân mở file tài liệu này là có thể kích hoạt Web page rendering engine (công cụ kết xuất nội dung web) MSHTML, đồng thời hacker sẽ khởi chạy chương trình ActiveX Control trên Internet Explorer để thực thi mã độc. Kết quả “ngư ông đắc lợi”, hacker hoàn toàn chiếm được quyền điều khiển thiết bị nạn nhân.
Cuộc tấn công này đặc biệt ở chỗ các file văn bản Office phổ biến được dùng làm bàn đạp tấn công qua trình duyệt IE có sẵn trên hầu hết các phiên bản Windows (trừ Windows 11). Ngoài ra, điều kiện khai thác lỗ hổng cũng khá đơn giản, tất cả đều là cấu hình mặc định trên Office và sử dụng những tài nguyên hệ thống sẵn có.
Để đảm bảo an toàn, các chuyên gia WhiteHat khuyến cáo người dùng cập nhật hệ điều hành càng sớm càng tốt. Trong trường hợp không cập nhật lên phiên bản hệ điều hành mới nhất, người dùng cần tắt chương trình ActiveX Control. Người dùng cũng không click vào tính năng “Enable Content” khi mở file Microsoft Office, bởi nó đồng nghĩa với việc vô hiệu hoá tính năng bảo vệ “Protected View” trên Office.
Bên cạnh đó, với việc lỗ hổng vẫn đang bị lợi dụng khai thác thì các cơ quan, tổ chức cần nâng cao ý thức cảnh giác của nhân viên trong đơn vị mình thông qua các chương trình đào tạo nhận thức an ninh mạng định kỳ bởi con người luôn là lỗ hổng lớn nhất trong mọi hệ thống.
WhiteHat
Chỉnh sửa lần cuối: