DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Khẩn: Cảnh báo lỗ hổng zero-day thực thi mã từ xa trong Microsoft Office
Các nhà nghiên cứu an ninh mạng cảnh báo về một lỗ hổng zero-day trong Microsoft Office có thể đã bị tin tặc khai thác trong các cuộc tấn công.
Ngày 27 tháng 5, nhà nghiên cứu có mật danh “nao_sec” đã báo cáo một tệp tài liệu độc hại trên dịch vụ VirusTotal, được tải lên từ Belarus và thiết kế để thực thi mã tùy ý PowerShell khi mở.
Tệp tài liệu độc hại ngay lập tức được chú ý và phân tích bởi một số chuyên gia khác, trong đó nhà nghiên cứu Kevin Beaumont đã đề cập trong bài đăng trên blog cá nhân.
Beaumont cho biết: "Tài liệu sử dụng tính năng remote template của Word để truy xuất tệp HTML từ máy chủ web, sau đó sử dụng cơ chế ms-msdt MSProtocol URI để tải mã và thực thi một số lệnh PowerShell".
Đáng chú ý, mã độc được thực thi ngay cả khi tính năng macro bị vô hiệu hóa. Phần lớn các mã độc lây nhiễm qua tệp Microsoft Office đều sử dụng macro để phát tán. Hiện Microsoft Defender không thể ngăn chặn tệp Word độc hại này thực thi mã trên hệ thống.
Beaumont cho biết thêm: "Chế độ Protected View có thể hiệu quả để ngăn chặn lỗ hổng. Tuy nhiên nếu tài liệu được đổi thành dạng RTF, lỗi vẫn được kích hoạt thậm chí không cần mở tài liệu".
Nhà nghiên cứu quyết định đặt tên cho lỗ hổng zero-day là “Follina” vì tệp độc hại tham chiếu đến 0438 là mã vùng của Follina - một ngôi làng ở Ý. Tính đến thời điểm này, khoảng 1/3 công cụ VirusTotal có khả năng phát hiện tệp Word độc hại này.
Ngoài Beaumont, các nhà nghiên cứu Didier Stevens và Rich Warren của NCC Group cũng xác nhận lỗ hổng Follina cho phép tin tặc thực thi mã trên hệ thống chạy Windows và Office. Các phiên bản bị ảnh hưởng bao gồm Office Pro Plus, Office 2013, Office 2016 và Office 2021.
Beaumont nhận thấy lỗ hổng không ảnh hưởng đến các phiên bản thử nghiệm của Office, bao gồm Insider và Current. Có thể dự đoán, Microsoft đang tiến hành vá lỗi.
Tên miền xmlformats[.]com được tin tặc sử dụng cho mục đích tấn công "command and control" (C&C), sau đó đã bị vô hiệu hóa bởi Namecheap (Nhà cung cấp dịch vụ đăng ký tên miền và lưu trữ web). Hiện tại chưa có bản vá phát hành nên hai nhà nghiên cứu Both Warren và Beaumont khuyến cáo người dùng áp dụng tính năng Defender ASR để giảm thiểu rủi ro.
Ngày 27 tháng 5, nhà nghiên cứu có mật danh “nao_sec” đã báo cáo một tệp tài liệu độc hại trên dịch vụ VirusTotal, được tải lên từ Belarus và thiết kế để thực thi mã tùy ý PowerShell khi mở.
Tệp tài liệu độc hại ngay lập tức được chú ý và phân tích bởi một số chuyên gia khác, trong đó nhà nghiên cứu Kevin Beaumont đã đề cập trong bài đăng trên blog cá nhân.
Beaumont cho biết: "Tài liệu sử dụng tính năng remote template của Word để truy xuất tệp HTML từ máy chủ web, sau đó sử dụng cơ chế ms-msdt MSProtocol URI để tải mã và thực thi một số lệnh PowerShell".
Đáng chú ý, mã độc được thực thi ngay cả khi tính năng macro bị vô hiệu hóa. Phần lớn các mã độc lây nhiễm qua tệp Microsoft Office đều sử dụng macro để phát tán. Hiện Microsoft Defender không thể ngăn chặn tệp Word độc hại này thực thi mã trên hệ thống.
Beaumont cho biết thêm: "Chế độ Protected View có thể hiệu quả để ngăn chặn lỗ hổng. Tuy nhiên nếu tài liệu được đổi thành dạng RTF, lỗi vẫn được kích hoạt thậm chí không cần mở tài liệu".
Nhà nghiên cứu quyết định đặt tên cho lỗ hổng zero-day là “Follina” vì tệp độc hại tham chiếu đến 0438 là mã vùng của Follina - một ngôi làng ở Ý. Tính đến thời điểm này, khoảng 1/3 công cụ VirusTotal có khả năng phát hiện tệp Word độc hại này.
Ngoài Beaumont, các nhà nghiên cứu Didier Stevens và Rich Warren của NCC Group cũng xác nhận lỗ hổng Follina cho phép tin tặc thực thi mã trên hệ thống chạy Windows và Office. Các phiên bản bị ảnh hưởng bao gồm Office Pro Plus, Office 2013, Office 2016 và Office 2021.
Beaumont nhận thấy lỗ hổng không ảnh hưởng đến các phiên bản thử nghiệm của Office, bao gồm Insider và Current. Có thể dự đoán, Microsoft đang tiến hành vá lỗi.
Tên miền xmlformats[.]com được tin tặc sử dụng cho mục đích tấn công "command and control" (C&C), sau đó đã bị vô hiệu hóa bởi Namecheap (Nhà cung cấp dịch vụ đăng ký tên miền và lưu trữ web). Hiện tại chưa có bản vá phát hành nên hai nhà nghiên cứu Both Warren và Beaumont khuyến cáo người dùng áp dụng tính năng Defender ASR để giảm thiểu rủi ro.
Theo: securityweek
Chỉnh sửa lần cuối bởi người điều hành: