🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng zero-day Microsoft Office chưa được vá đã bị khai thác trong các cuộc tấn công vào NATO

12/07/2023

Mới đây, Microsoft đã tiết lộ một lỗ hổng zero-day chưa được vá trong các sản phẩm Windows HTML và Office đã bị tin tặc khai thác để thực thi mã từ xa thông qua các tài liệu Office độc ​​hại.

Những kẻ tấn công chưa được xác thực có thể khai thác lỗ hổng (có định danh CVE-2023-36884) trong các cuộc tấn công mà không yêu cầu người dùng tương tác.

Khai thác thành công có thể cho phép kẻ tấn công truy cập thông tin nhạy cảm, tắt tính năng bảo vệ hệ thống và từ chối truy cập đến hệ thống bị xâm nhập.

Redmond cho biết rằng: "Kẻ tấn công có thể tạo một tài liệu Microsoft Office độc hại cho phép chúng thực hiện thực thi mã từ xa trong ngữ cảnh của nạn nhân. Tuy nhiên, kẻ tấn công cần phải lừa nạn nhân mở tệp độc hại."

Mặc dù lỗ hổng vẫn chưa được giải quyết, Microsoft cho biết họ sẽ cung cấp cho khách hàng các bản vá thông qua bản cập nhật được phát hành hàng tháng hoặc bản cập nhật bảo mật ngoài luồng.

Các biện pháp giảm thiểu

Mặc dù chưa có bản vá cho CVE-2023-36884, Microsoft cho biết khách hàng sử dụng công cụ bảo vệ (Defender) cho Office và những người đã kích hoạt tùy chọn "Chặn tất cả các ứng dụng Office tạo tiến trình con"sẽ được bảo vệ khỏi các cuộc tấn công lừa đảo cố gắng khai thác lỗ hổng.

Những người không sử dụng các biện pháp bảo vệ này có thể thêm các tên ứng dụng sau vào khóa registry HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION như các giá trị của type REG_DWORD với data 1 để ngăn việc khai thác:

- Excel.exe

- Graph.exe

- MSAccess.exe

- MSPub.exe

- PowerPoint.exe

- Visio.exe

- WinProj.exe

- WinWord.exe

- Wordpad.exe

Tuy nhiên, điều quan trọng cần lưu ý là việc cài đặt khóa registry này để chặn các nỗ lực khai thác có thể gây ảnh hưởng đến một số chức năng của Microsoft Office được liên kết với các ứng dụng được liệt kê ở trên.

Người dùng nên triển khai biện pháp giảm thiểu cho lỗ hổng ngay theo hướng dẫn của Microsoft trong khi chờ đợi bản vá được phát hành để giảm thiểu các nguy cơ bị tấn công.

Bị lạm dụng trong các cuộc tấn công Hội nghị thượng đỉnh NATO

Microsoft cho biết CVE-2023-36884 đã bị khai thác trong các cuộc tấn công gần đây nhắm vào các tổ chức tham dự Hội nghị thượng đỉnh NATO ở Vilnius, Litva.

Theo tài liệu trong các báo cáo do Nhóm ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) và các nhà nghiên cứu thuộc nhóm tình báo của BlackBerry công bố, những kẻ tấn công đã sử dụng các tài liệu độc hại mạo danh tổ chức World Congress của Ukraine để lây nhiễm các phần mềm độc hại, bao gồm cả công cụ tải MagicSpell và backdoor RomCom.

Các nhà nghiên cứu bảo mật của BlackBerry cho biết: "Nếu khai thác thành công, nó cho phép kẻ tấn công thực thi mã từ xa (RCE) thông qua việc tạo ra một tài liệu .docx hoặc .rtf độc hại".

Microsoft cho biết chiến dịch mới nhất được phát hiện vào tháng 6 năm 2023 liên quan đến việc lạm dụng CVE-2023-36884 để triển khai một backdoor tương tự như RomCom.

Theo Redmond, RomCom là một nhóm tội phạm mạng có trụ sở tại Nga (còn được gọi là Storm-0978), được biết đến với việc tham gia vào các cuộc tấn công ransomware và tống tiền cùng với các chiến dịch tập trung vào việc đánh cắp thông tin đăng nhập, có khả năng nhằm hỗ trợ các hoạt động tình báo.

Nhóm này trước đây có liên quan đến hoạt động của phần mềm tống tiền Industrial Spy, hiện đã chuyển sang phần mềm tống tiền có tên là Underground [VirusTotal].

Nguồn: bleepingcomputer.com

scrolltop