18/09/2018, 15:07

Tính năng tích hợp sẵn của MS Office có thể được lợi dụng để tạo ra phần mềm độc hại tự sao chép dữ liệu

Hồi đầu tháng 11 một nhà nghiên cứu về an ninh mạng đã chia sẻ chi tiết về lỗ hổng bảo mật với The Hacker News. Lỗ hổng bảo mật này ảnh hưởng đến tất cả các phiên bản của Microsoft Office, cho phép các tác nhân độc hại tạo và lây lan phần mềm độc hại tự sao chép dữ liệu dựa trên macro. Các ...

Hồi đầu tháng 11 một nhà nghiên cứu về an ninh mạng đã chia sẻ chi tiết về lỗ hổng bảo mật với The Hacker News. Lỗ hổng bảo mật này ảnh hưởng đến tất cả các phiên bản của Microsoft Office, cho phép các tác nhân độc hại tạo và lây lan phần mềm độc hại tự sao chép dữ liệu dựa trên macro.

MS Office

Các phần mềm độc hại tự sao chép dựa trên macro, về cơ bản cho phép macro viết nhiều macro, không phải là mới trong số các hacker, nhưng để ngăn chặn các mối đe dọa như vậy, Microsoft đã giới thiệu một cơ chế bảo mật trong MS Office theo mặc định giới hạn chức năng này.

XEM THÊM: Cấu trúc PE & COFF File và ý nghĩa trong việc phân tích mã độc

Lino Antonio Buono, một nhà nghiên cứu về an ninh của Ý đang làm việc tại Inthecyber, đã báo cáo một kỹ thuật đơn giản có thể cho phép bất cứ ai có thể vượt qua được sự kiểm soát an ninh do Microsoft thực hiện và tạo ra các phần mềm độc hại tự sao chép đằng sau những tài liệu MS Word lỏng lẻo.

Điều tồi tệ hơn là Microsoft đã từ chối xem xét vấn đề này là một lỗ hổng bảo mật khi liên lạc với các nhà nghiên cứu vào tháng 10 năm nay, nói rằng nó là một tính năng chỉ hoạt động giống như tính năng MS Office, hiện đang được các hacker sử dụng.

‘qkG Ransomware’ được tìm thấy bằng cách sử dụng kỹ thuật tự lan truyền

Ngay cả khi chưa được công khai thì phần mềm độc hại này cũng đang ảnh hưởng đến bạn với tốc độ rất nhanh chóng.

Ngày 22/11/2017, Trend Micro đã công bố một báo cáo về một công cụ ransomware tự nhân bản dựa trên vĩ mô mới, được gọi là ” qkG “, sử dụng chính xác tính năng MS Office mà Buono đã mô tả.

Các nhà nghiên cứu của Trend Micro đã phát hiện các mẫu ransomware của qkG trên VirusTotal do một ai đó từ Việt Nam tải lên và họ cho rằng giá ransomware này có vẻ như là “một dự án thực nghiệm hoặc một bằng chứng về khái niệm (PoC) chứ không phải là một phần mềm độc hại được sử dụng trong tự nhiên”.

Các ransomware qkG sử dụng Auto Close VBA vĩ mô – một kỹ thuật cho phép thực hiện macro độc hại khi nạn nhân đóng tài liệu.

Kỹ thuật tấn công mới này hoạt động như thế nào

Để làm cho chúng ta hiểu kỹ thuật tấn công hoàn chỉnh, Buono đã mô phỏng thể hiện tài liệu MS Word được trang bị mã VBA độc ác có thể được sử dụng để cung cấp một phần mềm độc hại nhiều giai đoạn tự sao chép.

phần mềm độc hại 1

Với “Trust access to the VBA project object model”, MS Office tin cậy tất cả các macro và tự động chạy bất kỳ mã nào mà không cần cảnh báo bảo mật hoặc yêu cầu sự cho phép của người dùng.

Buono thấy rằng cài đặt này chỉ có thể được kích hoạt/vô hiệu hoá chỉ bằng cách chỉnh sửa một đăng ký Windows, cuối cùng cho phép các macro viết macro hơn mà không có sự đồng ý và kiến ​​thức của người dùng

phân tích mã độc 3

Một tệp tin MS Doc độc hại do Buono tạo ra tương tự – nó đầu tiên chỉnh sửa đăng ký của Windows và sau đó tiêm cùng một tệp tin macro (VBA code) vào mọi tệp doc mà nạn nhân tạo, sửa hoặc chỉ mở trên/hệ thống của cô.

Nạn nhân sẽ không có trách nhiệm về lây lan phần mềm độc hại.

Nói cách khác, nếu nạn nhân nhầm lẫn cho phép tệp doc độc hại chạy macros một lần, hệ thống của họ sẽ vẫn mở các cuộc tấn công dựa trên macro.

Hơn nữa, nạn nhân cũng sẽ không biết phải chịu trách nhiệm lây lan cùng một mã độc hại cho người dùng khác bằng cách chia sẻ bất kỳ tập tin văn phòng bị nhiễm từ hệ thống của mình.

Kỹ thuật tấn công này có thể đáng lo ngại hơn khi bạn nhận được tệp doc độc hại từ một liên hệ đáng tin cậy đã bị nhiễm phần mềm độc hại đó, cuối cùng chuyển bạn thành vectơ tấn công tiếp theo cho người khác.

Mặc dù kỹ thuật này không bị khai thác trong tự nhiên, nhà nghiên cứu tin rằng nó có thể bị khai thác để lây lan malware độc ​​hại tự sao chép mà có thể khó để đối phó và chấm dứt.

Vì đây là một tính năng chính đáng nên hầu hết các giải pháp chống vi-rút không đánh dấu bất kỳ cảnh báo nào hoặc chặn các tài liệu MS Office bằng mã VBA, không phải công ty công nghệ nào cũng có kế hoạch phát hành bản vá để hạn chế chức năng này.

Buono gợi ý rằng “Để giảm phần dễ bị tổn thương, bạn có thể di chuyển khóa registry AccessVBOM từ hccU hive sang HKLM, chỉ có thể sửa được bởi quản trị viên hệ thống”.

Cách tốt nhất để tự bảo vệ mình khỏi phần mềm độc hại như vậy luôn luôn đáng nghi ngờ đối với bất kỳ tài liệu không mời nào được gửi qua email và không bao giờ nhấp vào liên kết bên trong các tài liệu đó trừ khi xác minh đúng nguồn.

XEM NHIỀU NHẤT: Bluetooth bị tấn công ảnh hưởng đến 20 triệu thiết bị của Amazon Echo và Google Home

Nguồn: Thehackernews

0