Tính năng tích hợp trong MS Office cho phép mã độc thực thi mà không cần kích hoạt Macro

Trong khi các hình thức tội phạm mới đang gia tăng với tốc độ chóng mặt, các kỹ thuật truyền thống dường như đang chuyển hướng sang tinh vi hơn và thường tập trung vào khai thác các lỗ hổng trên công cụ quản lý hệ thống và giao thức kết nối.

Các chuyên gia bảo mật thuộc nhóm nghiên cứu về các mối đe dọa an ninh mạng Cisco’s Talos đã phát hiện ra một trong số những chiến dịch tấn công mạng đang lây lan các tài liệu Microsoft Word có kèm theo mã độc có thể thực thi mã trên thiết bị mục tiêu mà không cần kích hoạt Macro hoặc lỗi bộ nhớ.

Kỹ thuật thực thi mã không cần Macro trên MSWord này được mô tả chi tiết vào ngày thứ Hai bời hai nhà nghiên cứu đến từ Sensepost, Etienne Stalmans và Saif El-Sherei, sử dụng tính năng tích hợp trong MS Office mang tên Dynamic Data Exchange (DDE) để thực thi mã.

Giao thức Dynamic Data Exchange (DDE) là một trong nhiều phương pháp mà Microsoft sử dụng để chạy 2 ứng dụng chia sẻ cùng một dữ liệu. Giao thức này có thể được sử dụng bởi các ứng dụng để truyền dữ liệu và trao đổi dữ liệu liên tục, trong đó các ứng dụng sẽ gửi các bản cập nhật cho nhau mỗi khi có dữ liệu mới.

Có rất nhiều ứng dụng sử dụng giao thức DDE này, trong đó có Microsoft’s Excel, MS Word, Quattro Pro và Visual Basic.

Kỹ thuật khai thác này được các nhà nghiên cứu mô tả rằng nó sẽ không hiển thị cảnh báo bảo mật cho nạn nhân, ngoại trừ hỏi nạn nhân có muốn thực thi ứng dụng được chỉ định trong lệnh hay không – và lẽ dĩ nhiên, pop up thông báo cũng đã bị loại bỏ với một số thay đổi cấu trúc mã code thích hợp để nạn nhân không nhận ra.

Theo mô tả của các chuyên gia, phương pháp được các hacker chủ động khai thác nhằm mục đích nhắm mục tiêu tấn công vào một số tổ chức sử dụng email lừa đảo giả mạo, làm sao cho chúng có vẻ như được gửi từ các tổ chức và Ủy ban chứng khoán, thuyết phục nạn nhân mở chúng.

Một khi đã mở tập tin này, nạn nhân sẽ được nhắc nhở với một thông báo cho họ biết rằng tài liệu này có chứa những liên kết đến các tập tin bên ngoài, yêu cầu họ cho phép hoặc từ chối truy xuất và hiển thị nội dung bên trong.

Nếu người dùng lỡ tay cho tập tin này quyền truy xuất và hiển thị thì văn bản độc hại sẽ truyền dữ liệu qua lại với mạng lưới của kẻ tấn công để nhận mã thực thi lây nhiễm phần mềm độc hại DNSMessenger.

Điều đáng chú ý là Microsoft không nhận định đây là vấn đề bảo mật, thay vào đó, công ty cho rằng giao thức DDE là một tính năng không thể gỡ bỏ nhưng có thể được cải thiện để cảnh báo người dùng tốt hơn trong tương lai.

Dù không thể trực tiếp vô hiệu hóa việc thực thi mã DDE nhưng người dùng có thể chủ động theo dõi các ghi chú hoạt động trên hệ thống để kiểm tra sự khai thác có xảy ra hay không.

Cách tốt nhất để bảo vệ bản thân khỏi những cuộc tấn công bằng mã độc này chính là luôn nghi ngờ những văn bản lạ được gửi qua email mời gọi người dùng mở văn bản và không nhấp vào bất kỳ văn bản nào trước khi kiểm tra rõ nguồn của tập tin.

Xuân Dung