Hacker lợi dụng lỗ hổng mới phát hiện trên Microsoft Office để tấn công PCs

Lỗ hổng tồn tại suốt 17 năm vừa được phát hiện trên Microsoft Office đang bị các hacker khai thác để phân tán một mã độc backdoor có thể điều khiển toàn bộ hệ thống máy tính.

Được phát hiện bởi các nhà nghiên cứu của công ty an ninh mạng Fortinet, phần mềm độc hại này được gọi là Cobalt vì nó sử dụng một công cụ kiểm tra thâm nhập nổi tiếng và hợp pháp, Cobalt Strike - một dạng phần mềm cho Simulations và Red Team Operations – có thể được sử dụng để truy cập vào các kênh bí mật của hệ thống.

Lỗ hổng CVE-2017-11882 là kết quả của quá trình xử lí bị lỗi trong bộ nhớ máy và đã tồn tại trong tất cả các phiên bản của phần mềm Microsoft Office trên Windows từ cách đây 17 năm. Giờ đây, lỗ hổng đang tạo cơ hội cho các hacker thâm nhập và thực thi mã từ xa, nắm quyền kiểm soát hệ thống máy tính bị tấn công. Bạn có thể đọc thêm thông tin chi tiết về lỗ hổng CVE-2017-11882 trong những bài báo trước của chúng tôi.

Chỉ vài ngày sau khi lỗ hổng này được công bố, các tội phạm mạng đã rất nhanh tay lợi dụng nó để phân tán phần mềm độc hại  trước khi người dùng kịp cài đặt bản cập nhật bảo mật có liên quan. Theo các nhà nghiên cứu của Fortinet, mã độc Cobalt được phát tán qua các email spam có nội dung thông báo từ Visa về những thay đổi luật lệ ở Nga kèm với các file nén có định dạng RTF được bảo vệ bằng mật khẩu. Hiển nhiên là mật khẩu này được cung cấp trong email nhằm đánh lừa nạn nhân, khiến họ nghĩ đơn vị gửi là một tổ chức dịch vụ tài chính hợp pháp. Ngoài ra, mật khẩu này cũng giúp bảo vệ phần mềm độc hại khỏi các biện pháp bảo mật tự động.

Sau khi tập tin được mở, một tài liệu trống rỗng sẽ hiện lên kèm theo yêu cầu cho phép chỉnh sửa “Enable Editing”. Tuy nhiên, tài liệu này đã âm thầm chạy một đoạn mã nhúng để tải Cobalt Strike và kiểm soát hoàn toàn hệ thống của nạn nhân.

Theo các nhà nghiên cứu của hãng Fortinet,“Các hacker luôn tìm kiếm những lỗ hổng như thế này để thực hiện các chiến dịch phát tán phần mềm độc hại. Vì những lí do nào đó mà nhiều người dùng hiện nay còn rất hời hợt trong việc cập nhật các bản vá lỗi phần mềm và cài đặt một phần mềm chống virus uy tín để bảo vệ máy tính của mình, khiến bản thân trở thành nạn nhân đáng tiếc của những cuộc tấn công này.”

Để bảo vệ máy tính khỏi mã độc Cobalt, người dùng nên ngay lập tức tải xuống bản cập nhật vá lỗi lỗ hổng CVE-2017-11882. Những người đã cập nhật sẽ không bị ảnh hưởng bởi cuộc tấn công này.