Logo Zephyrnet

Lỗi Zero-Day 'Follina' khiến Microsoft Office có nguy cơ bị tấn công

Ngày:

Theo báo cáo, phần mềm độc hại tự tải từ các máy chủ từ xa và bỏ qua máy quét Defender AV của Microsoft.

CẬP NHẬT

Lỗ hổng zero-day trong Microsoft Office cho phép kẻ thù chạy mã độc trên các hệ thống được nhắm mục tiêu thông qua lỗ hổng trong tính năng mẫu Word từ xa.

Cảnh báo đến từ nhà cung cấp bảo mật Nhật Bản Nao Sec, đã tweet một cảnh báo về ngày số 0 vào cuối tuần.

Nhà nghiên cứu bảo mật nổi tiếng Kevin Beaumont gọi lỗ hổng này là “Follina”, giải thích mã 0438 ngày tham chiếu đến mã vùng Follina có trụ sở tại Ý – XNUMX.
Bản tin Người dùng nội bộ Infosec
Beaumont cho biết lỗ hổng này đang lạm dụng tính năng mẫu từ xa trong Microsoft Word và không phụ thuộc vào đường dẫn khai thác dựa trên macro điển hình, thường gặp trong các cuộc tấn công dựa trên Office. Theo Nao Sec, một mẫu lỗi trực tiếp đã được tìm thấy trong mẫu tài liệu Word và liên kết tới địa chỉ giao thức internet (IP) ở Cộng hòa Belarus.

Không rõ liệu lỗi zero-day có bị kẻ thù tích cực lợi dụng hay không. Đã tồn tại một mã chứng minh khái niệm chứng minh rằng các phiên bản Office từ 2003 đến bản dựng hiện tại đều dễ bị tấn công. Trong khi đó, các nhà nghiên cứu bảo mật cho biết người dùng có thể theo dõi Các biện pháp Giảm bề mặt tấn công của Microsoft để giảm thiểu rủi ro, thay cho một bản vá.

Hoạt động của Follina 

Các nhà nghiên cứu của Nao Sec giải thích đường dẫn lây nhiễm bao gồm mẫu độc hại tải mã khai thác thông qua tệp ngôn ngữ đánh dấu siêu văn bản (HTML) từ máy chủ từ xa.

HTML được tải sử dụng lược đồ URI MSProtocol “ms-msdt” để tải và thực thi một đoạn mã PowerShell.

“Nó sử dụng liên kết bên ngoài của Word để tải HTML và sau đó sử dụng lược đồ 'ms-msdt' để thực thi mã PowerShell,” theo báo cáo của Nao Sec.

MSDT là viết tắt của Công cụ chẩn đoán hỗ trợ của Microsoft và thu thập thông tin cũng như báo cáo cho Bộ phận hỗ trợ của Microsoft. Trình hướng dẫn khắc phục sự cố này sẽ phân tích thông tin được thu thập và cố gắng tìm giải pháp cho những trục trặc mà người dùng gặp phải.

Beaumont nhận thấy lỗ hổng này cho phép mã chạy qua MSDT, “ngay cả khi macro bị tắt”.

Beaumont giải thích thêm: “Chế độ xem được bảo vệ sẽ bắt đầu hoạt động, mặc dù nếu bạn thay đổi tài liệu sang dạng RTF, nó sẽ chạy mà không cần mở tài liệu (thông qua tab xem trước trong Explorer), chứ đừng nói đến Chế độ xem được bảo vệ”.

Beaumont xác nhận rằng việc khai thác hiện đang ảnh hưởng đến các phiên bản cũ hơn của Microsoft Office 2013 và 2016 cũng như tính năng phát hiện điểm cuối “không thực thi được” phần mềm độc hại. Nghiên cứu bổ sung cho thấy lỗ hổng này ảnh hưởng đến ngay cả phiên bản mới nhất của Microsoft Office.

Một nhà nghiên cứu bảo mật khác Didier Stevens cho biết anh đã khai thác lỗi Follina trên phiên bản Office 2021 được vá đầy đủ và John Hammond, một nhà nghiên cứu an ninh mạng tweeted bằng chứng thực tế của Follina.

Người dùng Microsoft có giấy phép E5 có thể phát hiện việc khai thác bằng cách gắn thêm truy vấn điểm cuối tới Hậu vệ. Ngoài ra, Warren gợi ý bằng cách sử dụng Quy tắc Giảm bề mặt tấn công (ASR) để chặn các ứng dụng văn phòng khỏi tạo tiến trình con.

(LƯU Ý CỦA BIÊN TẬP: Câu chuyện này đã được cập nhật lúc 5:31 sáng ngày 7/50 để phản ánh rằng các phiên bản Office mới hơn bị ảnh hưởng bởi lỗi này) 

tại chỗ_img

Tin tức mới nhất

tại chỗ_img