Khẩn cấp! Phát hiện lỗ hổng zero-day trên Microsoft Office

Blog 283
Một nhóm kỹ sư bảo mật vừa công bố lỗ hổng zero-day trên Microsoft Office, gây ảnh hưởng đến toàn bộ những máy tính đang sử dụng phần mềm. Hãy xem bài viết của Chips để biết cách tránh gặp phải lỗ hổng trên nhé.

Lỗ hổng nguy hiểm trên Microsoft Office

Mới đây, lỗ hổng bảo mật nghiêm trọng trên Microsoft Office có tên “Follina” đã được phát hiện. Lỗ hổng này sử dụng một tài liệu Word để kích hoạt mã độc nhằm kiểm soát và gây hại cho máy tính của nạn nhân.

Tuy Microsoft Office là phần mềm cực kỳ bảo mật và được vá lỗi thường xuyên. Nhưng lỗ hổng lần này đặc biệt nghiêm trọng vì nó thuộc loại lỗ hổng zero-day (chưa từng được ghi nhận), có thể gây ảnh hưởng cực kỳ lớn cho máy tính của bạn. 

Follina security hole

(Mã độc "Follina" - Nguồn ảnh: thehackernews.com)

Lỗ hổng “Follina” nguy hiểm ở chỗ, cho dù “Macro” (chuỗi lệnh tự động hóa) có bị tắt đi thì “msdt” (công cụ chẩn đoán hỗ trợ) vẫn sẽ hoạt động để thực thi mã PowerShell lên hệ thống. Thậm chí, nó còn có khả năng kích hoạt mã độc ngay lập tức nếu nạn nhân sử dụng chế độ “Preview” trong Window Explorer để xem trước file. Điều mà rất nhiều người dùng Windows hiện nay đang sử dụng. Có nghĩa rằng, mã độc này vẫn sẽ chạy khi thậm chí người dùng máy tính không hề mở file tài liệu.

Cách thức hoạt động của “Follina” là sử dụng tính năng mẫu từ xa có trong file Word nằm trên máy tính của con mồi. Từ đó truy xuất một tệp HTML trên máy chủ chứa mã độc từ bên ngoài quay ngược lại máy tính nạn nhân. Tiếp theo, mã độc liên tục sử dụng lược đồ “ms-msdt” của Microsoft Office để thực thi mã PowerShell, ghi đè lên hệ thống của Microsoft Office. Tạo điều kiện để hacker chiếm quyền điều khiển hoặc lấy cắp các thông tin nhạy cảm trong máy tính của bạn.


Nói một cách đơn giản, khi bạn nhấp chuột vào file Word chứa mã độc (thậm chí chỉ cần xem file dưới dạng “Preview”) thì máy tính của bạn đã “dính đạn” từ lỗ hổng “Follina”. 


How Follina attacks

(Cách thức tấn công của lỗ hổng "Follina")

Theo nhà nghiên cứu bảo mật Kevin Beaumont, người đặt tên cho lỗ hổng “Follina”. Sở dĩ lỗ hổng có tên gọi như vậy vì mẫu từ xa có trong file Word được tham chiếu đến khu vực "0438", đây là mã vùng của Follina, một thị trấn ở thành phố Treviso nước Ý.

Sau các thử nghiệm, Beaumont cũng lưu ý rằng nhiều phiên bản Microsoft Office, bao gồm Office, Office 2016 và Office 2021, được cho là sẽ bị ảnh hưởng nhiều hơn cả; mặc dù các phiên bản khác cũng có nguy cơ bị tấn công khá cao. Thậm chí những bản vá lỗi gần nhất trên các máy tính Window 11 cũng chưa hề áp dụng phương thức nào để sửa lỗi bảo mật trên.

 

Cách khắc phục hiện tại

Lỗ hổng trên lần đầu tiên được báo cáo vào ngày 12/04, tuy vậy đến nay phía Microsoft vẫn chưa có động thái khắc phục cụ thể nào. Vậy nên trong thời gian chờ đợi các bản vá đến từ Microsoft, các bạn hãy thực hiện những cách sau đây để tự bảo vệ máy tính của mình nhé:

  1. Hãy tắt chế độ “Preview” trong Windows Explorer.
     Mở Windows Explorer, sau đó vào tab View rồi chọn Hide Preview Pane. Cách này sẽ hạn chế hành động “Xem trước” mà khiến mã độc được kích hoạt như đã nói bên trên.
  2. Tải file “unregister-msdt.reg” ở đường dẫn https://gist.github.com/.../031962b9d388c90a518d2551be58ead7 (không phải virus).
    Đây là một file cấu hình Registry của Window, không gây ảnh hưởng xấu đến hệ thống máy tính của bạn. Double click vào file này, nếu hiện lên thông báo "User Account Control" thì chọn “Yes”.
  3. Cập nhật các trình quét virus trên máy tính của bạn hoặc kiểm tra bằng công cụ Virus Total, website chuyên kiểm tra các file virus của Google.
  4. Nếu đột nhiên bạn nhận được một file Word, Excel, hay PowerPoint mà cảm thấy nghi ngờ. Hãy thử mở nó bằng các dịch vụ trực tuyến như Google Docs, Sheet, Slide. Các dịch vụ này không thực thi file trực tiếp trên máy tính nên mã độc sẽ không xâm nhập được. (tham khảo: Cookie Hân Hoan)

Turn off "Preview" on Window Explorer

(Hãy nhớ tắt chế độ "Preview" để bảo vệ máy tính của bạn nhé)

 

Hy vọng bài viết này đã giúp các bạn tránh khỏi một lỗi bảo mật nguy hiểm trên Microsoft Office. Hãy tải bản vá của Microsoft ngay lập tức khi nó được phát hành nhé. Chips sẽ tiếp tục cập nhật nếu có những thay đổi liên quan đến lỗ hổng Follina.

Cảm ơn bạn vì đã quan tâm bài viết của Chips, chúc bạn một ngày tốt lành   

Powered by Froala Editor

Nguồn: Hieudc - Công ty cổ phần Chips