Lỗ hổng zero-day của Microsoft Office cho phép thực thi mã từ xa đang bị khai thác tích cực

Những kẻ tấn công tận dụng ActiveX để lây nhiễm phần mềm độc hại vào hệ thống

 Microsoft đã nhận được báo cáo về lỗ hổng thực thi mã từ xa (RCE) (CVE-2021-40444)

mà tin tặc đang tích cực khai thác. Cuộc tấn công sử dụng các tệp Microsoft Office được

chế tạo độc hại để mở điều khiển ActiveX bằng công cụ kết xuất trình duyệt MSHTML. Các

hệ thống dễ bị tấn công bao gồm Windows Server 2008 đến 2019 và Windows 7 đến 10.

 

Expmon, một trong số các công ty bảo mật đã báo cáo về việc khai thác zero-day, nói với

BleepingComputer rằng phương pháp tấn công là đáng tin cậy 100% khiến nó rất nguy hiểm. 

Khi người dùng mở tài liệu, nó sẽ tải phần mềm độc hại từ một nguồn từ xa. Expmon đã tweet

rằng người dùng không nên mở bất kỳ tài liệu Office nào trừ khi chúng đến từ một nguồn hoàn

toàn đáng tin cậy.

Tệp mà Expmon phát hiện là tài liệu Word (.docx), nhưng Microsoft không chỉ ra rằng việc khai thác

chỉ giới hạn ở tệp Word. Bất kỳ tài liệu nào có thể gọi trên MSHTML đều là một vectơ tiềm năng. Microsoft

chưa có bản sửa lỗi cho lỗ hổng bảo mật, nhưng nó liệt kê một số phương pháp giảm thiểu trong báo

cáo lỗi.

 

Ngoài việc thận trọng khi mở tài liệu Office, việc chạy Microsoft Office ở cấu hình mặc định sẽ mở tệp ở

chế độ Chế độ xem được bảo vệ, điều này giúp giảm thiểu cuộc tấn công (Bảo vệ ứng dụng trong Office

360).

 

 Ngoài ra, Microsoft Defender Antivirus và Defender cho Endpoint ngăn việc khai thác thực thi.

Microsoft cũng nói rằng người dùng có thể tắt cài đặt tất cả các điều khiển ActiveX trong Internet Explorer.

 Cách giải quyết này yêu cầu tệp đăng ký (.reg) mà người dùng có thể tìm thấy trong báo cáo lỗi. Việc thực

thi tệp REG sẽ chuyển các mục mới vào sổ đăng ký Windows. Cần phải khởi động lại để cài đặt có hiệu lực.

 

 

 

Nhật Đức | Theo : TechSpot.com