Lỗ hổng Zero-Day trong Office đang được tin tặc khai thác

Một lỗi bảo mật zero-day trong công nghệ Microsoft OLE (Object Linking and Embedding)  hiện đang được khai thác, cho phép kẻ tấn công thực thi mã từ xa.

OLE được thiết kế để cho phép chia sẻ dữ liệu và chức năng giữa các chương trình và nó hiện diện trong thành phần của Microsoft Office, nơi nó có thể được dùng để chỉnh sửa và tạo dữ liệu với thông tin trong nhiều định dạng.

Lỗ hổng này (CVE-2014-6352) quan trọng bởi vì nó hiện diện trong tất cả các phiên bản của hệ điều hành Windows, ngoại trừ Server 2003, ảnh hưởng đến một số lượng lớn, người dùng nên thận trọng khi mở các tập tin văn phòng từ các nguồn không tin cậy.

Bản cập nhật từ Microsoft đang được người dùng mong đợi, mặc dù không có thông tin rằng sẽ có qua các bản cập nhật định kỳ hàng tháng hay một sửa chữa out-of-band.

UAC và Protected View sẽ hữu ích nếu được kích hoạt

Tại thời điểm này, xuất hiện nhiều cuộc tấn công có chủ đích, các chiến dịch gián điệp mạng hoạt động khai thác lỗ hổng này qua các tài liệu PowerPoint.

Trong một kịch bản tấn công lợi dụng điểm yếu này, các nạn nhân nhận được một tài liệu văn phòng độc hại với một đối tượng OLE. Khi mở ra, mã độc sẽ được thực thi và những kẻ tấn công sẽ chiếm được quyền của người dùng và thực thi mã từ xa.

Các dấu hiệu của hoạt động đáng ngờ là khi thực hiện các tập tin có chứa các mã khai thác vì các hành động gây ra một cảnh báo UAC (User Account Control) khi chương trình thực thi với đặc quyền admin.

UAC được kích hoạt mặc định từ Windows Vista trở lên, nhằm chống lại những nỗ lực tấn công đe dọa người sử dụng. Tuy nhiên, nếu tính năng bảo mật được tắt, đó là trường hợp với nhiều tài khoản quản trị, khai thác có thể được thực hiện mà không có cảnh báo.

Nếu là một tấn công dựa trên web, Office 2010 và các tập tin mở rộng trong Protected View, một chế độ kích hoạt mặc định chỉ cho phép đọc các tập tin và  hạn chế chỉnh sửa. Tính năng này không có sẵn trong Office 2007 và phiên bản thấp hơn, phiên bản vẫn được sử dụng trong nhiều tổ chức công cộng và tư nhân.

Giải pháp giảm thiểu rủi ro

Microsoft đã chuẩn bị một giải pháp vá lỗ hổng này Fix It (OLE packager Shim Workaround), khắc phục những cuộc tấn công sử dụng các tập tin PowerPoint trên hầu hết bộ Office, mặc dù không bao gồm PowerPoint 64-bit trên Windows 8, 8.1, Windows Server 2012 và Windows Server 2012 R2.

Cách giải quyết khác được tham khảo là bật UAC và cấu hình Enhanced Mitigation Experience Toolkit (Emet) 5.0 để bảo vệ chống lại các kiểu tấn công đã được biết đến.

Softpedia