Microsoft Office đưa lỗ hổng search-ms lên tầm cao mới?

www.tuoitre.vn -   27/05/2022 12:00:00 789

Trong tuần này, các nhà nghiên cứu đã phát hiện ra rằng hacker đang lợi dụng lỗ hổng zero-day mới của Windows trong công cụ chẩn đoán hỗ trợ của Microsoft Windows (MSDT). Để khai thác nó, hacker đã tạo các tài liệu Word độc hại khởi chạy trình xử lý giao thức URI "ms-msdt" để thực thi các lệnh PowerShell chỉ bằng cách mở tài liệu.

Microsoft Office đưa lỗ hổng search-ms lên tầm cao mới

Được gán mã số CVE-2022-30190, lỗ hổng này cho phép hacker có thể sửa đổi tài liệu Microsoft Office để bỏ qua Protected View và khởi chạy trình xử lý giao thức URI mà không cần sự tương tác của người dùng. Điều này dẫn tới việc lạm dụng trình xử lý giao thức ở mức độ cao hơn.

Hickey đã thành công trong việc chuyển đổi các khai thác Microsoft Word MSDT hiện có để sử dụng trình xử lý giao thức search-ms đã dược đề cập ở phía trên.

Với các khai thác mới này, khi người dùng mở tài liệu Word, nó sẽ tự động khởi chạy lệnh "search-ms" để mở cửa sổ Windows Search liệt kê các tệp thực thi SMB chia sẻ từ xa. Chia sẻ này có thể được đặt tên thành bất cứ thứ gì mà hacker muốn, chẳng hạn như "Cập nhật quan trọng" để lừa người dùng cài đặt các phần mềm độc hại.

Giống như việc khai thác MSDT, Hickey cũng cho thấy rằng bạn có thể tạo các phiên bản RTF tự động mở cửa sổ Windows Search khi tài liệu được hiển thị trong ngăn xem trước của Explorer.

Qua phương thức sử dụng tài liệu Word độc hại này, hacker có thể tạo ra các chiến dịch lừa đảo phức tạp, tự khởi chạy cửa sổ Windows Search trên máy của nạn nhân đề lừa họ chạy phần mềm độc hại.

Mặc dù cách khai thác này không nghiêm trọng như lỗ hổng thực thi code từ xa MS-MSDT nhưng nó có thể dẫn tới việc bị lạm dụng bởi những hacker không chuyên, những kẻ muốn tạo ra các chiến dịch lừa đảo tinh vi.

Mặc dù đã tìm ra cách mà hacker có thể khai thác lỗ hổng mới nhưng vì lý do an toàn các chuyên gia sẽ không chia sẻ chi tiết.

Để giảm thiểu lỗ hổng này, Hickey cho biết bạn có thể sử dụng các biện pháp giảm thiểu tương tự cho lỗ hổng ms-msdt. Tức là bạn cần xóa trình xử lý giao thức search-ms khỏi Windows Registry.

Microsoft Office đưa lỗ hổng search-ms lên tầm cao mới

Cách làm như sau:

Mở Command Promt với quyền admin.

Sao lưu Registry bằng lệnh sau: "reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg".

Chạy lệnh này để xóa search-ms: "reg delete HKEY_CLASSES_ROOT\search-ms /f".

Nếu cần khôi phục search-ms bạn nhập lệnh sau: "reg import search-ms.reg".

Cơn ác mộng giao thức Windows

Cả hai ví dụ về việc lạm dụng MSDT và search-ms đều không phải là điều gì mới mẻ. Năm 2020, trong luận án về bảo mật ứng dụng Electron, Benjamin Altpeter đã tiết lộ về các vấn đề này.

Tuy nhiên, phải tới gần đây chúng mới được vũ khí hóa trong các tài liệu Word độc hại cho các cuộc tấn công lừa đảo mà không cần sự tương tác của người dùng. Điều này đã biến chúng thành các lỗ hổng zero-day.

Dựa trên hướng dẫn bảo mật của Microsoft cho CVE-2022-30190, dường như công ty này chỉ đang giải quyết các lỗi trong trình xử lý giao thức và các tính năng Windows cơ bản của họ, chứ không tập trung vào các tác nhân đe dọa có thể lạm dụng Microsoft Office để khởi chạy các URI này mà không cần có sự tương tác của người dùng.

Giống như Will Dormann, nhà phân tích lỗ hổng của CERT/CC cho biết, những cách khai thác này sử dụng hai lỗ hổng khác nhau. Nếu không khắc phục sự cố Microsoft Office URI, các trình xử lý giao thức khác sẽ bị lạm dụng.

Hickey cũng chia sẻ rằng đây không hẳn là lỗ hổng trong trình xử lý giao thức mà là sự kết hợp dẫn tới một Lỗ hổng giả mạo đường dẫn Microsoft Office OLEObject search-ms.

Chỉ khi nào Microsoft thiết lập để không thể chạy trình xử lý URI trong Microsoft Office mà không có sự tương tác của người dùng thì vấn đề mới được giải quyết.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 41
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 43
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 41
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 67
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 36
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 74
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ