Vào hôm qua (07/09/2021), Microsoft cảnh báo về một lỗ hổng zero-day bị khai thác bởi tin tặc một cách tích cực đã ảnh hưởng đến trình duyệt web Internet Explorer đang được sử dụng để chiếm quyền điều khiển các hệ thống Windows bảo mật kém bằng cách tận dụng các tệp tài liệu Office làm công cụ tấn công.
Lỗ hổng được xác định với ký hiệu CVE-2021-40444 (điểm CVSS: 8,8), lỗi thực thi mã độc từ xa bắt nguồn từ MSHTML (hay còn gọi là Trident), một công cụ trình duyệt độc quyền cho Internet Explorer hiện đã ngừng hoạt động và hiện được sử dụng trong Office để hiển thị nội dung website bên trong tệp tài liệu Word, Excel và PowerPoint.
"Microsoft đang điều tra các báo cáo về một lỗ hổng thực thi mã độc từ xa trong MSHTML, thứ đang làm ảnh hưởng đến Microsoft Windows. Microsoft đã biết về các cuộc tấn công có chủ đích nhằm khai thác lỗ hổng này bằng cách sử dụng các tài liệu Microsoft Office được chỉnh sửa theo cách đặc biệt", công ty này cho biết.
"Kẻ tấn công có thể tạo ra một điều khiển ActiveX độc hại để được thực thi bởi tài liệu Microsoft Office, thứ đang lưu trữ công cụ kết xuất trình duyệt. Sau đó, tin tặc sẽ thuyết phục người dùng mở tệp tài liệu độc hại. Người dùng có tài khoản được định cấu hình để có ít quyền người dùng hơn hệ thống có thể ít bị ảnh hưởng hơn so với những người dùng hoạt động với quyền của người dùng quản trị, " công ty cũng nói thêm.
"Cha đẻ" của Windows đã ghi công các nhà nghiên cứu đến từ EXPMON và Mandiant vì đã báo cáo lỗ hổng, mặc dù công ty không tiết lộ chi tiết cụ thể bổ sung về bản chất của các cuộc tấn công, danh tính của những đối thủ lợi dụng zero-day này hoặc các mục tiêu của họ.
EXPMON, trong một tweet, lưu ý rằng họ đã tìm thấy lỗ hổng sau khi phát hiện một "cuộc tấn công zero-day cực kỳ tinh vi" nhằm vào người dùng Microsoft Office, và họ đã gửi phát hiện của mình cho Microsoft vào chủ nhật tuần trước. Các nhà nghiên cứu EXPMON cho biết rằng: “Việc khai thác này sử dụng các lỗ hổng logic nên lỗ hổng 0-day hoàn toàn chính xác (và cũng rất nguy hiểm)".
Tuy nhiên, cuộc tấn công hiện tại có thể sẽ bị dập tắt nếu Microsoft Office được chạy với cấu hình mặc định, nghĩa là các tài liệu tải xuống từ web được mở trong chế độ xem được bảo vệ (Protected View) hoặc Trình bảo vệ ứng dụng cho Office, được thiết kế để ngăn các tệp không đáng tin cậy truy cập tài nguyên quan trọng của hệ thống.
Microsoft, sau khi hoàn tất cuộc điều tra, dự kiến sẽ phát hành bản cập nhật bảo mật như một phần của chu kỳ phát hành bản vá thứ ba hàng tháng hoặc phát hành bản vá riêng biệt "tùy thuộc vào nhu cầu của khách hàng." Tạm thời, Microsoft đang kêu gọi người dùng và tổ chức vô hiệu hóa tất cả ActiveX trong Internet Explorer để giảm thiểu bất kỳ cuộc tấn công tiềm tàng nào.
Xem thêm:
Tiền Minh Vy
Theo The Hacker News
