12/10/2018, 21:48

Tính năng tích hợp sẵn của MS Office có thể bị lợi dụng để tạo phần mềm độc hại tự sao chép

Đầu tháng này, một nhà nghiên cứu an ninh mạng đã phát hiện một lỗ hổng bảo mật với The Hacker News. Nó tồn tại trên mọi phiên bản của Microsoft Office, cho phép kẻ xấu phát tán phần mềm độc hại có khả năng tự nhân bản. Malware này, cho phép một virus tạo ra nhiều virus khác, ...

Đầu tháng này, một nhà nghiên cứu an ninh mạng đã phát hiện một lỗ hổng bảo mật với The Hacker News. Nó tồn tại trên mọi phiên bản của Microsoft Office, cho phép kẻ xấu phát tán phần mềm độc hại có khả năng tự nhân bản.

Malware này, cho phép một virus tạo ra nhiều virus khác, không hề mới trong giới hacker, nhưng để ngăn chặn nó, Microsoft đã tung ra một cơ chế bảo mật trong MS Office để hạn chế tính năng trên.

Lino Antonio Buono, một nhà nghiên cứu người Ý làm việc cho InTheCyber, cho biết chỉ cần một thủ thuật đơn giản có thể cho phép bất cứ ai vượt qua bức tường bảo mật của Microsoft và tạo các malware với khả năng tự nhân bản, nằm sau vỏ bọc vô hại của MS Word documents.

Tệ hơn nữa, Microsoft không cho rằng đây là lỗi liên quan tới bảo mật mà là một tính năng mới như MS Office DDE. Tuy vậy, sự thật là nó đang bị lợi dụng bởi các hacker.

Phát hiện ‘qkG Ransomware’ mới cũng sử dụng cách thức tương tự

Điều thú vị là bạn có thể cũng đã bị dính phải malware trên. Tốc độ nó lan truyền nhanh khủng khiếp đúng không?

Mới hôm qua, Trend Micro đã báo cáo một ransomware mới, “qkG“, cũng lợi dụng tính năng theo cách thức tương tự như Buono đã miêu tả ở trên.

Trend Micro cho biết họ phát hiện qkG đến từ VirusTotal, được upload từ Việt Nam, và họ nói rằng ransomware này giống như là một project thử nghiệm hoặc bằng chứng cho khái niệm (proof of concept – PoC).

qkG ransomware sử dụng Auto Close VBA macro – một thủ thuật cho phép tạo ra các virus độc hại khi nạn nhân đóng document.

Phiên bản mới nhất của qkG ransomware giờ còn bao gồm cả tài khoản bitcoin và đòi hỏi bạn phải trả $300 trong BTC.

Cũng nên lưu ý rằng tài khoản Bitcoin trên hiện vận chưa bất cứ đồng nào, chứng tỏ nó vẫn chưa được dùng nhắm vào con người.

Ngoài nó, ransomware này còn dùng mật khẩu là “I’m QkG@PTM17! by TNA@MHT-TT2” để mở khóa những files bị nhiễm.

Sau đây là cách nó thực hiện

Để giúp chúng ta hiểu rõ cách nó tấn công, Buono đã chia sẻ một video với The Hacker News về cách MS Word document chứa VBA code độc hại có thể được dùng để gửi malware.

Nếu bạn vẫn chưa nhận ra, Microsoft đã disabled external macros cũng như giới hạn các truy cập chương trình mặc định tới Office VBA project object model, Nó cũng yêu cầu người dùng bật “Trust access to the VBA project object model,” mỗi khi được yêu cầu.

Với “Trust access to the VBA project object model” được mở lên, MS Office sẽ tin tưởng mọi macros và tự động chạy mà không hỏi hay cảnh báo cho người dùng.

Buono phát hiện ra rằng tính năng này có thể bật/tắt chỉ với việc chỉnh sửa Windows registry, Và cho phép macros tiếp tục tự nhân bản thoải mái.

Nạn nhân vô tình góp tay vào việc phân tán malware

Nói cách khác, chỉ cần bị dính một lần thì hệ thống của bạn sẽ trở nên dễ bị công kích bởi các cuộc tấn công từ macro.

Hơn nữa, nạn nhân cũng vô tình phát tán code độc hại bằng việc chia sẻ những file bị nhiễm đó cho bạn bè, người quen và lên mạng.

Đây là một việc khá nguy hiểm bởi tốc độ lan truyền của nó sẽ tăng lên tới mức chóng mặt. Hơn thế do nó lợi dụng lỗ hổng từ tính năng, các phần mềm chống virus đều không thể làm gì và các công ty công nghệ cũng không có patch gì để khắc phục lỗ hổng này.

Buono gợi ý “ việc dời AccessVBOM registry key từ HKCU tới HKLM, khiến nó chỉ có thể chỉnh sửa bởi system administrator.”

Cách tốt nhất để bảo vệ bản thân là hãy luôn cảnh giác trước các documents khả nghi cũng như chỉ click link nào có nguồn uy tín và rõ ràng.

Techtalk via Thehackernews

0