MS Office có thể bị lợi dụng để chế phần mềm độc hại tự sao chép

www.tuoitre.vn -   28/11/2017 01:00:00 4337

Các chuyên gia bảo mật đã tìm ra một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến tất cả phiên bản Microsoft Office cho phép các hacker tạo và lây lan phần mềm độc hại tự sao chép dựa trên macro.

MS Office có thể bị lợi dụng để chế phần mềm độc hại tự sao chép

Theo thông tin từ trang web Thehackernews, thì đây là một dạng phần mềm cho phép macro tạo ra nhiều macro khác. Đây vốn không phải là mục tiêu mới của hacker và bản thân Microsoft đã ngăn ngừa mối đe dọa này bằng cơ chế bảo mật mặc định giới hạn chức năng này.

Nhưng trong báo cáo mới đây từ nhà nghiên cứu Lino Antonio Buono của hãng InTheCyber thì một kỹ thuật cơ bản đã có thể vượt mặt sự kiểm soát an ninh do Microsoft thực hiện và tạo ra phần mềm độc hại tự sao chép đằng sau những tài liệu MS Word, điều đáng nói là chỉ cần chút hiểu biết về cách tạo macro, bất kỳ ai cũng có thể làm được điều này. Và điều tồi tệ hơn là Microsoft từ chối xem xét vấn đề này là một lỗ hổng bảo mật.

Thêm một điều đáng chú ý là một công cụ ransomware tự nhân bản dựa trên macro mới được gọi là qkG sử dụng chính cách mà Buono mô tả đã được hãng Trend Micro phát hiện ra. Mẫu mã độc tống tiền này được phát hiện trên VirusTotal do một người dùng tại Việt Nam tải lên. Theo hãng bảo mật thì đây có vẻ như là một dự án thực nghiệm hoặc là bằng chứng của một khái niệm nghiên cứu nào đó chứ không phải là một phần mềm độc hại được lan truyền trên thế giới thực.

Ransomware qkG sử dụng macro Auto Close VBA, một kỹ thuật cho phép chạy macro độc hại khi nạn nhân đóng tài liệu. Mẫu qkG mới nhất hiện nay bao gồm địa chỉ bitcoin với một khoản tiền chuộc nhỏ yêu cầu khoản bồi thưởng bitcoin trị giá 300 USD. Một lưu ý là, địa chỉ bitcoin này chưa nhận được bất kỳ khoản thanh toán nào, điều này cho thấy có vẻ nó chưa được sử dụng để nhắm mục tiêu vào người dùng.

Để hiểu về vấn đề, Buono đã chia sẻ cách mà MS Word bị tấn công bởi mã VBA độc hại, sau đó cung cấp phần mềm độc hại tự động sao chép nhiều giai đoạn.

Được biết, hãng Microsoft đã vô hiệu hóa macro ngoài hoặc không đáng tin cậy theo mặc định để hạn chế những truy cập chương trình mặc định của Office VBA, nhưng người dùng có thể tự kích hoạt Trust access to VBA project object model, MS Office chấp nhận tất cả các macro và tự chạy bất kỳ mã nào mà không cần cảnh báo bảo mật hoặc yêu cầu sự cho phép của người dùng.

MS Office có thể bị lợi dụng để chế phần mềm độc hại tự sao chép

Chuyên gia bảo mật nhận định rằng cài đặt này có thể được kích hoạt hoặc vô hiệu hóa bằng cách chỉnh sửa registry của Windows và cuối cùng cho phép macro viết nhiều macro mà chẳng cần sự đồng ý của người dùng nữa.

Do đó một khi người dùng đã lỡ cho phép tập tin .doc độc hại khởi chạy macro một lần, hệ thống sẽ tự động tạo cơ hội cho các cuộc tấn công dựa trên macro. Điều đáng nói là bản thân nạn nhân chẳng hề hay biết điều này và lan truyền cùng một mã độc hại cho người khác bằng cách chia sẻ bất kỳ tập tin Office bị nhiễm từ hệ thống của mình.

MS Office có thể bị lợi dụng để chế phần mềm độc hại tự sao chép

Các chuyên gia bảo mật đã tìm ra một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến tất cả phiên bản Microsoft Office cho phép các hacker tạo và lây lan phần mềm độc hại tự sao chép dựa trên macro.

Theo thông tin từ trang web Thehackernews, thì đây là một dạng phần mềm cho phép macro tạo ra nhiều macro khác. Đây vốn không phải là mục tiêu mới của hacker và bản thân Microsoft đã ngăn ngừa mối đe dọa này bằng cơ chế bảo mật mặc định giới hạn chức năng này.

Nhưng trong báo cáo mới đây từ nhà nghiên cứu Lino Antonio Buono của hãng InTheCyber thì một kỹ thuật cơ bản đã có thể vượt mặt sự kiểm soát an ninh do Microsoft thực hiện và tạo ra phần mềm độc hại tự sao chép đằng sau những tài liệu MS Word, điều đáng nói là chỉ cần chút hiểu biết về cách tạo macro, bất kỳ ai cũng có thể làm được điều này. Và điều tồi tệ hơn là Microsoft từ chối xem xét vấn đề này là một lỗ hổng bảo mật.

Thêm một điều đáng chú ý là một công cụ ransomware tự nhân bản dựa trên macro mới được gọi là qkG sử dụng chính cách mà Buono mô tả đã được hãng Trend Micro phát hiện ra. Mẫu mã độc tống tiền này được phát hiện trên VirusTotal do một người dùng tại Việt Nam tải lên. Theo hãng bảo mật thì đây có vẻ như là một dự án thực nghiệm hoặc là bằng chứng của một khái niệm nghiên cứu nào đó chứ không phải là một phần mềm độc hại được lan truyền trên thế giới thực.

Ransomware qkG sử dụng macro Auto Close VBA, một kỹ thuật cho phép chạy macro độc hại khi nạn nhân đóng tài liệu. Mẫu qkG mới nhất hiện nay bao gồm địa chỉ bitcoin với một khoản tiền chuộc nhỏ yêu cầu khoản bồi thưởng bitcoin trị giá 300 USD. Một lưu ý là, địa chỉ bitcoin này chưa nhận được bất kỳ khoản thanh toán nào, điều này cho thấy có vẻ nó chưa được sử dụng để nhắm mục tiêu vào người dùng.

Để hiểu về vấn đề, Buono đã chia sẻ cách mà MS Word bị tấn công bởi mã VBA độc hại, sau đó cung cấp phần mềm độc hại tự động sao chép nhiều giai đoạn.

Được biết, hãng Microsoft đã vô hiệu hóa macro ngoài hoặc không đáng tin cậy theo mặc định để hạn chế những truy cập chương trình mặc định của Office VBA, nhưng người dùng có thể tự kích hoạt Trust access to VBA project object model, MS Office chấp nhận tất cả các macro và tự chạy bất kỳ mã nào mà không cần cảnh báo bảo mật hoặc yêu cầu sự cho phép của người dùng.

Chuyên gia bảo mật nhận định rằng cài đặt này có thể được kích hoạt hoặc vô hiệu hóa bằng cách chỉnh sửa registry của Windows và cuối cùng cho phép macro viết nhiều macro mà chẳng cần sự đồng ý của người dùng nữa.

Do đó một khi người dùng đã lỡ cho phép tập tin .doc độc hại khởi chạy macro một lần, hệ thống sẽ tự động tạo cơ hội cho các cuộc tấn công dựa trên macro. Điều đáng nói là bản thân nạn nhân chẳng hề hay biết điều này và lan truyền cùng một mã độc hại cho người khác bằng cách chia sẻ bất kỳ tập tin Office bị nhiễm từ hệ thống của mình.

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 43
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 47
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 42
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...

Kaspersky phát hiện biến thể Lite mới củ...

29/10/2024 08:00:00 38
Tại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kas...

Trình duyệt Opera sửa lỗ hổng bảo mật lớ...

28/10/2024 08:00:00 32
Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc...

Apple mở mã nguồn PCC cho các nhà nghiên...

24/10/2024 12:00:00 31
Apple đã công khai cung cấp Môi trường nghiên cứu ảo (VRE) Private Cloud Compute (PCC), cho phép cộn...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ