An ninh mạng tháng 6/2022: Microsoft Office ‘nóng’ nhất từ đầu năm

16/06/2015
83
672 bài viết
An ninh mạng tháng 6/2022: Microsoft Office ‘nóng’ nhất từ đầu năm
Tháng 6 có gì ‘hot’??? Tháng 6 gì cũng ‘hot’. Từ con đường ta đi, yên xe ta ngồi, cốc nước ta uống hay thậm chí cả bàn phím ta gõ... tất cả đều nóng hơn bình thường. Tháng 6 này, Microsoft cũng ‘nóng’ hơn các tháng trước, không phải vì xuân đi hạ đến, mà là vì một lỗ hổng zero-day có tên Follina trong Office. Điểm CVSS 7,8 thôi mà cũng làm Microsoft ‘nóng điên đảo’.

Anh-whitehat-vn (2).png

Follina (CVE-2022-30190) là một lỗ hổng zero-day thực thi mã từ xa ảnh hưởng đến Công cụ chẩn đoán hỗ trợ của Microsoft (MSDT). Follina có thể bị khai thác bằng cách lừa người dùng mở hoặc xem một tài liệu Word tự tạo đặc biệt để tải xuống tệp HTML độc hại thông qua tính năng template từ xa của Word. Tệp HTML cuối cùng cho phép kẻ tấn công tải và thực thi mã PowerShell trong Windows. Khai thác thành công, hacker có thể cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới trong ngữ cảnh được quyền của người dùng.

Các phiên bản bị ảnh hưởng gồm:
  • Hệ điều hành: Windows 7, Windows 8, Windows 10, Windows 11, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022
  • Microsoft Office 2013, 2016, 2019, 2021 và Professional Plus
Follina có cách khai thác khá “cầu kỳ”. Thay vì đính kèm mã độc vào tài liệu Word để từ đó chiếm quyền điều khiển thiết bị, tài liệu Word lại chỉ chứa phần tham chiếu đến mã khai thác (link file HTML có chứa mã độc). Bằng cách này, mã độc “làm khó” các phần mềm diệt virus (AV) sử dụng phương pháp phân tích file tĩnh. Và các AV chỉ có thể phát hiện khi mã độc đã được thực thi trên máy nạn nhân.

anh-whitehat-vn.png

Cách khai thác CVE-2022-30190 khiến chúng ta nhớ đến CVE-2021-40444 đã gây sóng gió cho Microsoft vào tháng 9/2021, nghiêm trọng đến mức hãng phải đưa cách giảm thiểu rủi ro tạm thời trước khi tung ra bản vá.

Kể từ khi xuất hiện, Follina đã bị tin tặc khai thác rộng rãi, thả hàng loạt các payload như AsyncRAT, QBot và các payload đánh cắp thông tin khác. Hacker do một số chính phủ hậu thuẫn đã cố sử dụng Follina để tấn công các mục tiêu thuộc chính phủ Hoa Kỳ và Liên minh Châu Âu. Bằng chứng chỉ ra Follina đã bị hacker khai thác ít nhất là từ ngày 12 tháng 4 năm 2022.

Theo chuyên gia của WhiteHat, lỗ hổng này có thể nằm trong cuộc tấn công có chủ đích (APT) và chỉ “vô tình bị rò rỉ”, nhiều khả năng sẽ trở thành xu hướng tấn công trong nửa cuối năm 2022. Người dùng cần cập nhật bản vá mới nhất từ Microsoft để xử lý triệt để lỗ hổng.

WhiteHat.vn
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2022-30190 follina microsoft office
Bên trên