Mới đây, Microsoft đã tiết lộ một lỗ hổng zero-day chưa được vá trong các sản phẩm Windows HTML và Office đã bị tin tặc khai thác để thực thi mã từ xa thông qua các tài liệu Office độc hại.
Những kẻ tấn công chưa được xác thực có thể khai thác lỗ hổng (có định danh CVE-2023-36884) trong các cuộc tấn công mà không yêu cầu người dùng tương tác.
Khai thác thành công có thể cho phép kẻ tấn công truy cập thông tin nhạy cảm, tắt tính năng bảo vệ hệ thống và từ chối truy cập đến hệ thống bị xâm nhập.
Redmond cho biết rằng: "Kẻ tấn công có thể tạo một tài liệu Microsoft Office độc hại cho phép chúng thực hiện thực thi mã từ xa trong ngữ cảnh của nạn nhân. Tuy nhiên, kẻ tấn công cần phải lừa nạn nhân mở tệp độc hại."
Mặc dù lỗ hổng vẫn chưa được giải quyết, Microsoft cho biết họ sẽ cung cấp cho khách hàng các bản vá thông qua bản cập nhật được phát hành hàng tháng hoặc bản cập nhật bảo mật ngoài luồng.
Các biện pháp giảm thiểu
Mặc dù chưa có bản vá cho CVE-2023-36884, Microsoft cho biết khách hàng sử dụng công cụ bảo vệ (Defender) cho Office và những người đã kích hoạt tùy chọn "Chặn tất cả các ứng dụng Office tạo tiến trình con"sẽ được bảo vệ khỏi các cuộc tấn công lừa đảo cố gắng khai thác lỗ hổng.
Những người không sử dụng các biện pháp bảo vệ này có thể thêm các tên ứng dụng sau vào khóa registry HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION như các giá trị của type REG_DWORD với data 1 để ngăn việc khai thác:
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
Tuy nhiên, điều quan trọng cần lưu ý là việc cài đặt khóa registry này để chặn các nỗ lực khai thác có thể gây ảnh hưởng đến một số chức năng của Microsoft Office được liên kết với các ứng dụng được liệt kê ở trên.
Người dùng nên triển khai biện pháp giảm thiểu cho lỗ hổng ngay theo hướng dẫn của Microsoft trong khi chờ đợi bản vá được phát hành để giảm thiểu các nguy cơ bị tấn công.
Bị lạm dụng trong các cuộc tấn công Hội nghị thượng đỉnh NATO
Microsoft cho biết CVE-2023-36884 đã bị khai thác trong các cuộc tấn công gần đây nhắm vào các tổ chức tham dự Hội nghị thượng đỉnh NATO ở Vilnius, Litva.
Theo tài liệu trong các báo cáo do Nhóm ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) và các nhà nghiên cứu thuộc nhóm tình báo của BlackBerry công bố, những kẻ tấn công đã sử dụng các tài liệu độc hại mạo danh tổ chức World Congress của Ukraine để lây nhiễm các phần mềm độc hại, bao gồm cả công cụ tải MagicSpell và backdoor RomCom.
Các nhà nghiên cứu bảo mật của BlackBerry cho biết: "Nếu khai thác thành công, nó cho phép kẻ tấn công thực thi mã từ xa (RCE) thông qua việc tạo ra một tài liệu .docx hoặc .rtf độc hại".
Microsoft cho biết chiến dịch mới nhất được phát hiện vào tháng 6 năm 2023 liên quan đến việc lạm dụng CVE-2023-36884 để triển khai một backdoor tương tự như RomCom.
Theo Redmond, RomCom là một nhóm tội phạm mạng có trụ sở tại Nga (còn được gọi là Storm-0978), được biết đến với việc tham gia vào các cuộc tấn công ransomware và tống tiền cùng với các chiến dịch tập trung vào việc đánh cắp thông tin đăng nhập, có khả năng nhằm hỗ trợ các hoạt động tình báo.
Nhóm này trước đây có liên quan đến hoạt động của phần mềm tống tiền Industrial Spy, hiện đã chuyển sang phần mềm tống tiền có tên là Underground [VirusTotal].
Nguồn: bleepingcomputer.com
Tín nhiệm mạng | Microsoft phát hành bản cập nhật bảo mật hàng tháng Patch Tuesday tháng 7 năm 2023 cho 132 lỗ hổng, bao gồm 6 lỗ hổng đã bị khai thác trong các cuộc tấn công và 37 lỗ hổng thực thi mã từ xa.
Tín nhiệm mạng | VMware đang cảnh báo khách hàng rằng mã khai thác cho một lỗ hổng nghiêm trọng trong VMware Aria Operations for Logs, công cụ phân tích giúp quản trị viên quản lý log của cơ sở hạ tầng và ứng dụng trong môi trường quy mô lớn, hiện đã có sẵn.
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật khẩn cấp (RSR) để giải quyết một lỗi zero-day mới (CVE-2023-37450) đang bị khai thác trong các cuộc tấn công và ảnh hưởng đến iPhone, Mac và iPad đã được cập nhật đầy đủ bản vá.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phân tích một chủng ransomware mới xuất hiện gần đây có tên là 'Big Head'. Chủng này có thể được lây lan thông qua các quảng cáo độc hại để phát tán các bản cập nhật Windows và chương trình cài đặt Microsoft Word giả mạo.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện ra hai ứng dụng quản lý tệp độc hại trên Google Play với tổng số lượt cài đặt đến hơn 1,5 triệu lượt đã thu thập nhiều dữ liệu [của người dùng] không cần thiết cho các chức năng như đã mô tả.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện một công cụ đánh cắp thông tin dựa trên Windows mới có tên ‘Meduza Stealer’ vẫn đang được phát triển để nâng cao khả năng che dấu, tránh bị phát hiện, trước các giải pháp phần mềm.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
