Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng 0-Day trên Microsoft Word ảnh hưởng hầu hết các máy tính chạy Windows
[Update ngày 14/04/2017] Một lỗ hổng nghiêm trọng trên Microsoft Word bị phát hiện có khả năng gây ảnh hưởng tới toàn bộ phiên bản Windows, bao gồm cả Windows 10. Tuy lỗ hổng đã có bản vá nhưng việc hệ thống cần thời gian cập nhật chính là điểm yếu "chết người" dễ dàng bị hacker khai thác. Phần mềm diệt virus Bkav được trang bị công nghệ thực thi an toàn Safe Run có thể ngăn chặn những kịch bản khai thác tương tự như vậy.
Lỗ hổng cho phép hacker từ xa kiểm soát máy tính nạn nhân. Theo đánh giá của Bkav, đây là một lỗ hổng nghiêm trọng dễ bị lợi dụng để tiến hành các cuộc tấn công APT bởi kịch bản tấn công APT thường sử dụng là gửi email đính kèm file văn bản chứa mã độc.
Chia sẻ về mức độ nguy hiểm của lỗ hổng, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav cho biết: "Với tâm lý cho rằng file văn bản thì an toàn, rất nhiều người sử dụng đã mắc lừa và mở file đính kèm, sau đó máy tính đã bị nhiễm mã độc".
Bkav khuyến cáo người dùng cập nhật bản vá càng sớm càng tốt, bằng cách vào Windows Update → Check for updates để kiểm tra các bản vá mới nhất. Người dùng có thể truy cập http://www.catalog.update.microsoft.com/ để update thủ công.
Đặc biệt, để phòng ngừa nguy cơ tấn công APT, Bkav khuyến cáo nên mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động. Công nghệ cho phép người dùng có thể mở file lạ hay vào các trang web chưa rõ nguồn gốc mà không sợ bị lây nhiễm virus, kể cả virus mới xuất hiện và chưa được cập nhật mẫu nhận diện.
------------------
Một lỗ hổng 0-Day (lỗ hổng chưa có bản vá từ nhà sản xuất) trên Microsoft Word ảnh hưởng tới toàn bộ các phiên bản Windows, kể cả Windows 10. Như vậy, hầu hết người dùng Việt Nam đứng trước nguy cơ bị tấn công, bởi các máy tính Windows đều cài đặt và sử dụng Microsoft Word.
Lỗ hổng được phát hiện thực tế đã bị hacker khai thác nhằm cài đặt mã độc lên các máy tính nạn nhân dù các thiết bị này đã được cập nhật bản vá đầy đủ.
Cuộc tấn công nhắm vào Microsoft Office khởi đầu bằng việc gửi một email đính kèm tệp tin Word độc hại chứa OLE2link. Khi người dùng mở file, mã khai thác sẽ được thực thi và kết nối tới máy chủ từ xa do hacker kiểm soát. Tại đây mã khai thác tải về một file ứng dụng HTML (HTA) độc hại giả mạo file tài liệu RTF (Rich Text Format) của Microsoft.
File HTA sau đó tự động thực thi trên máy nạn nhân, tải thêm các mã độc khác về để chiếm quyền kiểm soát máy tính nạn nhân, đồng thời đóng tập tin Word lại.
Cuộc tấn công ảnh hưởng tới toàn bộ các phiên bản hệ điều hành Windows, kể cả Windows 10
Theo các chuyên gia, lỗ hổng có tính chất nghiêm trọng bởi cho phép hacker vượt qua các cơ chế an ninh của Microsoft. Trên Windows 10 hiện nay có nhiều cơ chế phòng thủ trước các mã khai thác nhất, được cho là an toàn vượt trội so với các phiên bản Windows trước. Tuy nhiên, mã khai thác này vẫn bypass được các cơ chế phòng thủ đó. Hơn nữa, cuộc tấn công không đòi hỏi người dùng phải kích hoạt Macros như nhiều cuộc tấn công khác nhắm vào Word.
File khai thác này còn nguy hiểm ở chỗ, trong quá trình khai thác diễn ra, một file Word giả mạo khác sẽ được hiển thị cho nạn nhân xem, khiến nạn nhân không nghĩ rằng mình đã bị hack. Đối với các mã khai thác thông thường khác thì khi bạn mở file lên, mã độc chạy và Word bị đóng lại. Hiện tượng Word bị đóng lại sẽ khiến bạn nghi ngờ, đặc biệt là đối với những người có kiến thức về mã độc. Nhưng đối với kỹ thuật phishing này, ngay cả những chuyên gia an ninh mạng cũng nhiều khả năng bị đánh lừa.
Các chuyên gia cho biết: "Sau khi khai thác thành công, file Word “mồi” sẽ được đóng lại và pop-up ra một file giả mạo để nạn nhân đọc. Vào lúc đó, mã độc sẽ được lén lút cài đặt vào hệ thống của nạn nhân".
"Nguyên nhân gốc rễ của lỗ hổng zero-day liên quan đến Windows Object Linking and Embedding (OLE), một tính năng quan trọng của Office", các chuyên gia cho biết thêm.
Microsoft đã biết đến lỗ hổng sau khi được các chuyên gia thông báo về các cuộc tấn công khai thác lỗ hổng chưa được vá từ tháng 1 năm nay.
Bản cập nhật tiếp theo của Microsoft dự kiến được đưa ra vào thứ 3 tới, nên có vẻ hãng sẽ không đưa ra bản vá trước ngày này.
Tự bảo vệ trước cuộc tấn công
Bởi cuộc tấn công ảnh hưởng tới toàn bộ các hệ thống dù được cập nhật đầy đủ bản vá, người dùng được khuyến cáo:
Lỗ hổng cho phép hacker từ xa kiểm soát máy tính nạn nhân. Theo đánh giá của Bkav, đây là một lỗ hổng nghiêm trọng dễ bị lợi dụng để tiến hành các cuộc tấn công APT bởi kịch bản tấn công APT thường sử dụng là gửi email đính kèm file văn bản chứa mã độc.
Chia sẻ về mức độ nguy hiểm của lỗ hổng, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav cho biết: "Với tâm lý cho rằng file văn bản thì an toàn, rất nhiều người sử dụng đã mắc lừa và mở file đính kèm, sau đó máy tính đã bị nhiễm mã độc".
Bkav khuyến cáo người dùng cập nhật bản vá càng sớm càng tốt, bằng cách vào Windows Update → Check for updates để kiểm tra các bản vá mới nhất. Người dùng có thể truy cập http://www.catalog.update.microsoft.com/ để update thủ công.
Đặc biệt, để phòng ngừa nguy cơ tấn công APT, Bkav khuyến cáo nên mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động. Công nghệ cho phép người dùng có thể mở file lạ hay vào các trang web chưa rõ nguồn gốc mà không sợ bị lây nhiễm virus, kể cả virus mới xuất hiện và chưa được cập nhật mẫu nhận diện.
Theo Bkav
------------------
Một lỗ hổng 0-Day (lỗ hổng chưa có bản vá từ nhà sản xuất) trên Microsoft Word ảnh hưởng tới toàn bộ các phiên bản Windows, kể cả Windows 10. Như vậy, hầu hết người dùng Việt Nam đứng trước nguy cơ bị tấn công, bởi các máy tính Windows đều cài đặt và sử dụng Microsoft Word.
Lỗ hổng được phát hiện thực tế đã bị hacker khai thác nhằm cài đặt mã độc lên các máy tính nạn nhân dù các thiết bị này đã được cập nhật bản vá đầy đủ.
Cuộc tấn công nhắm vào Microsoft Office khởi đầu bằng việc gửi một email đính kèm tệp tin Word độc hại chứa OLE2link. Khi người dùng mở file, mã khai thác sẽ được thực thi và kết nối tới máy chủ từ xa do hacker kiểm soát. Tại đây mã khai thác tải về một file ứng dụng HTML (HTA) độc hại giả mạo file tài liệu RTF (Rich Text Format) của Microsoft.
File HTA sau đó tự động thực thi trên máy nạn nhân, tải thêm các mã độc khác về để chiếm quyền kiểm soát máy tính nạn nhân, đồng thời đóng tập tin Word lại.
Cuộc tấn công ảnh hưởng tới toàn bộ các phiên bản hệ điều hành Windows, kể cả Windows 10
Theo các chuyên gia, lỗ hổng có tính chất nghiêm trọng bởi cho phép hacker vượt qua các cơ chế an ninh của Microsoft. Trên Windows 10 hiện nay có nhiều cơ chế phòng thủ trước các mã khai thác nhất, được cho là an toàn vượt trội so với các phiên bản Windows trước. Tuy nhiên, mã khai thác này vẫn bypass được các cơ chế phòng thủ đó. Hơn nữa, cuộc tấn công không đòi hỏi người dùng phải kích hoạt Macros như nhiều cuộc tấn công khác nhắm vào Word.
File khai thác này còn nguy hiểm ở chỗ, trong quá trình khai thác diễn ra, một file Word giả mạo khác sẽ được hiển thị cho nạn nhân xem, khiến nạn nhân không nghĩ rằng mình đã bị hack. Đối với các mã khai thác thông thường khác thì khi bạn mở file lên, mã độc chạy và Word bị đóng lại. Hiện tượng Word bị đóng lại sẽ khiến bạn nghi ngờ, đặc biệt là đối với những người có kiến thức về mã độc. Nhưng đối với kỹ thuật phishing này, ngay cả những chuyên gia an ninh mạng cũng nhiều khả năng bị đánh lừa.
Các chuyên gia cho biết: "Sau khi khai thác thành công, file Word “mồi” sẽ được đóng lại và pop-up ra một file giả mạo để nạn nhân đọc. Vào lúc đó, mã độc sẽ được lén lút cài đặt vào hệ thống của nạn nhân".
"Nguyên nhân gốc rễ của lỗ hổng zero-day liên quan đến Windows Object Linking and Embedding (OLE), một tính năng quan trọng của Office", các chuyên gia cho biết thêm.
Microsoft đã biết đến lỗ hổng sau khi được các chuyên gia thông báo về các cuộc tấn công khai thác lỗ hổng chưa được vá từ tháng 1 năm nay.
Bản cập nhật tiếp theo của Microsoft dự kiến được đưa ra vào thứ 3 tới, nên có vẻ hãng sẽ không đưa ra bản vá trước ngày này.
Tự bảo vệ trước cuộc tấn công
Bởi cuộc tấn công ảnh hưởng tới toàn bộ các hệ thống dù được cập nhật đầy đủ bản vá, người dùng được khuyến cáo:
- Không mở hoặc tải bất kỳ file Word đáng ngờ được gửi đến trong e-mail, ngay cả khi bạn biết người gửi cho đến khi Microsoft phát hành bản vá.
- Bởi cuộc tấn công không thể diễn ra khi file độc hại được xem trong tính năng Office Protected View, người dùng nên kích hoạt tính năng này để xem các tài liệu Office.
- Cập nhật hệ thống và phần mềm diệt virus thường xuyên.
- Thường xuyên sao lưu các tập tin của mình sang ổ cứng gắn ngoài.
- Mặc dù việc vô hiệu hoá Macros không giúp bảo vệ trong trường hợp này nhưng người dùng nên kích hoạt tính năng để tự bảo vệ mình trước các cuộc tấn công khác.
- Cẩn trọng trước các email lừa đảo, spam và không click vào file đính kèm độc hại.
WhiteHat, The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: