Lại phát hiện lỗ hổng nghiêm trọng trong Microsoft Office

Các chuyên gia an ninh mạng đang kêu gọi sự chú ý nhắm tới một lỗ hổng zero-day trong Microsoft Office có thể bị lạm dụng để thực thi mã tùy ý trên các hệ thống Windows bị ảnh hưởng.

Lỗ hổng bảo mật này được đưa ra ánh sáng sau khi một nhóm chuyên gia an ninh mạng độc lập có tên nao_sec phát hiện ra một tài liệu Word (“05-2022-0438.doc”) được tải lên VirusTotal từ một địa chỉ IP ở Belarus.

Các chuyên gia lưu ý trong một loạt các tweet vào tuần trước rằng: “Nó sử dụng liên kết bên ngoài của Word để tải lên HTML và sau đó sử dụng lược đồ ‘ms-msdt’ để thực thi mã PowerShell”.

Theo chuyên gia bảo mật Kevin Beaumont, người đặt tên cho lỗ hổng “Follina” thì file word độc hại này sử dụng tính năng mẫu từ xa (remote template) của Word để tìm và tải tệp HTML từ máy chủ, sau đó sử dụng lược đồ URI “ms-msdt: //” để phát tán mã độc.

Sở dĩ nó có tên gọi như vậy là do mẫu mã độc tham chiếu có số 0438. Đây là mã vùng của Follina, một đô thị ở thành phố Treviso của Ý.

MSDT là viết tắt của Microsoft Support Diagnostics Tool, một tiện ích được sử dụng để khắc phục sự cố và thu thập dữ liệu chẩn đoán để các chuyên gia hỗ trợ phân tích nhằm giải quyết sự cố.

Beaumont giải thích: “Có rất nhiều điều đang xảy ra ở đây, nhưng vấn đề đầu tiên là Microsoft Word đang thực thi code thông qua msdt (một công cụ hỗ trợ) ngay cả khi macro đã bị vô hiệu hóa”.

Chuyên gia này cho biết thêm rằng: “Chế độ xem Protected View có tác dụng, mặc dù nếu bạn thay đổi tài liệu thành dạng RTF, nó sẽ chạy mà thậm chí không cần mở tài liệu (thông qua tab xem trước trong Explorer)”.

Trong một phân tích độc lập, công ty an ninh mạng Huntress Labs đã trình bày chi tiết quy trình tấn công. Họ cho biết rằng tệp HTML (“RDF842l.html”) kích hoạt khai thác lỗ hổng có nguồn gốc từ một tên miền hiện không thể truy cập có tên “xmlformats [.] Com.”

John Hammond của Huntress Labs cho biết: “Một file Rich Text Format (.RTF) có thể kích hoạt việc khai thác này chỉ với chế độ xem trước (Preview Pane) trong Windows Explorer. Giống như CVE-2021-40444, điều này làm gia tăng mức độ nghiêm trọng của mối đe dọa này bằng cách không chỉ khai thác bằng ‘một cú nhấp chuột’ mà còn có khả năng khai thác mà ‘không nhấp chuột'”.

Nhiều phiên bản Microsoft Office, bao gồm Office, Office 2016 và Office 2021 được cho là sẽ bị ảnh hưởng, mặc dù các phiên bản khác cũng sẽ dễ bị tấn công.

Ngoài ra, Richard Warren của NCC Group đã thành công trong việc chứng minh một “exploit” trên Office Professional Pro với các bản vá lỗi tháng 4 năm 2022 chạy trên Windows 11 với bản cập nhật mới nhất khi bật chế độ Preview Pane.

Beaumont cho biết: “Microsoft sẽ cần phải vá nó trên tất cả các sản phẩm khác nhau và các nhà cung cấp bảo mật sẽ cần phát hiện và ngăn chặn mạnh mẽ”. Chúng tôi đã liên hệ với Microsoft để nghe nhận xét và chúng tôi sẽ cập nhật câu chuyện sau khi nhận được phản hồi.

Theo Thehackernews