Hacker lợi dụng lỗ hổng DDE chưa được vá trên Microsoft Word để phát tán mã độc trên diện rộng

Tuần trước, báo chí đã đưa tin về một lỗ hổng trên Microsoft Office mang tên Dynamic Data Exchange (DDE) có thể bị hacker lợi dụng lây lan mã độc mà không cần kích hoạt Macros vẫn có thể mở tập tin thực thi.

Giao thức Dynamic Data Exchange (DDE) là một trong nhiều phương pháp mà Microsoft sử dụng để chạy 2 ứng dụng chia sẻ cùng một dữ liệu. Giao thức này được sử dụng trong hàng ngàn ứng dụng bao gồm MS Excel, MS Word, Quattro Pro và Visual Basic để để truyền dữ liệu và trao đổi dữ liệu liên tục.

Được biết, hacker khai thác lỗ hổng này để lây lan mã thực thi lây nhiễm phần mềm độc hại DNSMessenger. Và lỗ hổng này chưa được Microsoft này vá lại do họ không nhận định đây là vấn đề bảo mật. Xem thêm tại đây.

Các chuyên gia bảo mật vừa phát hiện hacker sử dụng Necurs Botnet – một mã độc đang chiếm quyền quản lý hơn 6 triệu máy tính bị lây nhiễm trên toàn thế giới và gửi hàng triệu email nhằm lây lan mã độc tống tiền khét tiếng Locky và mã độc ngân hàng TrickBot bằng các tập tin Word sử dụng kỹ thuật tấn công DDE mới này.

Các hacker lây lan mã độc Locky trước đây sử dụng tập tin Word từng bị vướng lại bởi macro nay lại có thể cập nhật Nercus Botnet để lây lan phần mềm độc hại thông qua việc khai thác DDE lại còn có khả năng chụp ảnh màn hình máy tính của nạn nhân. Đây quả thật sẽ là một mối nguy lớn cho tình hình an ninh mạng hiện nay.

Chưa dừng ở đó, các chuyên gia còn phát hiện một chiến dịch tấn công qua thư rác khác lây lan mã độc Hancitor (còn được biết với tên Chanitor và Tordal) khai thác lỗ hổng  Microsoft Office DDE. Hancitor là một trình tải tự động có thể cài đặt các mã độc như Trojan ngân hàng, mã độc đánh cắp dữ liệu và mã độc tống tiền vào thiết bị của nạn nhân và thường xuyên được lây lan dưới dạng một tập tin MS Office đã kích hoạt macro qua các email giả mạo.

Vậy người dùng phải làm gì để tự bảo vệ mình khỏi các cuộc tấn công qua lỗ hổng DDE?

Vì DDE là tính năng hợp pháp của Microsoft nên hầu hết các giải pháp chống virus ngày nay đều không thể phát tính hiệu cảnh báo hoặc ngăn chặn tài liệu có trường DDE của Microsoft Office, thậm chí hãng còn không có ý định gỡ bỏ tính năng này.

Do đó cách tốt nhất để người dùng tự bảo vệ bản thân chính là tắt tùy chọn “update automatic links at open” trong các chương trình MS Office.

Để thực hiện, mở ứng dụng Word -> Chọn File -> Options -> Advanced và cuộn xuống phần General, sau đó bỏ chọn “Update Automatic links at Open”.

Bên cạnh đó, người dùng hãy luôn nghi ngờ đối với các tài liệu được gửi qua email và không bao giờ nhấp vào liên kết bên trong các tài liệu đó trừ khi đã xác minh đầy đủ và chính xác email được gửi từ đơn vị đáng tin cậy.

Xuân Dung