12/10/2018, 21:48

Tính năng tích hợp sẵn của MS Office có thể bị lợi dụng để tạo phần mềm độc hại tự sao chép

Đầu tháng này, một nhà nghiên cứu an ninh mạng đã phát hiện một lỗ hổng bảo mật với The Hacker News. Nó tồn tại trên mọi phiên bản của Microsoft Office, cho phép kẻ xấu phát tán phần mềm độc hại có khả năng tự nhân bản. Malware này, cho phép một virus tạo ra nhiều virus khác, ...

Đầu tháng này, một nhà nghiên cứu an ninh mạng đã phát hiện một lỗ hổng bảo mật với The Hacker News. Nó tồn tại trên mọi phiên bản của Microsoft Office, cho phép kẻ xấu phát tán phần mềm độc hại có khả năng tự nhân bản.

Malware này, cho phép một virus tạo ra nhiều virus khác, không hề mới trong giới hacker, nhưng để ngăn chặn nó, Microsoft đã tung ra một cơ chế bảo mật trong MS Office để hạn chế tính năng trên.

Lino Antonio Buono, một nhà nghiên cứu người Ý làm việc cho InTheCyber, cho biết chỉ cần một thủ thuật đơn giản có thể cho phép bất cứ ai vượt qua bức tường bảo mật của Microsoft và tạo các malware với khả năng tự nhân bản, nằm sau vỏ bọc vô hại của MS Word documents.

Tệ hơn nữa, Microsoft không cho rằng đây là lỗi liên quan tới bảo mật mà là một tính năng mới như MS Office DDE. Tuy vậy, sự thật là nó đang bị lợi dụng bởi các hacker.

Phát hiện ‘qkG Ransomware’ mới cũng sử dụng cách thức tương tự

Điều thú vị là bạn có thể cũng đã bị dính phải malware trên. Tốc độ nó lan truyền nhanh khủng khiếp đúng không?

Mới hôm qua, Trend Micro đã báo cáo một ransomware mới, “qkG“, cũng lợi dụng tính năng theo cách thức tương tự như Buono đã miêu tả ở trên.

Trend Micro cho biết họ phát hiện qkG đến từ VirusTotal, được upload từ Việt Nam, và họ nói rằng ransomware này giống như là một project thử nghiệm hoặc bằng chứng cho khái niệm (proof of concept – PoC).

qkG ransomware sử dụng Auto Close VBA macro – một thủ thuật cho phép tạo ra các virus độc hại khi nạn nhân đóng document.

Phiên bản mới nhất của qkG ransomware giờ còn bao gồm cả tài khoản bitcoin và đòi hỏi bạn phải trả $300 trong BTC.

Cũng nên lưu ý rằng tài khoản Bitcoin trên hiện vận chưa bất cứ đồng nào, chứng tỏ nó vẫn chưa được dùng nhắm vào con người.

Ngoài nó, ransomware này còn dùng mật khẩu là “I’m QkG@PTM17! by TNA@MHT-TT2” để mở khóa những files bị nhiễm.

Sau đây là cách nó thực hiện

Để giúp chúng ta hiểu rõ cách nó tấn công, Buono đã chia sẻ một video với The Hacker News về cách MS Word document chứa VBA code độc hại có thể được dùng để gửi malware.

Nếu bạn vẫn chưa nhận ra, Microsoft đã disabled external macros cũng như giới hạn các truy cập chương trình mặc định tới Office VBA project object model, Nó cũng yêu cầu người dùng bật “Trust access to the VBA project object model,” mỗi khi được yêu cầu.

Với “Trust access to the VBA project object model” được mở lên, MS Office sẽ tin tưởng mọi macros và tự động chạy mà không hỏi hay cảnh báo cho người dùng.

Buono phát hiện ra rằng tính năng này có thể bật/tắt chỉ với việc chỉnh sửa Windows registry, Và cho phép macros tiếp tục tự nhân bản thoải mái.

Nạn nhân vô tình góp tay vào việc phân tán malware

Nói cách khác, chỉ cần bị dính một lần thì hệ thống của bạn sẽ trở nên dễ bị công kích bởi các cuộc tấn công từ macro.

Hơn nữa, nạn nhân cũng vô tình phát tán code độc hại bằng việc chia sẻ những file bị nhiễm đó cho bạn bè, người quen và lên mạng.

Đây là một việc khá nguy hiểm bởi tốc độ lan truyền của nó sẽ tăng lên tới mức chóng mặt. Hơn thế do nó lợi dụng lỗ hổng từ tính năng, các phần mềm chống virus đều không thể làm gì và các công ty công nghệ cũng không có patch gì để khắc phục lỗ hổng này.

Buono gợi ý “ việc dời AccessVBOM registry key từ HKCU tới HKLM, khiến nó chỉ có thể chỉnh sửa bởi system administrator.”

Cách tốt nhất để bảo vệ bản thân là hãy luôn cảnh giác trước các documents khả nghi cũng như chỉ click link nào có nguồn uy tín và rõ ràng.

Techtalk via Thehackernews

Bài liên quan

Tính năng tích hợp sẵn của MS Office có thể bị lợi dụng để tạo phần mềm độc hại tự sao chép

Đầu tháng này, một nhà nghiên cứu an ninh mạng đã phát hiện một lỗ hổng bảo mật với The Hacker News. Nó tồn tại trên mọi phiên bản của Microsoft Office, cho phép kẻ xấu phát tán phần mềm độc hại có khả năng tự nhân bản. Malware này, cho phép một virus tạo ra nhiều virus khác, ...

Hoàng Hải Đăng viết 21:48 ngày 12/10/2018

Phần mềm độc hại XBash tích hợp ransomware, khai thác tiền ảo & Botnet

Mới đây các nhà chuyên gia đã cảnh báo Người dùng Windows & Linux cần cẩn thận với phần mềm độc hại XBash tích hợp ransomware, khai thác tiền ảo, botnet và worm có cơ chế tự lan truyền. Được đặt tên là XBash, phần mềm độc hại này được biết là sản phẩm của Iron Group hay còn ...

Trần Trung Dũng viết 22:17 ngày 28/09/2018

Phần mềm độc hại XBash tích hợp ransomware, khai thác tiền ảo & Botnet

Người dùng Windows & Linux cần cẩn thận với phần mềm độc hại XBash tích hợp ransomware, khai thác tiền ảo, botnet và worm tự lan truyền. Được đặt tên là XBash, phần mềm độc hại này được biết là sản phẩm của Iron Group hay còn gọi là Rocke – nhóm tin tặc đã gây ra những cuộc tấn công ...

Tạ Quốc Bảo viết 14:08 ngày 27/09/2018

Tính năng tích hợp sẵn của MS Office có thể được lợi dụng để tạo ra phần mềm độc hại tự sao chép dữ liệu

Hồi đầu tháng 11 một nhà nghiên cứu về an ninh mạng đã chia sẻ chi tiết về lỗ hổng bảo mật với The Hacker News. Lỗ hổng bảo mật này ảnh hưởng đến tất cả các phiên bản của Microsoft Office, cho phép các tác nhân độc hại tạo và lây lan phần mềm độc hại tự sao chép dữ liệu dựa trên macro. Các ...

Bùi Văn Nam viết 15:07 ngày 18/09/2018

Lỗ hổng bảo mật nghiêm trọng trong một tính năng tích hợp sẵn của MS Office cho phép thực thi mã độc mà không cần bật tính năng Macros

Một phương pháp tấn công mới khai thác tính năng tích hợp trên MS Office vừa được phát hiện, không đòi hỏi người dùng phải bật macro trong ứng dụng MS Office. Với sự phát triển của các công nghệ bảo mật, các hình thức tấn công của tin tặc cũng dần trở nên đa dạng và khó lường hơn. Thay ...

Trần Trung Dũng viết 14:56 ngày 18/09/2018
0