WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phát hiện cuộc tấn công 0-day nhắm vào người dùng Windows thông qua tài liệu Microsoft Office
Microsoft vừa đưa ra cảnh báo về một lỗ hổng zero-day đang bị hacker khai thác, ảnh hưởng đến trình duyệt Internet Explorer. Lỗ hổng có thể tạo điều kiện để hacker chiếm quyền điều khiển các hệ thống Windows tồn tại lỗ hổng, bằng cách tận dụng các tài liệu Office đã được “vũ khí hóa”.
Lỗ hổng CVE-2021-40444 (điểm CVSS: 8,8), là lỗi thực thi mã từ xa bắt nguồn từ MSHTML (hay còn gọi là Trident), một công cụ trình duyệt độc quyền cho Internet Explorer hiện đã ngừng hoạt động và được sử dụng trong Office để hiển thị nội dung web trong các tài liệu Word, Excel và PowerPoint.
"Microsoft đang điều tra các báo cáo về lỗ hổng thực thi mã từ xa trong MSHTML ảnh hưởng đến Microsoft Windows. Microsoft đã nắm thông tin về các cuộc tấn công có chủ đích khai thác lỗ hổng này có sử dụng các tài liệu Microsoft Office đặc biệt", hãng cho biết.
Kẻ tấn công có thể tạo ra một trình điều khiển ActiveX độc hại được sử dụng trong tài liệu Microsoft Office lưu trữ công cụ kết xuất trình duyệt. Sau đó, kẻ tấn công sẽ thuyết phục người dùng mở tài liệu độc hại. Người dùng sở hữu tài khoản được cấu hình có ít quyền hơn trên hệ thống sẽ chịu ảnh hưởng ít hơn so với những người dùng có quyền quản trị.
Nhà sản xuất Windows cũng không tiết lộ thêm chi tiết cụ thể về bản chất của các cuộc tấn công, danh tính của những kẻ tấn công cũng như mục tiêu của chúng.
EXPMON, một trong các bên báo cáo lỗ hổng với Microsoft, cho biết họ tìm ra lỗ hổng này sau khi phát hiện một "cuộc tấn công zero-day rất tinh vi" nhắm vào người dùng Microsoft Office. Các nhà nghiên cứu EXPMON cho biết: “Mã khai thác sử dụng các lỗ hổng logic nên việc khai thác là hoàn toàn khả thi và rất nguy hiểm”.
Tuy nhiên, cuộc tấn công sẽ không thành công nếu Microsoft Office được chạy với cấu hình mặc định, trong đó các tài liệu tải xuống từ web được mở trong Protected View hoặc Application Guard for Office.
Microsoft, sau khi hoàn thành cuộc điều tra, dự kiến sẽ phát hành bản cập nhật an ninh trong gói bản vá Patch Tuesday hằng tháng hoặc tùy thuộc vào nhu cầu của khách hàng. Tạm thời, nhà sản xuất Windows đang kêu gọi người dùng và tổ chức tắt trình điều khiển ActiveX trong Internet Explorer để giảm thiểu nguy cơ bị tấn công.
Ngoài ra, để an toàn, các chuyên gia an ninh mạng WhiteHat khuyến cáo người dùng cần nâng cấp phiên bản phần mềm ngay sau khi bản cập nhật được phát hành.
Lỗ hổng CVE-2021-40444 (điểm CVSS: 8,8), là lỗi thực thi mã từ xa bắt nguồn từ MSHTML (hay còn gọi là Trident), một công cụ trình duyệt độc quyền cho Internet Explorer hiện đã ngừng hoạt động và được sử dụng trong Office để hiển thị nội dung web trong các tài liệu Word, Excel và PowerPoint.
"Microsoft đang điều tra các báo cáo về lỗ hổng thực thi mã từ xa trong MSHTML ảnh hưởng đến Microsoft Windows. Microsoft đã nắm thông tin về các cuộc tấn công có chủ đích khai thác lỗ hổng này có sử dụng các tài liệu Microsoft Office đặc biệt", hãng cho biết.
Kẻ tấn công có thể tạo ra một trình điều khiển ActiveX độc hại được sử dụng trong tài liệu Microsoft Office lưu trữ công cụ kết xuất trình duyệt. Sau đó, kẻ tấn công sẽ thuyết phục người dùng mở tài liệu độc hại. Người dùng sở hữu tài khoản được cấu hình có ít quyền hơn trên hệ thống sẽ chịu ảnh hưởng ít hơn so với những người dùng có quyền quản trị.
Nhà sản xuất Windows cũng không tiết lộ thêm chi tiết cụ thể về bản chất của các cuộc tấn công, danh tính của những kẻ tấn công cũng như mục tiêu của chúng.
EXPMON, một trong các bên báo cáo lỗ hổng với Microsoft, cho biết họ tìm ra lỗ hổng này sau khi phát hiện một "cuộc tấn công zero-day rất tinh vi" nhắm vào người dùng Microsoft Office. Các nhà nghiên cứu EXPMON cho biết: “Mã khai thác sử dụng các lỗ hổng logic nên việc khai thác là hoàn toàn khả thi và rất nguy hiểm”.
Tuy nhiên, cuộc tấn công sẽ không thành công nếu Microsoft Office được chạy với cấu hình mặc định, trong đó các tài liệu tải xuống từ web được mở trong Protected View hoặc Application Guard for Office.
Microsoft, sau khi hoàn thành cuộc điều tra, dự kiến sẽ phát hành bản cập nhật an ninh trong gói bản vá Patch Tuesday hằng tháng hoặc tùy thuộc vào nhu cầu của khách hàng. Tạm thời, nhà sản xuất Windows đang kêu gọi người dùng và tổ chức tắt trình điều khiển ActiveX trong Internet Explorer để giảm thiểu nguy cơ bị tấn công.
Ngoài ra, để an toàn, các chuyên gia an ninh mạng WhiteHat khuyến cáo người dùng cần nâng cấp phiên bản phần mềm ngay sau khi bản cập nhật được phát hành.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: