-
09/04/2020
-
93
-
604 bài viết
An ninh mạng tháng 3/2023: Microsoft Office - Khi yếu điểm trở thành điểm yếu
Khi bạn là người nổi tiếng, bạn sẽ là tâm điểm của công chúng.
Khi bạn sở hữu một phần mềm phổ biến, bạn sẽ khiến nó là “tâm điểm” của tin tặc.
Điều này đúng với một trong những bộ phần mềm quan trọng nhất và phổ biến nhất hiện nay của nhà Microsoft - Microsoft Office.
Và tâm điểm của tháng 3, chính là Microsoft Office cùng với 2 lỗ hổng mới nhất trong Word và Outlook với số điểm CVSS cực cao 9,8.
Microsoft Office - bộ công cụ văn phòng gồm Word, Excel, PowerPoint, Outlook ... được ưa dùng trên khắp thế giới, phủ sóng 150 quốc gia với 1.2 tỷ người dùng. Đây có thể là lý do đầu tiên khiến sản phẩm này được tin tặc đặc biệt yêu thích. Bởi dễ hiểu, càng có nhiều mục tiêu sẽ càng khiến khả năng thành công của tin tặc cao hơn. Vậy là phổ biến quá nhiều khi lại thành một điểm yếu.
Bên cạnh đó, Microsoft Office được nhiều đối tượng sử dụng từ các cơ quan nhà nước, chính phủ, các công ty tư nhân cung cấp dịch vụ cho chính phủ, đến giới văn phòng hay học sinh, sinh viên.
Với các cơ quan trọng yếu, nếu khai thác thành công kẻ tấn công có thể tiến hành được các chiến dịch APT gây ra những hậu quả nặng nề như đánh cắp dữ liệu, thu thập thông tin tình báo, ảnh hưởng uy tín của đơn vị.
Còn đối với các doanh nghiệp có đối tượng là dân văn phòng hay trường học là sinh viên, học sinh thường không mấy để tâm đến việc cập nhật bản vá cũng như dễ “sập bẫy” hơn trước những chiêu trò của tin tặc. Đó là điểm yếu thứ 2.
Tất cả những điều kiện cần (mục tiêu) đã có, vậy điều kiện đủ để tấn công là gì? Đó là tìm cách khai thác các “điểm yếu” trong Microsoft Office với các kỹ thuật ngày càng tinh vi hơn.
Theo thống kê, có đến 80% tất cả các cuộc tấn công bằng phần mềm độc hại đều lạm dụng lỗ hổng Microsoft Office. Hãy nhìn lại những lỗ hổng trong bộ Office những năm gần đây:
Tháng 09/2021, tin tặc lợi dụng lỗ hổng trong MSHTML (CVE-2021-40444) để gây ảnh hưởng cả hệ điều hành Windows hay đến tháng 05/2022 chúng khai thác CVE-2022-30190 sử dụng MS-MSDT để thực thi mã PowerShell.
Đến tháng 3/2023, tiếp tục xuất hiện một lỗ hổng khác CVE-2023-21716 trong tệp tin Word có chứa định dạng. RTF (Rich Text Format) độc hại cho phép tin tặc thực thi mã tùy ý từ xa.
Cả 3 lỗ hổng đều sử dụng qua hình thức phishing để lừa người dùng tải file về và chỉ cần xem ở chế độ Preview là đã có thể biến người dùng trở thành nạn nhân.
Mới nhất, CVE-2023-23397 - lỗ hổng leo thang đặc quyền trong Microsoft Outlook cho phép gửi email thông báo đến người dùng, từ đó đánh cắp mã băm xác thực (NTLM) của người dùng từ xa. Không cần phishing, cũng không cần người dùng tải file, tin tặc chỉ cần biết tài khoản mail Outlook của nạn nhân. Đây là cách thức khai thác mới, vô cùng tinh vi, dễ dàng qua mắt người dùng, thậm chí đến nạn nhân cũng hoàn toàn không biết rằng mình đang bị tấn công. Qua đó thấy được cách thức tấn công của tin tặc đang được cải tiến, tối giản từng ngày nhưng mức độ nguy hiểm thì tăng gấp bội.
Ngoài ra, với việc Microsoft đưa ra các bản vá lỗi, thì chỉ trong vài ngày, kẻ xấu có thể dịch ngược mã để thử nghiệm khai thác các lỗ hổng, điển hình chính là CVE-2023-23397, kể từ lúc hãng tung bản vá đến lúc kẻ xấu đưa ra mã khai thác chỉ mất vỏn vẹn 48h, khiến người dùng đứng trước nguy cơ tấn công trên diện rộng.
Theo các chuyên gia WhiteHat, những năm gần đây với việc các kỹ thuật tấn công của tin tặc ngày càng tinh vi và kín kẽ hơn đã làm “khó” cho những công ty công nghệ khi phải bắt kịp chúng. Vì vậy, việc đào tạo nhận thức an ninh mạng trong các cơ quan, tổ chức, doanh nghiệp là chưa đủ, mà các đơn vị này cần phải chủ động trang bị các giải pháp giám sát toàn diện để phát hiện kịp thời các mối đe dọa và bảo vệ hệ thống của mình một cách tốt nhất trước các cuộc tấn công.
Khi bạn biết mình luôn là “đích ngắm” của tin tặc, hãy cố gắng “bảo trọng” và hạn chế những điểm yếu của mình nhất có thể.
Khi bạn sở hữu một phần mềm phổ biến, bạn sẽ khiến nó là “tâm điểm” của tin tặc.
Điều này đúng với một trong những bộ phần mềm quan trọng nhất và phổ biến nhất hiện nay của nhà Microsoft - Microsoft Office.
Và tâm điểm của tháng 3, chính là Microsoft Office cùng với 2 lỗ hổng mới nhất trong Word và Outlook với số điểm CVSS cực cao 9,8.
Microsoft Office - bộ công cụ văn phòng gồm Word, Excel, PowerPoint, Outlook ... được ưa dùng trên khắp thế giới, phủ sóng 150 quốc gia với 1.2 tỷ người dùng. Đây có thể là lý do đầu tiên khiến sản phẩm này được tin tặc đặc biệt yêu thích. Bởi dễ hiểu, càng có nhiều mục tiêu sẽ càng khiến khả năng thành công của tin tặc cao hơn. Vậy là phổ biến quá nhiều khi lại thành một điểm yếu.
Bên cạnh đó, Microsoft Office được nhiều đối tượng sử dụng từ các cơ quan nhà nước, chính phủ, các công ty tư nhân cung cấp dịch vụ cho chính phủ, đến giới văn phòng hay học sinh, sinh viên.
Với các cơ quan trọng yếu, nếu khai thác thành công kẻ tấn công có thể tiến hành được các chiến dịch APT gây ra những hậu quả nặng nề như đánh cắp dữ liệu, thu thập thông tin tình báo, ảnh hưởng uy tín của đơn vị.
Còn đối với các doanh nghiệp có đối tượng là dân văn phòng hay trường học là sinh viên, học sinh thường không mấy để tâm đến việc cập nhật bản vá cũng như dễ “sập bẫy” hơn trước những chiêu trò của tin tặc. Đó là điểm yếu thứ 2.
Tất cả những điều kiện cần (mục tiêu) đã có, vậy điều kiện đủ để tấn công là gì? Đó là tìm cách khai thác các “điểm yếu” trong Microsoft Office với các kỹ thuật ngày càng tinh vi hơn.
Theo thống kê, có đến 80% tất cả các cuộc tấn công bằng phần mềm độc hại đều lạm dụng lỗ hổng Microsoft Office. Hãy nhìn lại những lỗ hổng trong bộ Office những năm gần đây:
Tháng 09/2021, tin tặc lợi dụng lỗ hổng trong MSHTML (CVE-2021-40444) để gây ảnh hưởng cả hệ điều hành Windows hay đến tháng 05/2022 chúng khai thác CVE-2022-30190 sử dụng MS-MSDT để thực thi mã PowerShell.
Đến tháng 3/2023, tiếp tục xuất hiện một lỗ hổng khác CVE-2023-21716 trong tệp tin Word có chứa định dạng. RTF (Rich Text Format) độc hại cho phép tin tặc thực thi mã tùy ý từ xa.
Cả 3 lỗ hổng đều sử dụng qua hình thức phishing để lừa người dùng tải file về và chỉ cần xem ở chế độ Preview là đã có thể biến người dùng trở thành nạn nhân.
Mới nhất, CVE-2023-23397 - lỗ hổng leo thang đặc quyền trong Microsoft Outlook cho phép gửi email thông báo đến người dùng, từ đó đánh cắp mã băm xác thực (NTLM) của người dùng từ xa. Không cần phishing, cũng không cần người dùng tải file, tin tặc chỉ cần biết tài khoản mail Outlook của nạn nhân. Đây là cách thức khai thác mới, vô cùng tinh vi, dễ dàng qua mắt người dùng, thậm chí đến nạn nhân cũng hoàn toàn không biết rằng mình đang bị tấn công. Qua đó thấy được cách thức tấn công của tin tặc đang được cải tiến, tối giản từng ngày nhưng mức độ nguy hiểm thì tăng gấp bội.
Ngoài ra, với việc Microsoft đưa ra các bản vá lỗi, thì chỉ trong vài ngày, kẻ xấu có thể dịch ngược mã để thử nghiệm khai thác các lỗ hổng, điển hình chính là CVE-2023-23397, kể từ lúc hãng tung bản vá đến lúc kẻ xấu đưa ra mã khai thác chỉ mất vỏn vẹn 48h, khiến người dùng đứng trước nguy cơ tấn công trên diện rộng.
Theo các chuyên gia WhiteHat, những năm gần đây với việc các kỹ thuật tấn công của tin tặc ngày càng tinh vi và kín kẽ hơn đã làm “khó” cho những công ty công nghệ khi phải bắt kịp chúng. Vì vậy, việc đào tạo nhận thức an ninh mạng trong các cơ quan, tổ chức, doanh nghiệp là chưa đủ, mà các đơn vị này cần phải chủ động trang bị các giải pháp giám sát toàn diện để phát hiện kịp thời các mối đe dọa và bảo vệ hệ thống của mình một cách tốt nhất trước các cuộc tấn công.
Khi bạn biết mình luôn là “đích ngắm” của tin tặc, hãy cố gắng “bảo trọng” và hạn chế những điểm yếu của mình nhất có thể.
WhiteHat