Lại phát hiện lỗ hổng nghiêm trọng trong Microsoft Office

www.tuoitre.vn -   06/06/2022 12:00:00 722

Các chuyên gia an ninh mạng đang kêu gọi sự chú ý nhắm tới một lỗ hổng zero-day trong Microsoft Office có thể bị lạm dụng để thực thi mã tùy ý trên các hệ thống Windows bị ảnh hưởng.

Lại phát hiện lỗ hổng nghiêm trọng trong Microsoft Office

Lỗ hổng bảo mật này được đưa ra ánh sáng sau khi một nhóm chuyên gia an ninh mạng độc lập có tên nao_sec phát hiện ra một tài liệu Word (“05-2022-0438.doc”) được tải lên VirusTotal từ một địa chỉ IP ở Belarus.

Các chuyên gia lưu ý trong một loạt các tweet vào tuần trước rằng: “Nó sử dụng liên kết bên ngoài của Word để tải lên HTML và sau đó sử dụng lược đồ ‘ms-msdt’ để thực thi mã PowerShell”.

Theo chuyên gia bảo mật Kevin Beaumont, người đặt tên cho lỗ hổng “Follina” thì file word độc hại này sử dụng tính năng mẫu từ xa (remote template) của Word để tìm và tải tệp HTML từ máy chủ, sau đó sử dụng lược đồ URI “ms-msdt: //” để phát tán mã độc.

Sở dĩ nó có tên gọi như vậy là do mẫu mã độc tham chiếu có số 0438. Đây là mã vùng của Follina, một đô thị ở thành phố Treviso của Ý.

MSDT là viết tắt của Microsoft Support Diagnostics Tool, một tiện ích được sử dụng để khắc phục sự cố và thu thập dữ liệu chẩn đoán để các chuyên gia hỗ trợ phân tích nhằm giải quyết sự cố.

Beaumont giải thích: “Có rất nhiều điều đang xảy ra ở đây, nhưng vấn đề đầu tiên là Microsoft Word đang thực thi code thông qua msdt (một công cụ hỗ trợ) ngay cả khi macro đã bị vô hiệu hóa”.

Lại phát hiện lỗ hổng nghiêm trọng trong Microsoft Office

Chuyên gia này cho biết thêm rằng: “Chế độ xem Protected View có tác dụng, mặc dù nếu bạn thay đổi tài liệu thành dạng RTF, nó sẽ chạy mà thậm chí không cần mở tài liệu (thông qua tab xem trước trong Explorer)”.

Trong một phân tích độc lập, công ty an ninh mạng Huntress Labs đã trình bày chi tiết quy trình tấn công. Họ cho biết rằng tệp HTML (“RDF842l.html”) kích hoạt khai thác lỗ hổng có nguồn gốc từ một tên miền hiện không thể truy cập có tên “xmlformats [.] Com.”

John Hammond của Huntress Labs cho biết: “Một file Rich Text Format (.RTF) có thể kích hoạt việc khai thác này chỉ với chế độ xem trước (Preview Pane) trong Windows Explorer. Giống như CVE-2021-40444, điều này làm gia tăng mức độ nghiêm trọng của mối đe dọa này bằng cách không chỉ khai thác bằng ‘một cú nhấp chuột’ mà còn có khả năng khai thác mà ‘không nhấp chuột'”.

Nhiều phiên bản Microsoft Office, bao gồm Office, Office 2016 và Office 2021 được cho là sẽ bị ảnh hưởng, mặc dù các phiên bản khác cũng sẽ dễ bị tấn công.

Ngoài ra, Richard Warren của NCC Group đã thành công trong việc chứng minh một “exploit” trên Office Professional Pro với các bản vá lỗi tháng 4 năm 2022 chạy trên Windows 11 với bản cập nhật mới nhất khi bật chế độ Preview Pane.

Beaumont cho biết: “Microsoft sẽ cần phải vá nó trên tất cả các sản phẩm khác nhau và các nhà cung cấp bảo mật sẽ cần phát hiện và ngăn chặn mạnh mẽ”. Chúng tôi đã liên hệ với Microsoft để nghe nhận xét và chúng tôi sẽ cập nhật câu chuyện sau khi nhận được phản hồi.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 42
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 43
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 41
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 67
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 36
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 74
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ