Microsoft Office đưa lỗ hổng search-ms lên tầm cao mới?

Trong tuần này, các nhà nghiên cứu đã phát hiện ra rằng hacker đang lợi dụng lỗ hổng zero-day mới của Windows trong công cụ chẩn đoán hỗ trợ của Microsoft Windows (MSDT). Để khai thác nó, hacker đã tạo các tài liệu Word độc hại khởi chạy trình xử lý giao thức URI "ms-msdt" để thực thi các lệnh PowerShell chỉ bằng cách mở tài liệu.

Được gán mã số CVE-2022-30190, lỗ hổng này cho phép hacker có thể sửa đổi tài liệu Microsoft Office để bỏ qua Protected View và khởi chạy trình xử lý giao thức URI mà không cần sự tương tác của người dùng. Điều này dẫn tới việc lạm dụng trình xử lý giao thức ở mức độ cao hơn.

Hickey đã thành công trong việc chuyển đổi các khai thác Microsoft Word MSDT hiện có để sử dụng trình xử lý giao thức search-ms đã dược đề cập ở phía trên.

Với các khai thác mới này, khi người dùng mở tài liệu Word, nó sẽ tự động khởi chạy lệnh "search-ms" để mở cửa sổ Windows Search liệt kê các tệp thực thi SMB chia sẻ từ xa. Chia sẻ này có thể được đặt tên thành bất cứ thứ gì mà hacker muốn, chẳng hạn như "Cập nhật quan trọng" để lừa người dùng cài đặt các phần mềm độc hại.

Giống như việc khai thác MSDT, Hickey cũng cho thấy rằng bạn có thể tạo các phiên bản RTF tự động mở cửa sổ Windows Search khi tài liệu được hiển thị trong ngăn xem trước của Explorer.

Qua phương thức sử dụng tài liệu Word độc hại này, hacker có thể tạo ra các chiến dịch lừa đảo phức tạp, tự khởi chạy cửa sổ Windows Search trên máy của nạn nhân đề lừa họ chạy phần mềm độc hại.

Mặc dù cách khai thác này không nghiêm trọng như lỗ hổng thực thi code từ xa MS-MSDT nhưng nó có thể dẫn tới việc bị lạm dụng bởi những hacker không chuyên, những kẻ muốn tạo ra các chiến dịch lừa đảo tinh vi.

Mặc dù đã tìm ra cách mà hacker có thể khai thác lỗ hổng mới nhưng vì lý do an toàn các chuyên gia sẽ không chia sẻ chi tiết.

Để giảm thiểu lỗ hổng này, Hickey cho biết bạn có thể sử dụng các biện pháp giảm thiểu tương tự cho lỗ hổng ms-msdt. Tức là bạn cần xóa trình xử lý giao thức search-ms khỏi Windows Registry.

Cách làm như sau:

Mở Command Promt với quyền admin.

Sao lưu Registry bằng lệnh sau: "reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg".

Chạy lệnh này để xóa search-ms: "reg delete HKEY_CLASSES_ROOT\search-ms /f".

Nếu cần khôi phục search-ms bạn nhập lệnh sau: "reg import search-ms.reg".

Cơn ác mộng giao thức Windows

Cả hai ví dụ về việc lạm dụng MSDT và search-ms đều không phải là điều gì mới mẻ. Năm 2020, trong luận án về bảo mật ứng dụng Electron, Benjamin Altpeter đã tiết lộ về các vấn đề này.

Tuy nhiên, phải tới gần đây chúng mới được vũ khí hóa trong các tài liệu Word độc hại cho các cuộc tấn công lừa đảo mà không cần sự tương tác của người dùng. Điều này đã biến chúng thành các lỗ hổng zero-day.

Dựa trên hướng dẫn bảo mật của Microsoft cho CVE-2022-30190, dường như công ty này chỉ đang giải quyết các lỗi trong trình xử lý giao thức và các tính năng Windows cơ bản của họ, chứ không tập trung vào các tác nhân đe dọa có thể lạm dụng Microsoft Office để khởi chạy các URI này mà không cần có sự tương tác của người dùng.

Giống như Will Dormann, nhà phân tích lỗ hổng của CERT/CC cho biết, những cách khai thác này sử dụng hai lỗ hổng khác nhau. Nếu không khắc phục sự cố Microsoft Office URI, các trình xử lý giao thức khác sẽ bị lạm dụng.

Hickey cũng chia sẻ rằng đây không hẳn là lỗ hổng trong trình xử lý giao thức mà là sự kết hợp dẫn tới một Lỗ hổng giả mạo đường dẫn Microsoft Office OLEObject search-ms.

Chỉ khi nào Microsoft thiết lập để không thể chạy trình xử lý URI trong Microsoft Office mà không có sự tương tác của người dùng thì vấn đề mới được giải quyết.

Theo The HackerNews