mới được phát hiện tồn tại trong MSHTML. Đây là một công cụ trình duyệt dành cho và được sử dụng trong Office để hiển thị nội dung web bên trong các tập tin Word, Excel và PowerPoint.
Các cuộc tấn công đang diễn ra nhắm vào Office 365
Theo đó, lỗ hổng này với mã CVE-2021-40444, là lỗ hổng bảo mật nghiêm trọng cao (điểm CVSS là 8.8) ảnh hưởng đến các phiên bản máy chủ Windows Server 2008 đến 2019 và các máy trạm Windows 8.1 đến Windows 10, cho phép kẻ tấn công thực thi mã từ xa trong MSHTML.
xác định rằng, các cuộc tấn công có chủ đích cố gắng khai thác lỗ hổng bằng cách gửi các tập tin Office được thiết kế đặc biệt đến người dùng. “Kẻ tấn công có thể tạo ra một cơ chế điều khiển ActiveX độc hại để được sử dụng bởi một tài liệu Microsoft Office, sau đó hacker sẽ thực hiện các biện pháp đánh lừa người dùng để mở các tập tin này”, Microsoft cho biết.
Trước đó, một số nhà nghiên cứu bảo mật từ nhiều công ty an ninh mạng, bao gồm: Haifei Li của EXPMON, Dhanesh Kizhakkinan, Bryce Abdo và Genwei Jiang tới từ Mandiant và Rick Cole của Microsoft Security Intelligence đã báo cáo các cuộc tấn công lỗ hổng zero-day trong các hệ điều hành nói trên cho Microsoft.
Trên Twitter, công ty an ninh mạng EXPMON cho biết họ đã tìm thấy lỗ hổng sau khi phát hiện một “cuộc tấn công zero-day rất tinh vi” nhắm vào người dùng Microsoft Office.
.jpg)
Thông báo trên Twitter của công ty EXPMON về lỗ hổng zero-day nhắm vào Microsoft Office
EXPMON đã mô phỏng lại cuộc tấn công vào Office 2019/Office 365 mới nhất trên Windows 10. Theo nhà nghiên cứu bảo mật Haifei Li của công ty này, những kẻ tấn công đã sử dụng tập tin .DOCX và đánh lừa người dùng mở nó, tài liệu này sẽ tự động kích hoạt Internet Explorer để mở một trang web từ xa của kẻ tấn công đã được thiết kế sẵn. Phần mềm độc hại sau đó được tải xuống và cài đặt trên máy tính của người dùng bằng một cơ chế điều khiển ActiveX được tích hợp trong trang web này.
Haifei Li cho biết thêm, phương pháp tấn công thông qua lỗ hổng này có tỉ lệ thành công lên đến 100%, điều này rất nguy hiểm bởi chỉ cần kẻ tấn công đánh lừa người dùng mở tập tin Office là có thể khai thác lỗ hổng.
Tuy nhiên, cuộc tấn công sẽ gặp trở ngại nếu Microsoft Office chạy với cấu hình mặc định, khi các tập tin được mở ở chế độ Protected View hoặc Application Guard for Office.
Protected View là chế độ chỉ đọc và vô hiệu hóa hầu hết các chức năng chỉnh sửa, trong khi Application Guard for Office từ chối các tập tin không đáng tin cậy truy cập vào tài nguyên của cơ quan, tổ chức, mạng nội bộ hoặc các tập tin khác trên hệ thống.
Theo chia sẻ của Microsoft, các phần mềm Microsoft Defender Antivirus và Microsoft Defender for Endpoint đều cung cấp khả năng phát hiện và có thể bảo vệ người dùng trước nguy cơ bị kẻ tấn công khai thác lỗ hổng trên. Các cảnh báo về cuộc tấn công này được thể hiện dưới dạng “Suspicious Cpl File Execution”.
Giải pháp tạm thời để khắc phục các cuộc tấn công zero-day CVE-2021-40444
Hiện tại, Microsoft chưa phát hành bản cập nhật vá lỗi đối với CVE-2021-40444, tuy nhiên hãng đã đưa ra một số giải pháp khắc phục tạm thời để giảm thiểu nguy cơ tấn công bởi lỗ hổng này như: Không nên mở các tài liệu Office từ những nguồn lạ và không đáng tin cậy; Cập nhật phiên bản mới nhất cho Microsoft Defender Antivirus và Microsoft Defender for Endpoint; Vô hiệu hóa tất cả các cơ chế điều khiển ActiveX trong Internet Explorer.
Để tắt cơ chế điều khiển ActiveX, người dùng nên tạo một tập tin và lưu với định dạng phần mở rộng .REG, sau đó thực thi tập tin này. Cuối cùng là khởi động lại máy tính để cấu hình mới được áp dụng vào hệ thống.
Cụ thể, các bước để tắt cơ chế điều khiển ActiveX được thực hiện như sau:
Sao chép và dán văn bản sau. Lưu thành tập tin “disable-activex.reg”, đảm bảo rằng người dùng đã bật hiển thị phần mở rộng tệp.
.png)
Chạy tập tin vừa được tạo bằng cách nhấp đúp vào nó. Một lời nhắc UAC được hiển thị, chọn “Yes” để thực thi.
Thông báo chạy tập tin thành công.
Sau khi khởi động lại máy tính của mình, các cơ chế điều khiển ActiveX sẽ bị tắt trong Internet Explorer. Lưu ý rằng khi Microsoft cung cấp bản cập nhật bảo mật chính thức cho lỗ hổng này, người dùng có thể gỡ bản sửa lỗi Registry tạm thời trên bằng cách xóa thủ công các key Registry đã tạo.
Đinh Hồng Đạt
(Theo bleepingcomputer)
07:00 | 23/10/2023
11:00 | 13/09/2021
14:00 | 17/08/2023
14:00 | 29/11/2021
10:00 | 04/02/2022
17:00 | 29/07/2021
13:00 | 09/09/2021
09:00 | 19/07/2023
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
10:00 | 01/10/2024
MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.
14:00 | 09/09/2024
Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, bằng cách khai thác lỗ hổng thực thi mã từ xa PHP (có mã định danh là CVE-2024-4577).
14:00 | 08/07/2024
Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
10:00 | 27/10/2024
