-
09/04/2020
-
141
-
1.980 bài viết
Microsoft vá loạt lỗ hổng Outlook và Word có thể dẫn tới thực thi mã độc
Microsoft vừa phát hành bản vá cho nhiều lỗ hổng ảnh hưởng đến Outlook và Word, trong đó có các lỗi cho phép tin tặc thực thi mã độc từ xa thông qua email hoặc tài liệu Office được tạo đặc biệt. Đáng chú ý, một số lỗ hổng có thể bị kích hoạt ngay cả khi người dùng chỉ xem email trong khung Preview Pane của Outlook mà không cần mở file đính kèm.
Theo các thông tin được công bố, ba lỗ hổng nổi bật gồm CVE-2026-45456, CVE-2026-45458 và CVE-2026-47635 đều được đánh giá ở mức nghiêm trọng với điểm CVSS khoảng 8,4. Các lỗi này liên quan đến cơ chế xử lý nội dung của Microsoft Word và cách Outlook Classic sử dụng Word Rendering Engine để hiển thị email.
Điều khiến giới chuyên gia lo ngại là Outlook sử dụng thành phần của Word để render nội dung email. Điều đó đồng nghĩa với việc chỉ cần một email chứa nội dung độc hại được gửi tới hộp thư nạn nhân, quá trình hiển thị email cũng có thể kích hoạt lỗi bộ nhớ và cho phép thực thi mã độc trên máy tính người dùng. Trong một số trường hợp, người dùng không cần tải file hay bấm mở tài liệu.
Lỗ hổng hoạt động như thế nào?
Các lỗi lần này được cho là liên quan tới các vấn đề “memory corruption” như use-after-free, type confusion hoặc heap overflow trong Word Rendering Engine. Đây là nhóm lỗi cực kỳ nguy hiểm vì có thể khiến ứng dụng xử lý dữ liệu sai cách, tạo điều kiện để mã độc chiếm quyền điều khiển tiến trình đang chạy.
Kẻ tấn công có thể gửi email hoặc tài liệu Office được thiết kế đặc biệt tới mục tiêu. Khi Outlook tải trước nội dung email để hiển thị ở khung Preview Pane, thành phần Word bên dưới sẽ xử lý dữ liệu độc hại và có thể vô tình kích hoạt đoạn mã của hacker.
Một số nhà nghiên cứu cho biết cơ chế này khiến chuỗi tấn công trở nên nguy hiểm hơn rất nhiều so với các lỗ hổng Office truyền thống, bởi người dùng gần như không có hành động tương tác rõ ràng nào để cảnh giác.
Kẻ tấn công có thể gửi email hoặc tài liệu Office được thiết kế đặc biệt tới mục tiêu. Khi Outlook tải trước nội dung email để hiển thị ở khung Preview Pane, thành phần Word bên dưới sẽ xử lý dữ liệu độc hại và có thể vô tình kích hoạt đoạn mã của hacker.
Một số nhà nghiên cứu cho biết cơ chế này khiến chuỗi tấn công trở nên nguy hiểm hơn rất nhiều so với các lỗ hổng Office truyền thống, bởi người dùng gần như không có hành động tương tác rõ ràng nào để cảnh giác.
Mức độ ảnh hưởng ra sao?
Outlook và Word là hai ứng dụng văn phòng phổ biến nhất hiện nay, đặc biệt trong môi trường doanh nghiệp, cơ quan nhà nước, ngân hàng và tổ chức tài chính. Điều này khiến các lỗ hổng liên quan đến email luôn được xem là mục tiêu hấp dẫn với các nhóm tấn công mạng.
Nếu khai thác thành công, hacker có thể:
Nếu khai thác thành công, hacker có thể:
- Thực thi mã độc từ xa trên máy nạn nhân
- Cài backdoor hoặc ransomware
- Đánh cắp tài khoản, dữ liệu nội bộ
- Chiếm quyền truy cập hệ thống doanh nghiệp
- Phát tán mã độc sang các máy khác trong mạng nội bộ
Đặc biệt, các cuộc tấn công qua email thường khó phát hiện hơn vì chúng lợi dụng đúng quy trình làm việc hàng ngày của nhân viên.
Hiện đã bị khai thác ngoài thực tế chưa?
Theo Microsoft, hiện chưa ghi nhận bằng chứng cho thấy các lỗ hổng này đang bị khai thác rộng rãi ngoài thực tế. Tuy nhiên, hãng đánh giá một số lỗi có khả năng bị khai thác cao (“Exploitation More Likely”), đồng nghĩa nguy cơ xuất hiện mã khai thác công khai trong thời gian tới là rất lớn.
Giới chuyên gia cảnh báo rằng các chiến dịch phishing hiện nay vốn đã tối ưu cho việc phát tán file Office độc hại. Khi xuất hiện lỗ hổng liên quan trực tiếp tới Preview Pane, khoảng cách từ “nhận email” đến “bị nhiễm mã độc” có thể bị rút ngắn đáng kể.
Người dùng và doanh nghiệp cần làm gì?
Microsoft đã phát hành bản vá cho các phiên bản Office và Outlook bị ảnh hưởng. Các chuyên gia an ninh mạng khuyến nghị người dùng cập nhật bản vá càng sớm càng tốt, đặc biệt trong môi trường doanh nghiệp.
Ngoài việc cập nhật hệ thống, doanh nghiệp nên:
Giới chuyên gia cảnh báo rằng các chiến dịch phishing hiện nay vốn đã tối ưu cho việc phát tán file Office độc hại. Khi xuất hiện lỗ hổng liên quan trực tiếp tới Preview Pane, khoảng cách từ “nhận email” đến “bị nhiễm mã độc” có thể bị rút ngắn đáng kể.
Người dùng và doanh nghiệp cần làm gì?
Microsoft đã phát hành bản vá cho các phiên bản Office và Outlook bị ảnh hưởng. Các chuyên gia an ninh mạng khuyến nghị người dùng cập nhật bản vá càng sớm càng tốt, đặc biệt trong môi trường doanh nghiệp.
Ngoài việc cập nhật hệ thống, doanh nghiệp nên:
- Hạn chế hoặc tắt Preview Pane nếu có thể
- Bật Protected View cho tài liệu tải từ internet
- Sử dụng Attack Surface Reduction (ASR) để chặn Office sinh tiến trình lạ
- Giám sát các hành vi bất thường từ Word và Outlook
- Tăng cường sandbox email và lọc file đính kèm
- Đào tạo nhân viên nhận diện email lừa đảo
Trong thời gian gần đây, email tiếp tục là một trong những con đường tấn công phổ biến nhất của tin tặc. Vì vậy, các lỗ hổng liên quan đến Outlook và Word luôn được xem là ưu tiên vá lỗi hàng đầu trong môi trường doanh nghiệp