Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một lỗ hổng zero-day trong Microsoft Office có thể bị lạm dụng để thực thi mã tùy ý trên các hệ thống windows bị ảnh hưởng.
Lỗ hổng bảo mật được đưa ra ánh sáng sau khi một nhóm nghiên cứu an ninh mạng độc lập có tên nao_sec phát hiện ra một tài liệu Word (“05-2022-0438.doc”) được tải lên VirusTotal từ một địa chỉ IP ở Belarus.
“Nó sử dụng liên kết bên ngoài của Word để tải HTML và sau đó sử dụng lược đồ ‘ms-msdt' để thực thi mã PowerShell”, các nhà nghiên cứu lưu ý trong một loạt các tweet vào tuần trước.
Theo nhà nghiên cứu bảo mật Kevin Beaumont, người đặt tên cho lỗ hổng “Follina”, maldoc sử dụng tính năng mẫu từ xa của Word để tìm nạp tệp HTML từ máy chủ, sau đó sử dụng lược đồ URI “ms-msdt: //” để chạy tải trọng độc hại.
MSDT là viết tắt của Microsoft Support Diagnostics Tool, một tiện ích được sử dụng để khắc phục sự cố và thu thập dữ liệu chẩn đoán để các chuyên gia hỗ trợ phân tích nhằm giải quyết sự cố.
Beaumont giải thích: “Có rất nhiều điều đang xảy ra ở đây, nhưng vấn đề đầu tiên là Microsoft Word đang thực thi mã thông qua msdt (một công cụ hỗ trợ) ngay cả khi macro bị vô hiệu hóa.
Nhà nghiên cứu nói thêm: “Chế độ xem được bảo vệ có tác dụng, mặc dù nếu bạn thay đổi tài liệu thành dạng RTF, nó sẽ chạy mà thậm chí không cần mở tài liệu (thông qua tab xem trước trong Explorer), chứ đừng nói đến Chế độ xem được bảo vệ”.
Nhiều phiên bản Microsoft Office, bao gồm Office, Office 2016 và Office 2021, được cho là sẽ bị ảnh hưởng, mặc dù các phiên bản khác cũng sẽ dễ bị tấn công.
Hơn nữa, Richard Warren của NCC Group đã quản lý để chứng minh khả năng khai thác trên Office Professional Pro với tháng 4 năm 2022 chạy trên máy Windows 11 cập nhật với ngăn xem trước được bật.
Beaumont nói: “Microsoft sẽ cần phải vá nó trên tất cả các dịch vụ sản phẩm khác nhau và các nhà cung cấp bảo mật sẽ cần phát hiện và chặn mạnh mẽ. Chúng tôi đã liên hệ với Microsoft để nhận xét và chúng tôi sẽ cập nhật câu chuyện sau khi nhận được phản hồi.
.
