Mục lục bài viết || Contents of the article

    Một phương pháp tấn công mới khai thác tính năng tích hợp trên MS Office vừa được phát hiện, không đòi hỏi người dùng phải bật macro trong ứng dụng MS Office.

    lỗ hổng bảo mật

    Với sự phát triển của các công nghệ bảo mật, các hình thức tấn công của tin tặc cũng dần trở nên đa dạng và khó lường hơn. Thay vì việc tấn công vào các phần mềm bên thứ 3 như trước, một xu hướng hiện nay của tin tặc là tấn công vào các phần mềm và các giao thức truyền thống, những phần mềm mà thường không được các hệ thống giám sát theo dõi chặt chẽ.

    HOT: Mã độc tống tiền mang tên “Bad Rabbit” đang lây lan hết sức mạnh mẽ

    Các nhà nghiên cứu về bảo mật thuộc nhóm nghiên cứu Talos của Cisco đã phát hiện ra một trong số rất nhiều những chiến dịch tấn công như vậy. Trong đó, tin tặc sử dụng các tài liệu Microsoft Word được chèn thêm vào các phần mềm độc hại, và đặc biệt nguy hiểm hơn khi mã độc này có thể thực thi mã trên thiết bị của nạn nhân mà không cần phải bật tính năng Macro hoặc thậm chí trong trường hợp bộ nhớ bị hỏng.

    Kĩ thuật thực thi mã độc trên phần mềm Microsoft Word mà không cần Macro này đã được mô tả khá chi tiết bởi 2 nhà nghiên cứu bảo mật đến từ Sensepost là Etiene Stalmans và Saif El-Sherei. Kĩ thuật tấn công này sử dụng một tính năng được tích hợp sẵn vào MS Office được gọi là Dynamic Data Exchange (DDE) để tiến hành thực thi mã lệnh.

    Giao thức DDE là một trong những phương pháp mà Microsoft cho phép hai ứng dụng đang chạy có thể chia sẻ dữ liệu giống nhau. Giao thức này có thể được sử dụng bởi các ứng dụng cho một lần truyền dữ liệu và tiếp tục trao đổi khi một ứng dụng cập nhật cho một ứng dụng khác những dữ liệu mới hơn.

    Ngày nay có hàng ngàn ứng dụng sử dụng giao thức DDE bao gồm MS Excel, MS Word, Quattro Pro và Visual Basic.

    Kỹ thuật tấn công mà các nhà nghiên cứu đã mô tả không hiển thị bất kỳ một cảnh báo an ninh nào cho nạn nhân ngoài trừ duy nhất việc yêu cầu họ thực thi ứng dụng đặc biệt từ câu lệnh. Tuy nhiên, nội dung của yêu cầu này có thể được sửa đổi để đánh lừa nạn nhân một cách dễ dàng hơn, các nhà nghiên cứu cho biết thêm.

    lỗ hổng bảo mật 2

    Hai nhà nghiên cứu bảo mật này cũng cung cấp một video chi tiết thể hiện kĩ thuật khai thác này.

    Tấn công thông qua DDE trên MS Word đang ngày càng phổ biến

    Theo các nhà nghiên cứu bảo mật của Cisco, kỹ thuật này đã  bị tin tặc lợi dụng để tấn công trên diện rộng vào các cơ quan, tổ chức thông qua các email lừa đảo trông giống như những email được gửi từ Ủy ban Chứng khoán (SEC) và thuyết phục người dùng mở nó.

    Các nhà nghiên cứu Talos đã công bố trên một bài báo cho biết thêm “Các email này sẽ chứa đựng một file đính kèm độc hại và khi người dùng mở nó sẽ bắt đầu một quá trình lây nhiễm với nhiều giai đoạn phức tạp từ đó dẫn đến thiết bị bị nhiễm phần mềm độc hại với tên gọi DNSMessenger.”

    Hồi đầu tháng 3, các nhà nghiên cứu của Talos đã phát hiện ra kẻ tấn công phát tán DNSMessenger. Đây là một chương trình mã độc có thể truy cập từ xa (RAT) sử dụng các truy vấn DNS để thực hiện các câu lệnh PowerShell trên các thiết bị bị lây nhiễm.

    Một khi mở ra, nạn nhân sẽ được nhắc nhở bằng 1 thông báo cho biết rằng tài liệu có chứa 1 liên kết đến các tập tin bên ngoài, yêu cầu họ cho phép hoặc từ chối nội dung được truy xuất và hiển thị.

    Nếu người dùng cho phép, tài liệu độc hại sẽ kết nối với máy chủ C&C để lấy mã thực thi và bắt đầu thực hiện quá trình lây nhiễm phần mềm độc DNSMessenger.

    lỗ hổng bảo mật 3

    Các nhà nghiên cứu còn cho biết thêm: “Thật thú vị khi mà trường DDEAUTO được tài liệu chứa mã độc nhận về được tin tặc lấy trên máy chủ một website chính phủ của bang Louisiana, có vẻ như website này đã bị tấn công và sử dụng cho mục đích này.”

    Vậy làm thế nào để tự bảo vệ mình?

    Điều đáng lo ngại ở đây đó là Microsoft lại không xem đây như là một vấn đề về bảo mật. Theo họ giao thức DDE là một tính năng không thể gỡ bỏ nhưng họ cũng khẳng định nó có thể được cải thiện với các cảnh báo tốt hơn cho người dùng trong tương lai.

    Mặc dù không có cách nào trực tiếp vô hiệu hóa việc thực thi DDE nhưng người dùng có thể chủ động theo dõi các bản ghi tất cả sự kiện hệ thống (event logs) để kiểm tra khả năng bị tấn công.

    Cách tốt nhất để tự bảo vệ mình khỏi tin tặc là luôn luôn cẩn trọng với bất kỳ tài liệu nào được gửi qua Email và không bao giờ nhấp vào liên kết bên trong các tài liệu đó trừ khi xác minh được các tài liệu đó được gửi từ các nguồn đáng tin cậy.

    Chú thích:

    • Spear Phishing –  Kiểu tấn công lừa đảo nhằm tìm cách chiếm mật khẩu hay các thông tin nhạy cảm của một tổ chức bằng cách dùng thư điện tử giả mà người gửi mạo danh là các nhân vật cấp cao, hay lừa người dùng nhấn vào đường liên kết đến trang web độc hại hoặc tải về máy tính tập tin đã nhiễm độc.
    • Macro là một chuỗi các lệnh mà bạn có thể sử dụng để tự động hóa một tác vụ lặp lại, nó có thể chạy khi bạn cần thực hiện tác vụ đó.

    XEM NHIỀU NHẤT: Các kỹ thuật phân tích tĩnh cơ bản (Phần 1)

    Đánh giá bảo mật đang là một khâu được rất nhiều các tổ chức quan tâm bởi khi đánh giá được tình hình an ninh mạng của công ty sẽ giúp biết được các lỗ hổng an ninh mạng mà các hacker có thể lợi dụng nó để tấn công hệ thống mạng của bạn.

    SECURITYBOX đơn vị an ninh mạng số 1 Việt Nam nơi cung cấp các thiết bị, dịch vụ đánh giá an ninh mạng cho Doanh nghiệp của bạn được bảo vệ một cách an toàn nhất trước sự tấn công của các Hacker.

    Thông tin liên hệ:

    Công ty cổ phần An toàn thông tin MVS – SecurityBox

    Địa chỉ: Tầng 9, Tòa nhà Bạch Dương, Số 459 Đội Cấn, Ba Đình, Hà Nội

    Hotline:  092 711 8899

    Email: [email protected]

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...