Nhóm tình báo Talos của Cisco vừa công bố mã khai thác của lỗ hổng nghiêm trọng trong Microsoft Excel, một công cụ phổ biến để quản lý và phân tích dữ liệu.
Lỗ hổng được theo dõi là CVE-2023-36041 nằm trong quá trình xử lý thuộc tính ElementType trong Microsoft Office Professional Plus 2019 Excel. Lỗ hổng này do Marcin ‘Icewall’ Noga của Cisco Talos phát hiện, có thể cho phép kẻ tấn công thực thi mã tùy ý trên máy mục tiêu.
Để khai thác lỗ hổng này, kẻ tấn công cần lừa người dùng mục tiêu mở bảng tính Excel được tạo đặc biệt. Khi mở tệp độc hại, kẻ tấn công có thể giành quyền kiểm soát hệ thống của người dùng, có khả năng dẫn đến đánh cắp dữ liệu, cài đặt phần mềm độc hại hoặc thậm chí xâm phạm hệ thống.
Microsoft đã cảnh báo rằng việc khai thác thành công lỗ hổng này có thể cấp cho kẻ tấn công các đặc quyền cao, bao gồm khả năng đọc, ghi và xóa dữ liệu trên hệ thống bị ảnh hưởng. Mức độ truy cập này gây ra mối đe dọa đáng kể cho các tổ chức và cá nhân.
Các nhà nghiên cứu của Cisco Talos đã giải thích tính kỹ thuật của lỗ hổng, nêu rõ : “ Do phần tử ElementType không đúng định dạng, cấu trúc liên quan đến HtmlPivotTableInfo sẽ bị hủy phân bổ. ” Việc hủy phân bổ này xảy ra do phần tử ElementType chứa AttributionType không nhất quán với các phần tử phụ ElementType được xác định trong tài liệu định dạng tệp. Với việc chuẩn bị cho vùng heap chiến lược, kẻ tấn công có thể kiểm soát hoàn toàn lỗ hổng này, dẫn đến hỏng bộ nhớ hơn nữa và cuối cùng là thực thi mã tùy ý.
Việc khai thác lỗ hổng này có thể dẫn đến việc xâm phạm thông tin nhạy cảm, tổn thất tài chính và vi phạm nghiêm trọng quyền riêng tư.
Microsoft đã phát hành bản cập nhật bảo mật có địa chỉ CVE-2023-36041. Điều quan trọng đối với tất cả người dùng Microsoft Office Professional Plus 2019 Excel là phải cài đặt bản cập nhật này kịp thời.
Ngoài việc áp dụng các bản vá bảo mật, các tổ chức và cá nhân cũng nên áp dụng các biện pháp an ninh mạng sau đây để tăng cường khả năng bảo vệ trước lỗ hổng này và các lỗ hổng khác:
-
Tránh mở các tệp Excel đáng ngờ, đặc biệt là các tệp nhận được từ các nguồn không xác định.
-
Chỉ kích hoạt macro khi thực sự cần thiết.
-
Sử dụng tường lửa thế hệ tiếp theo và hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS) để giám sát lưu lượng mạng nhằm phát hiện các dấu hiệu hoạt động độc hại.
-
Thường xuyên cập nhật phần mềm và hệ điều hành để giải quyết các lỗ hổng có thể bị kẻ tấn công khai thác.
-
Đào tạo nhận thức về an ninh mạng, bao gồm việc nhận biết các nỗ lực lừa đảo và tránh nhấp vào các liên kết không xác định.