Lỗ hổng Zero-Day trên Microsoft Word ảnh hưởng phiên bản Windows

15:30 | 17/04/2017

Một lỗ hổng Zero-Day trên Microsoft Word ảnh hưởng tới toàn bộ các phiên bản Windows. Người dùng Việt Nam đứng trước nguy cơ bị tấn công, bởi các máy tính Windows đều cài đặt và sử dụng Microsoft Word.



Cuộc tấn công nhằm vào Microsoft Office bắt đầu bằng việc gửi một email đính kèm tệp tin Word độc hại chứa OLE2link. Khi người dùng mở tệp tin, mã khai thác sẽ được thực thi và kết nối tới máy chủ từ xa do tin tặc kiểm soát. Tại đây mã khai thác tải về một tệp tin ứng dụng HTML (HTA) độc hại giả mạo tệp tin tài liệu RTF (Rich Text Format) của Microsoft.

Tệp tin HTA sau đó tự động thực thi trên máy nạn nhân, tải thêm các mã độc khác về để chiếm quyền kiểm soát máy tính nạn nhân, đồng thời đóng tập tin Word lại.​ 

Tấn công mã độc ảnh hưởng tới toàn bộ các phiên bản hệ điều hành Windows

Theo các chuyên gia Microsoft, lỗ hổng có tính chất nghiêm trọng, bởi nó cho phép tin tặc vượt qua các cơ chế an toàn của Microsoft. Trên Windows 10 hiện nay có nhiều cơ chế phòng thủ nhất trước các mã khai thác, được cho là an toàn vượt trội so với các phiên bản Windows trước. Tuy nhiên, mã khai thác này vẫn vượt qua được các cơ chế phòng thủ đó. Hơn nữa, cuộc tấn công không đòi hỏi người dùng phải kích hoạt Macros như nhiều cuộc tấn công khác nhằm vào Word.

Tệp tin khai thác này còn nguy hiểm ở chỗ, trong quá trình diễn ra khai thác, một tệp tin Word giả mạo khác sẽ được hiển thị cho nạn nhân xem, khiến nạn nhân không nghĩ rằng mình đã bị tấn công. Đối với các mã khai thác thông thường khác thì khi người dùng mở tệp tin lên, mã độc chạy và ứng dụng Word bị đóng lại, khiến người dùng nghi ngờ, đặc biệt là đối với những người có kiến thức về mã độc. Nhưng đối với kỹ thuật phishing này, ngay cả những chuyên gia an ninh mạng cũng có thể bị đánh lừa.

Các chuyên gia cho biết, sau khi khai thác thành công, tệp tin Word “mồi” sẽ được đóng lại và xuất hiện ra một tệp tin giả mạo để nạn nhân đọc. Vào lúc đó, mã độc sẽ được lén lút cài đặt vào hệ thống của nạn nhân. Nguyên nhân làm xuất hiện lỗ hổng zero-day này liên quan đến Windows Object Linking and Embedding (OLE), một tính năng quan trọng của Office.

Hãng Microsoft đã biết đến lỗ hổng sau khi được các chuyên gia thông báo về các cuộc tấn công khai thác lỗ hổng chưa được vá từ tháng 1/2017.

Tự bảo vệ trước cuộc tấn công 

Cuộc tấn công ảnh hưởng tới toàn bộ các hệ thống dù được cập nhật đầy đủ bản vá, nên các chuyên gia khuyến cáo người dùng như sau:

- Không mở hoặc tải các tệp tin Word không tin cậy được gửi đến trong email trước khi Microsoft phát hành bản vá.

- Do cuộc tấn công không thể diễn ra khi tệp tin độc hại được xem trong tính năng Office Protected View, người dùng nên kích hoạt tính năng này để xem các tài liệu Office.

-Cập nhật hệ thống và phần mềm diệt virus thường xuyên.

- Thường xuyên sao lưu các tập tin của mình sang ổ cứng gắn ngoài.

- Mặc dù việc vô hiệu hoá Macros không giúp bảo vệ trong trường hợp này nhưng người dùng nên kích hoạt tính năng để tự bảo vệ mình trước các cuộc tấn công khác.

- Cẩn trọng trước các email lừa đảo, spam và không click vào tệp tin đính kèm độc hại.