Nhóm Tin Tặc APT28 Dùng Lỗ Hổng Zero-Day MSHTML (CVE-2026-21513) Để Tấn Công Dân Văn Phòng
Các nhà nghiên cứu bảo mật vừa phát hiện chiến dịch tấn công quy mô lớn của APT28 - nhóm tin tặc được cho là có sự hậu thuẫn từ nhà nước. Chúng đang tận dụng lỗ hổng chưa từng được công bố (CVE-2026-21513) trong thành phần MSHTML của Windows để xuyên thủng hệ thống mạng doanh nghiệp và chính phủ thông qua các tệp tài liệu mồi nhử.
.png "Nhóm Tin Tặc APT28 Dùng Lỗ Hổng Zero-Day MSHTML (CVE-2026-21513) Để Tấn Công Dân Văn Phòng")
Sự nguy hiểm của "Bóng ma" MSHTML
Nếu bạn nghĩ rằng Internet Explorer đã chết thì bạn đã nhầm. Mặc dù trình duyệt này đã bị "khai tử", nhưng "trái tim" của nó là công cụ kết xuất web MSHTML vẫn đang nằm sâu bên trong hệ điều hành Windows và được Microsoft Office sử dụng để hiển thị nội dung web bên trong các tài liệu Word, Excel hay Outlook.
Lỗ hổng CVE-2026-21513 đánh chính xác vào "bóng ma" này. Bằng cách thao túng cách MSHTML xử lý các liên kết đặc biệt, APT28 có thể ép máy tính của nạn nhân tự động thực thi mã độc hoặc gửi thông tin đăng nhập ra máy chủ bên ngoài mà không cần sự đồng ý của người dùng.
Kịch bản sập bẫy tàng hình
Khác với các loại virus lây lan qua phần mềm bẻ khóa, cuộc tấn công này nhắm trực tiếp vào thói quen làm việc hàng ngày của giới văn phòng:
-
Bước 1 - Mồi nhử: Nạn nhân nhận được một email giả mạo (Phishing) mang tính cấp bách (ví dụ: Thông báo thay đổi lương, Lời mời dự sự kiện quan trọng, hoặc Hóa đơn thanh toán) kèm theo một tệp đính kèm định dạng
.doc,.docxhoặc.rtf. -
Bước 2 - Kích hoạt ngầm: Ngay khi nạn nhân click mở tài liệu, lỗ hổng MSHTML lập tức được kích hoạt. Nó âm thầm bỏ qua lớp "Chế độ xem được bảo vệ" (Protected View) của Microsoft Office.
-
Bước 3 - Đánh cắp "Chìa khóa": Mã độc sẽ ép máy tính nạn nhân kết nối đến một máy chủ từ xa do hacker kiểm soát. Quá trình này giúp chúng đánh cắp được mã băm NTLM (NTLM Hash) – một dạng mật khẩu mã hóa của Windows. Có được mã băm này, hacker có thể tự do đi lại trong mạng nội bộ của công ty bạn.
3 "Lá chắn" bảo vệ bạn và doanh nghiệp
Lỗ hổng Zero-day luôn đáng sợ vì chúng đánh úp khi chúng ta chưa kịp phòng bị. Tuy nhiên, Microsoft đã nắm được tình hình và bạn cần hành động ngay:
-
Cập nhật Windows Update lập tức: Microsoft đã gấp rút phát hành bản vá cho CVE-2026-21513 trong bản cập nhật an ninh tháng 3/2026. Hãy vào Settings > Windows Update và nhấn Check for updates ngay bây giờ. Hãy nhớ khởi động lại máy sau khi cài đặt.
-
Nguyên tắc "Không mở file lạ": Tuyệt đối không nhấp đúp vào bất kỳ tệp đính kèm nào từ những email không rõ nguồn gốc. Nếu một đồng nghiệp đột nhiên gửi cho bạn một file lạ với tiêu đề bất thường, hãy gọi điện thoại trực tiếp để xác nhận xem họ có bị hack tài khoản hay không.
-
Vô hiệu hóa NTLM (Dành riêng cho IT Admin): Đối với các quản trị viên hệ thống mạng doanh nghiệp, hãy cân nhắc cấu hình Group Policy để chặn hoàn toàn các kết nối NTLM gửi ra ngoài Internet (Block NTLM Outbound Traffic). Điều này sẽ bẻ gãy hoàn toàn mục đích đánh cắp thông tin đăng nhập của chiến dịch này.
Sự tinh vi của APT28 nhắc nhở chúng ta rằng: Một cú click chuột vội vã vào tệp văn bản cũng đủ để mở toang cánh cửa an ninh của cả một tập đoàn.
Hương - Theo TheHackerNews
.png)
.png)
.png)
