Một phương pháp tấn công mới khai thác tính năng tích hợp trên MS Office vừa được phát hiện, không đòi hỏi người dùng phải bật macro trong ứng dụng MS Office.

Với sự phát triển của các công nghệ bảo mật, các hình thức tấn công của tin tặc cũng dần trở nên đa dạng và khó lường hơn. Thay vì việc tấn công vào các phần mềm bên thứ 3 như trước, một xu hướng hiện nay của tin tặc là tấn công vào các phần mềm và các giao thức truyền thống, những phần mềm mà thường không được các hệ thống giám sát theo dõi chặt chẽ.

HOT: Mã độc tống tiền mang tên “Bad Rabbit” đang lây lan hết sức mạnh mẽ

Kĩ thuật thực thi mã độc trên phần mềm Microsoft Word mà không cần Macro này đã được mô tả khá chi tiết bởi 2 nhà nghiên cứu bảo mật đến từ Sensepost là Etiene Stalmans và Saif El-Sherei. Kĩ thuật tấn công này sử dụng một tính năng được tích hợp sẵn vào MS Office được gọi là Dynamic Data Exchange (DDE) để tiến hành thực thi mã lệnh.

Giao thức DDE là một trong những phương pháp mà Microsoft cho phép hai ứng dụng đang chạy có thể chia sẻ dữ liệu giống nhau. Giao thức này có thể được sử dụng bởi các ứng dụng cho một lần truyền dữ liệu và tiếp tục trao đổi khi một ứng dụng cập nhật cho một ứng dụng khác những dữ liệu mới hơn.

Ngày nay có hàng ngàn ứng dụng sử dụng giao thức DDE bao gồm MS Excel, MS Word, Quattro Pro và Visual Basic.

Kỹ thuật tấn công mà các nhà nghiên cứu đã mô tả không hiển thị bất kỳ một cảnh báo an ninh nào cho nạn nhân ngoài trừ duy nhất việc yêu cầu họ thực thi ứng dụng đặc biệt từ câu lệnh. Tuy nhiên, nội dung của yêu cầu này có thể được sửa đổi để đánh lừa nạn nhân một cách dễ dàng hơn, các nhà nghiên cứu cho biết thêm.

Hai nhà nghiên cứu bảo mật này cũng cung cấp một video chi tiết thể hiện kĩ thuật khai thác này.

Tấn công thông qua DDE trên MS Word đang ngày càng phổ biến

Theo các nhà nghiên cứu bảo mật của Cisco, kỹ thuật này đã  bị tin tặc lợi dụng để tấn công trên diện rộng vào các cơ quan, tổ chức thông qua các email lừa đảo trông giống như những email được gửi từ Ủy ban Chứng khoán (SEC) và thuyết phục người dùng mở nó.

Các nhà nghiên cứu Talos đã công bố trên một bài báo cho biết thêm “Các email này sẽ chứa đựng một file đính kèm độc hại và khi người dùng mở nó sẽ bắt đầu một quá trình lây nhiễm với nhiều giai đoạn phức tạp từ đó dẫn đến thiết bị bị nhiễm phần mềm độc hại với tên gọi DNSMessenger.”

Hồi đầu tháng 3, các nhà nghiên cứu của Talos đã phát hiện ra kẻ tấn công phát tán DNSMessenger. Đây là một chương trình mã độc có thể truy cập từ xa (RAT) sử dụng các truy vấn DNS để thực hiện các câu lệnh PowerShell trên các thiết bị bị lây nhiễm.

Một khi mở ra, nạn nhân sẽ được nhắc nhở bằng 1 thông báo cho biết rằng tài liệu có chứa 1 liên kết đến các tập tin bên ngoài, yêu cầu họ cho phép hoặc từ chối nội dung được truy xuất và hiển thị.

Nếu người dùng cho phép, tài liệu độc hại sẽ kết nối với máy chủ C&C để lấy mã thực thi và bắt đầu thực hiện quá trình lây nhiễm phần mềm độc DNSMessenger.

Các nhà nghiên cứu còn cho biết thêm: “Thật thú vị khi mà trường DDEAUTO được tài liệu chứa mã độc nhận về được tin tặc lấy trên máy chủ một website chính phủ của bang Louisiana, có vẻ như website này đã bị tấn công và sử dụng cho mục đích này.”

Vậy làm thế nào để tự bảo vệ mình?

Điều đáng lo ngại ở đây đó là Microsoft lại không xem đây như là một vấn đề về bảo mật. Theo họ giao thức DDE là một tính năng không thể gỡ bỏ nhưng họ cũng khẳng định nó có thể được cải thiện với các cảnh báo tốt hơn cho người dùng trong tương lai.

Mặc dù không có cách nào trực tiếp vô hiệu hóa việc thực thi DDE nhưng người dùng có thể chủ động theo dõi các bản ghi tất cả sự kiện hệ thống (event logs) để kiểm tra khả năng bị tấn công.

Cách tốt nhất để tự bảo vệ mình khỏi tin tặc là luôn luôn cẩn trọng với bất kỳ tài liệu nào được gửi qua Email và không bao giờ nhấp vào liên kết bên trong các tài liệu đó trừ khi xác minh được các tài liệu đó được gửi từ các nguồn đáng tin cậy.

Chú thích:

• Spear Phishing –  Kiểu tấn công lừa đảo nhằm tìm cách chiếm mật khẩu hay các thông tin nhạy cảm của một tổ chức bằng cách dùng thư điện tử giả mà người gửi mạo danh là các nhân vật cấp cao, hay lừa người dùng nhấn vào đường liên kết đến trang web độc hại hoặc tải về máy tính tập tin đã nhiễm độc.
• Macro là một chuỗi các lệnh mà bạn có thể sử dụng để tự động hóa một tác vụ lặp lại, nó có thể chạy khi bạn cần thực hiện tác vụ đó.

XEM NHIỀU NHẤT: Các kỹ thuật phân tích tĩnh cơ bản (Phần 1)

Đánh giá bảo mật đang là một khâu được rất nhiều các tổ chức quan tâm bởi khi đánh giá được tình hình an ninh mạng của công ty sẽ giúp biết được các lỗ hổng an ninh mạng mà các hacker có thể lợi dụng nó để tấn công hệ thống mạng của bạn.

SECURITYBOX đơn vị an ninh mạng số 1 Việt Nam nơi cung cấp các thiết bị, dịch vụ đánh giá an ninh mạng cho Doanh nghiệp của bạn được bảo vệ một cách an toàn nhất trước sự tấn công của các Hacker.

Thông tin liên hệ:

Công ty cổ phần An toàn thông tin MVS – SecurityBox

Địa chỉ: Tầng 9, Tòa nhà Bạch Dương, Số 459 Đội Cấn, Ba Đình, Hà Nội

Hotline:  092 711 8899

Email: info@securitybox.vn