Hacker sử dụng tệp .slk để tấn công người dùng Microsoft 365

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 29/06/20, 06:06 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,738
    Đã được thích: 398
    Điểm thành tích:
    83
    Các nhà nghiên cứu bảo mật từ công ty Avanan Security gần đây đã phát hiện ra một kỹ thuật mới nhằm vượt qua cơ chế bảo vệ của Microsoft 365 với việc sử dụng một tệp có phần mở rộng .slk (Symbolic Link).

    Bằng việc gửi một email đính kèm với một file .slk được nhúng trong macro, tin tặc có thể triển khai và cài đặt phần mềm độc hại lên máy tính người dùng. Hiện tại, chỉ người dùng Microsoft 365 bị ảnh hưởng. Theo ước tính, số người dùng Microsoft 365 khoảng hơn 200 triệu.

    Symbolic Link, Liên kết tượng trưng (Symbolic link), vẫn được biết đến với cái tên symlinks, về cơ bản là biện pháp tạo shortcut nâng cao. Người dùng có thể tạo các liên kết tượng trưng cho các file hoặc thư mục riêng lẻ, sau đó các liên kết này sẽ xuất hiện như thể chúng được lưu trong cùng thư mục với liên kết tượng trưng mặc dù liên kết tượng trưng lại trỏ đến vị trí thực của chúng. Do phần mở rộng của các tệp Excel là XLSX, cơ chế bảo mật của Microsoft 365 bị nhầm lẫn giữa phần mở rộng của liên kết tượng trưng và phần mở rộng của tệp Execel, nên tồn tại lỗ hổng này.

    Microsoft 365.jpg

    Phát hiện mới nhất từ các nhà nghiên cứu của Avannan Security tiết lộ rằng các tệp .slk này khi được cài đặt sẽ chạy một lệnh trên máy tính Windows. Nó gọi thành phần Windows Installer để cài đặt bất gói phần mềm có phần mở rộng MSI nào. Tin tặc sử dụng các tệp .slk độc hại để bí mật cài đặt ứng dụng điều khiển từ xa NetSupport lên máy tính nạn nhân cho phép kẻ tấn công kiểm soát hoàn toàn máy tính.

    Các nhà nghiên cứu tìm thấy một loại các email được tạo thủ công và nhắm vào mục tiêu nhất định đều bắt nguồn từ địa chỉ email randomwords1982@hotmail.com. Các emai này được cá nhân hóa để phù hợp với từng người nhận nhằm tăng sự tin tưởng và khả năng nhấp và tải về tệp đính kèm sẽ cao hơn.

    Nếu bạn đang sử dụng Microsoft 365, hãy cấu hình Office 365 để không nhận các tệp có phần mở rộng .slk, và chờ cho tới khi Microsoft phát hành bản cập nhật.
    Theo: ehackingnews, quantrimang​
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan