Thông thường, khi ai đó phát hiện ra một khai thác cho một chương trình, một hotfix sẽ được phát hành để vá nó. Vòng đời này mang lại cho những lần khai thác này một khoảng thời gian tương đối ngắn giữa việc phát hiện ra nó và sửa chữa nó. Do đó, rất bất thường khi một lỗi cũ của một chương trình nổi tiếng vẫn tiếp tục được thực hiện, đặc biệt là sau khi một bản vá được phát hành để khắc phục.
Đây là lý do tại sao đáng chú ý là việc khai thác cũ của Microsoft Office vẫn đang lan truyền trên Internet. Nó thậm chí còn trở thành cuộc tấn công phổ biến thứ ba trong năm 2018. Vấn đề là, việc khai thác này đã được khắc phục vào năm 2017 và nó vẫn đang gây thiệt hại cho đến ngày nay!
Khai thác là gì?
Khai thác có cái tên hơi khó nói "CVE-2017-11882." Nó đã khai thác một phần của Office không xử lý chính xác bộ nhớ được cấp cho nó; Sử dụng cách khai thác này, tin tặc có thể buộc Office chạy mã. Thậm chí tệ hơn, nếu nạn nhân có quyền quản trị, thì việc khai thác có thể được sử dụng để kiểm soát chính máy tính đó.
Đối với việc khai thác để tấn công bản sao của Office, tin tặc cần thuyết phục người dùng mở một tệp bị nhiễm trong Word. Điều này có nghĩa là việc khai thác lây lan tốt nhất thông qua các trò gian lận khiến người dùng đủ tò mò để mở tệp văn bản bị nhiễm. Tin tặc có thể thiết lập các trang web giả mạo có chứa tài liệu và cho rằng đó là tài liệu quan trọng hoặc gửi email yêu cầu người dùng tải xuống tệp - thường bằng cách tuyên bố bắt buộc phải đọc ngay bây giờ.
Chiến dịch Khai thác Mới hoạt động như thế nào?
Một chiến dịch phần mềm độc hại đang hoạt động sử dụng email bằng các ngôn ngữ Châu Âu phân phối các tệp RTF thực hiện khai thác CVE-2017-11882, cho phép những kẻ tấn công tự động chạy mã độc hại mà không yêu cầu sự tương tác của người dùng. pic.twitter.com/Ac6dYG9vvw
- Microsoft Security Intelligence (@MsftSecIntel) ngày 7 tháng 6 năm 2019
Làn sóng tấn công mới này cho thấy các email được gửi đi bằng ngôn ngữ châu Âu, có đính kèm tệp RTF. Nếu người dùng tải xuống và mở tệp, tệp sẽ thực thi mã tải xuống và chạy các tập lệnh. Các tập lệnh này mở một cửa hậu bên trong Office, sau đó mở ra một kết nối với trung tâm chỉ huy.
Tại sao nó trở lại?
Về lý do tại sao những kẻ tấn công lặp lại một cách khai thác đã được “sửa chữa” vào năm 2017, không rõ điều gì đã tạo cảm hứng cho làn sóng tấn công cụ thể này. Có thể là do các cuộc tấn công kiểu này vẫn diễn ra thành công sau hai năm kể từ ngày phát hành bản sửa lỗi, và đó là một "đặt cược an toàn" cho các tin tặc nhắm mục tiêu.
“Lỗ hổng CVE-2017-11882 đã được sửa vào năm 2017, nhưng cho đến ngày nay, chúng tôi vẫn quan sát thấy việc khai thác trong các cuộc tấn công,” Microsoft cho biết trên tài khoản Twitter của họ. “Đáng chú ý, chúng tôi đã thấy hoạt động gia tăng trong vài tuần qua. Chúng tôi thực sự khuyên bạn nên áp dụng các bản cập nhật bảo mật. ”
Cách sửa lỗi khai thác
Như tweet ở trên đã đề cập, bản sửa lỗi đã có sẵn trong nhiều năm. Rất tiếc, bản sửa lỗi này vẫn chưa được triển khai đầy đủ, kể cả cho đến ngày nay. Có khả năng xảy ra tranh luận về việc liệu đây có phải là lỗi của Microsoft khi không phân phối bản sửa lỗi “đúng cách” hay do người dùng bỏ qua bản cập nhật đã sẵn sàng được hai năm này. Nhưng tất cả những gì quan trọng bây giờ là bạn nên cập nhật phần mềm Office của mình ngay lập tức.
Để thực hiện việc này, hãy mở một ứng dụng Office như Word. Trên menu trên cùng, hãy nhấp vào “Trợ giúp”, sau đó nhấp vào “Kiểm tra các bản cập nhật”. Sau đó, Office sẽ tìm kiếm và tải xuống mọi bản cập nhật bị thiếu, bao gồm cả bản sửa lỗi cho sự cố trên nếu bạn chưa có.
Những bản hack cũ chết điếng
Làn sóng tấn công dựa trên Office gần đây là một điều kỳ lạ, vì nó là một vấn đề mà “lẽ ra” phải biến mất cách đây hai năm. Nếu bạn không thể nhớ lần cuối cùng bạn cập nhật Office, hãy kiểm tra nhanh để đảm bảo rằng bạn có bản vá.
Cách tốt nhất để ngăn những khai thác cũ này lặp lại trong phần mềm là gì? Hãy cho chúng tôi biết bên dưới.