🔥 Liên minh Hợp tác xã tỉnh Cao Bằng đã đăng ký tín nhiệm. 🔥                    🔥 Báo Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Kiểm soát bệnh tật tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Văn hóa- Điện ảnh thành phố Đà Nẵng đã đăng ký tín nhiệm. 🔥                    🔥 Sở Du lịch thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                   

Mã khai thác cho lỗ hổng Microsoft Word RCE nghiêm trọng đã được phát hành

07/03/2023

Một mã khai thác cho CVE-2023-21716, một lỗ hổng nghiêm trọng (điểm CVSS: 9,8 trên 10) trong Microsoft Word cho phép thực thi mã từ xa, đã được phát hành vào cuối tuần qua.

Microsoft đã khắc phục lỗ hổng trong bản cập nhật Patch Tuesday vào tháng 2 đồng thời đưa ra một số giải pháp thay thế khác để khắc phụ lỗ hổng.

Lỗ hổng nghiêm trọng chủ yếu do độ phức tạp của cuộc tấn công thấp cùng với việc khai thác nó không yêu cầu đặc quyền và sự tương tác của người dùng.

Mã khai thác

Năm ngoái, nhà nghiên cứu bảo mật Joshua Drake đã phát hiện ra lỗ hổng trong “wwlib.dll” của Microsoft Office và báo cáo cho Microsoft kèm theo mã khai thác (PoC) cho thấy khả năng lỗ hổng có thể khai thác được.

Kẻ tấn công có khả năng lợi dụng lỗ hổng để thực thi mã với quyền như nạn nhân mở tài liệu .RTF độc hại. Tệp này có thể được gửi cho nạn nhân thông qua email hoặc bằng nhiều cách khác.

Microsoft lưu ý rằng người dùng không cần phải mở tài liệu RTF độc hại mà chỉ cần tải tệp trong Ngăn xem trước (Preview Pane) là có thể đã bị xâm phạm.

Nhà nghiên cứu giải thích rằng chương trình phân tích cú pháp RTF trong Microsoft Word có một lỗi bộ nhớ (heap corruption) xảy ra “khi xử lý một bảng phông chữ (*\fonttbl*) chứa quá nhiều các phông chữ (*\f###*).” Kẻ đe dọa có thể lợi dụng lỗi này để thực thi mã tùy ý.

PoC từ nhà nghiên cứu cho thấy sự cố hỏng bộ nhớ nhưng không thể khởi chạy được ứng dụng máy tính (Calculator) trong Windows để chứng minh việc thực thi mã.

Hiện tại, không có dấu hiệu nào cho thấy lỗ hổng đang bị khai thác trong thực tế và hiện tại Microsoft nhận định rằng việc lợi dụng vấn đề này là “ít có khả năng xảy ra hơn”.

Các lỗi nghiêm trọng như lỗ hổng này thu hút sự chú ý của các tác nhân đe dọa, một số đối tượng đang cố gắng reverse bản vá lỗi để tìm cách lạm dụng nó.

Thông thường, khi mã khai thác có sẵn, một lượng lớn các đối tượng tấn công sẽ bắt đầu khai thác lỗ hổng.

Không rõ liệu PoC hiện tại của Joshua Drake có thể bị lạm dụng thành một vụ khai thác trên diện rộng hay không vì nó chỉ cho thấy việc khai thác là có thể xảy ra mà không chứng minh được điều đó.

Việc thực thi mã từ xa trong Microsoft Word rất được quan tâm và sẽ cho phép phát tán phần mềm độc hại trên diện rộng qua email.

Một lỗ hổng tương tự trong Microsoft Excel Equation Editor đã được vá từ lâu hiện vẫn còn được sử dụng trong một số chiến dịch tấn công.

Ngay cả khi mã khai thác hoàn chỉnh cho lỗ hổng chưa có sẵn và chỉ là lý thuyết, thì việc cài đặt bản cập nhật bảo mật từ Microsoft vẫn là cách an toàn nhất để giải quyết lỗ hổng và giảm thiểu các nguy cơ bảo mật.

Nguồn: bleepingcomputer.com.

scrolltop