Cảnh báo mã độc tồn tại trong ứng dụng Microsoft Word

0
976

Kẻ tấn công đã khai thác một lỗ hổng chưa được vá trong Microsoft Word trong vài tháng qua nhằm cài đặt phần mềm độc hại vào bên trong chúng.

Báo cáo về vụ tấn công được đưa ra đầu tiên bởi McAfee sau khi các nhà nghiên cứu của công ty phân tích một số tập tin Word đáng ngờ phát hiện ra trước đó. Ghi nhận cho thấy tập tin độc hại này khai thác lỗ hổng ảnh hưởng đến tất cả phiên bản MS Office, bao gồm Office 2016 dành cho Windows 10 mới nhất.

Lỗ hổng này có liên quan đến tính năng Windows Object Linking and Embedding (OLE) trong Microsoft Office, cho phép tài liệu được nhúng các liên kết độc hại bên trong. Khi tài liệu giả mạo được sử dụng trong cuộc tấn công mở ra, chúng sẽ liên lạc với một máy chủ bên ngoài và tải xuống tập tin HTA (HTML Application) có chứa mã VBScript độc hại. Tệp HTA được ngụy trang dưới dạng tài liệu RTF (Rich Text Format) và được thực hiện tự động.

Các nhà nghiên cứu đến từ McAfee giải thích: “Khi tập tin lừa đảo được mở ra, phần mềm độc hại sẽ được lén lút cài đặt vào hệ thống nạn nhân trong nền”.

Bằng cách tìm kiếm lại dữ liệu của mình, McAfee đã theo dõi và phát hiện cuộc tấn công khai thác lỗ hổng này được kẻ gian thực hiện hồi cuối tháng 11 ngăm noái. Theo báo cáo của McAfee, các nhà nghiên cứu về an ninh của FireEye cũng xác nhận họ đã phát hiện được những cuộc tấn công nhằm vào lỗ hổng này.

Theo FireEye, các tài liệu Word độc hại được gửi dưới dạng tập tin đính kèm email. Công ty không cung cấp các ví dụ về các email độc hại vì đây là lỗ hổng zero-day chưa được tiết lộ nên có thể dẫn đến mốt số lượng lớn nạn nhân bị tấn công trong tương lai.

Cả McAfee và FireEye đều lưu ý rằng kẻ gian khai thác lỗ hổng có thể vượt qua hầu hết các biện pháp ngăn ngừa từ Windows. Microsoft dự kiến ​​phát hành bản cập nhật bảo mật hàng tháng vào thứ ba nhưng không rõ liệu nó có bản vá cho lỗ hổng mới phát hiện hay không.

Trong thời gian chờ đợi, người dùng nên thận trọng với các tài liệu nhận được gửi từ các nguồn không đáng tin cậy và nên bật chế độ Office Protected View vì nó có thể chặn cuộc tấn công này.

Quốc Nguyễn

Di Động Việt

ĐĂNG BÌNH LUẬN