Một mã khai thác cho CVE-2023-21716, một lỗ hổng nghiêm trọng (điểm CVSS: 9,8 trên 10) trong Microsoft Word cho phép thực thi mã từ xa, đã được phát hành vào cuối tuần qua.
Microsoft đã khắc phục lỗ hổng trong bản cập nhật Patch Tuesday vào tháng 2 đồng thời đưa ra một số giải pháp thay thế khác để khắc phụ lỗ hổng.
Lỗ hổng nghiêm trọng chủ yếu do độ phức tạp của cuộc tấn công thấp cùng với việc khai thác nó không yêu cầu đặc quyền và sự tương tác của người dùng.
Mã khai thác
Năm ngoái, nhà nghiên cứu bảo mật Joshua Drake đã phát hiện ra lỗ hổng trong “wwlib.dll” của Microsoft Office và báo cáo cho Microsoft kèm theo mã khai thác (PoC) cho thấy khả năng lỗ hổng có thể khai thác được.
Kẻ tấn công có khả năng lợi dụng lỗ hổng để thực thi mã với quyền như nạn nhân mở tài liệu .RTF độc hại. Tệp này có thể được gửi cho nạn nhân thông qua email hoặc bằng nhiều cách khác.
Microsoft lưu ý rằng người dùng không cần phải mở tài liệu RTF độc hại mà chỉ cần tải tệp trong Ngăn xem trước (Preview Pane) là có thể đã bị xâm phạm.
Nhà nghiên cứu giải thích rằng chương trình phân tích cú pháp RTF trong Microsoft Word có một lỗi bộ nhớ (heap corruption) xảy ra “khi xử lý một bảng phông chữ (*\fonttbl*) chứa quá nhiều các phông chữ (*\f###*).” Kẻ đe dọa có thể lợi dụng lỗi này để thực thi mã tùy ý.
PoC từ nhà nghiên cứu cho thấy sự cố hỏng bộ nhớ nhưng không thể khởi chạy được ứng dụng máy tính (Calculator) trong Windows để chứng minh việc thực thi mã.
Hiện tại, không có dấu hiệu nào cho thấy lỗ hổng đang bị khai thác trong thực tế và hiện tại Microsoft nhận định rằng việc lợi dụng vấn đề này là “ít có khả năng xảy ra hơn”.
Các lỗi nghiêm trọng như lỗ hổng này thu hút sự chú ý của các tác nhân đe dọa, một số đối tượng đang cố gắng reverse bản vá lỗi để tìm cách lạm dụng nó.
Thông thường, khi mã khai thác có sẵn, một lượng lớn các đối tượng tấn công sẽ bắt đầu khai thác lỗ hổng.
Không rõ liệu PoC hiện tại của Joshua Drake có thể bị lạm dụng thành một vụ khai thác trên diện rộng hay không vì nó chỉ cho thấy việc khai thác là có thể xảy ra mà không chứng minh được điều đó.
Việc thực thi mã từ xa trong Microsoft Word rất được quan tâm và sẽ cho phép phát tán phần mềm độc hại trên diện rộng qua email.
Một lỗ hổng tương tự trong Microsoft Excel Equation Editor đã được vá từ lâu hiện vẫn còn được sử dụng trong một số chiến dịch tấn công.
Ngay cả khi mã khai thác hoàn chỉnh cho lỗ hổng chưa có sẵn và chỉ là lý thuyết, thì việc cài đặt bản cập nhật bảo mật từ Microsoft vẫn là cách an toàn nhất để giải quyết lỗ hổng và giảm thiểu các nguy cơ bảo mật.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một chủng phần mềm độc hại ATM mới có tên là FiXS được phát hiện đã nhắm mục tiêu vào các ngân hàng Mexico kể từ đầu tháng 2 năm 2023.
Tín nhiệm mạng | LastPass đã tiết lộ thêm thông tin về "cuộc tấn công phối hợp thứ hai", trong đó một tác nhân đe dọa đã truy cập và đánh cắp dữ liệu từ các máy chủ lưu trữ cloud AWS của Amazon trong hơn hai tháng
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện ra những kẻ đứng sau chiến dịch phần mềm quảng cáo và chiếm quyền điều khiển trình duyệt ChromeLoader hiện đang sử dụng các tệp VHD có tên được đặt theo các trò chơi phổ biến.
Tín nhiệm mạng | Ủy ban Thương mại Liên bang Mỹ (FTC) tiết lộ rằng Mỹ đã mất gần 8,8 tỷ đô la vì nhiều loại lừa đảo khác nhau vào năm 2022, tăng hơn 30% so với năm trước.
Tín nhiệm mạng | Apple đã cập nhật các tư vấn bảo mật được phát hành vào tháng trước để bổ sung ba lỗ hổng mới ảnh hưởng đến iOS, iPadOS, và macOS.
Tín nhiệm mạng | Các tác nhân đe dọa đang khai thác sự phổ biến của chatbot ChatGPT của OpenAI để phát tán phần mềm độc hại cho Windows và Android hoặc chuyển hướng mục tiêu đến các trang lừa đảo.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
