Cách đây vài ngày, nhà nghiên cứu bảo mật có tên “nao_sec” đã phát hiện một tài liệu Word bị lợi dụng để khai thác lỗ hổng zero-day trong Microsoft Office cho phép thực thi mã tùy ý khi mở file.
Phần mềm độc hại này, được tải từ Belarus sang nền tảng VirusTotal , đã được phân tích bởi chuyên gia Kevin Beaumont, người báo cáo rằng tài liệu này sử dụng chức năng link của Word để truy xuất tệp HTML từ máy chủ web từ xa sử dụng MSProtocol ms-msdt để tải mã và thực thi PowerShell.
Beaumont đề cập rằng bất kể macro có bị vô hiệu hóa trên hệ thống mục tiêu hay không thì code vẫn có thể thực thi, chưa kể đến việc Microsoft Defender dường như không thể ngăn chặn cuộc tấn công: “Mặc dù chế độ xem được bảo vệ được kích hoạt nếu thay đổi tài liệu sang định dạng RTF, code vẫn thực thi mà thậm chí không cần mở tài liệu. ”
Lỗ hổng này được đặt tên là “Follina”, như một phần mở đầu cho tệp độc hại liên quan đến 0438, mã vùng của một thị trấn nhỏ ở Ý. Nhà nghiên cứu và các thành viên khác của cộng đồng an ninh mạng đã xác nhận rằng cách khai thác cho phép mã từ xa chạy trên một số phiên bản Windows và Office, bao gồm Office Pro Plus , Office 2013 , Office 2016 và Office 2021
Lỗ hổng dường như không ảnh hưởng đến các phiên bản Office gần đây và các phiên bản Windows Insider, Microsoft đã và đang làm việc để giải quyết vấn đề này.
Một nhóm tấn công đã lưu trữ một miền web trên Namecheap để sử dụng làm máy chủ C&C; công ty lưu trữ nhanh chóng đóng cửa trang web này. Cộng đồng an ninh mạng đã đề xuất một số cơ chế giảm thiểu, do đó, một làn sóng khai thác lỗ hổng rất khó xảy ra.
Theo https://www.securitynewspaper.com/