Lỗ hổng zero-day trong Microsoft Office và DNS

08:00 | 19/10/2017 | LỖ HỔNG ATTT

Microsoft mới phát hành bản cập nhật Patch Tuesday tháng 10, vá các lỗ hổng trong mọi phiên bản Windows, cũng như Edge, IE, Skype cho Doanh nghiệp và Office. Trong đó, người dùng cần đặc biệt chú ý tới lỗ hổng zero-day trong Office và DNS.

Lỗ hổng zero-day trong Office có tên CVE-2017-11826, xuất hiện do phần mềm không xử lý chuẩn các đối tượng trong bộ nhớ. Để khai thác, tin tặc thực hiện tấn công phishing lừa người dùng mở tệp tin độc hại. Lỗ hổng ảnh hưởng đến mọi phiên bản của Microsoft Office và đã được sử dụng trong các cuộc tấn công thực tế.

Lỗ hổng thực thi mã từ xa trong dịch vụ phân giải tên miền (DNS), có thể cho phép tin tặc kiểm soát hoàn toàn máy tính hoặc máy chủ mục tiêu, từ đó truy cập vào hệ thống của người dùng. Lỗ hổng ảnh hưởng đến các máy tính chạy Windows 8.1, Windows 10, Windows Server 2012 đến 2016.

Lỗ hổng zero-day trong Office

Lỗ hổng này tồn tại trong Microsoft Office khi phần mềm không thể xử lý các đối tượng trong bộ nhớ. Khai thác thành công lỗ hổng, tin tặc có thể chạy mã tùy ý với vai trò người dùng hiện tại. Nếu người dùng đăng nhập với quyền quản trị, tin tặc có thể kiểm soát hệ thống bị ảnh hưởng, sau đó cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với quyền người dùng đầy đủ. Người dùng được cấu hình với ít quyền trên hệ thống sẽ ít bị ảnh hưởng hơn người dùng có quyền quản trị.

Khai thác lỗ hổng đòi hòi người dùng phải mở một tệp tin đặc biệt bằng phiên bản Office có lỗ hổng. Trong trường hợp sử dụng email, tin tặc có thể khai thác lỗ hổng bằng cách gửi tệp tin tự tạo đến người dùng và thuyết phục người dùng mở tệp tin. Trong một cuộc tấn công web, tin tặc có thể kiểm soát một trang web hoặc lợi dụng một trang web bị phá hoại có chứa tệp tin tự tạo được thiết kế để khai thác lỗ hổng. Tin tặc không có cách nào lừa người dùng truy cập trang web. Thay vào đó, tin tặc phải thuyết phục người dùng kích chuột vào một đường dẫn, sau đó thuyết phục họ mở tệp tin tự tạo.

Để tránh nguy cơ bị tấn công, người dùng cần cập nhật bản mới nhất của Microsoft Office.

Sản phẩm/Phiên bản và Link cập nhật

Microsoft Office Compatibility Pack Service Pack 3 (Security Update)

Microsoft Office Online Server 2016 (Security Update)

Microsoft Office Web Apps Server 2010 Service Pack 2 (Security Update)

Microsoft Office Web Apps Server 2013 Service Pack 1 (Security Update)

Microsoft Office Word Viewer (Security Update)

Microsoft SharePoint Enterprise Server 2016 (Security Update)

Microsoft Word 2007 Service Pack 3 (Security Update)

Microsoft Word 2010 Service Pack 2 (32-bit editions) (Security Update/Security Update)

Microsoft Word 2010 Service Pack 2 (64-bit editions) (Security Update/Security Update)

Microsoft Word 2013 RT Service Pack 1 (Security Update)

Microsoft Word 2013 Service Pack 1 (32-bit editions) (Security Update)

Microsoft Word 2013 Service Pack 1 (64-bit editions) (Security Update)

Microsoft Word 2016 (32-bit edition) (Security Update)

Microsoft Word 2016 (64-bit edition) (Security Update)

Word Automation Services

Platform: Microsoft SharePoint Server 2013 Service Pack 1 (Security Update)

Word Automation Services

Platform: Microsoft SharePoint Server 2010 Service Pack 2 (Security Update)

Lỗ hổng zero-day trong Microsoft Office và DNS

Lỗ hổng trong DNS

Lỗ hổng thực thi mã từ xa tồn tại trong DNSAPI của Windows DNS khi xử lý các gói tin DNS. Lỗ hổng cho phép tin tặc giành quyền thực thi mã tùy ý trên máy nạn nhân.

Để khai thác lỗ hổng, tin tặc cần nằm trong cùng một mạng với máy mục tiêu, sau đó thực hiện tấn công MitM để can thiệp vào các truy vấn DNS từ máy nạn nhân. Các truy vấn DNS có thể là bất cứ điều gì từ duyệt web, kiểm tra email, hoặc thậm chí là khi máy tính đang tìm kiếm các cập nhật. Sau đó tin tặc phản hồi với các dữ liệu độc hại làm lỗi bộ nhớ của máy khách DNS, cho phép tin tặc kiểm soát luồng DNS và cuối cùng là kiểm soát máy nạn nhân.

Để tránh bị tấn công, ngoài cài đặt các bản vá, người dùng nên tránh xa các mạng wifi công cộng, hoặc sử dụng VPN khi kết nối đến wifi công cộng.

Sản phẩm/Phiên bản và Link cập nhật

Windows 10 for 32-bit Systems (Security Update)

Windows 10 for x64-based Systems (Security Update)

Windows 10 Version 1511 for 32-bit Systems (Security Update)

Windows 10 Version 1511 for x64-based Systems (Security Update)

Windows 10 Version 1607 for 32-bit Systems (Security Update)

Windows 10 Version 1607 for x64-based Systems (Security Update)

Windows 10 Version 1703 for 32-bit Systems (Security Update)

Windows 10 Version 1703 for x64-based Systems (Security Update)

Windows 8.1 for 32-bit systems (Monthly Rollup/Security Only)

Windows 8.1 for x64-based systems (Monthly Rollup/Security Only)

Windows RT 8.1 (Monthly Rollup)

Windows Server 2012 (Monthly Rollup/Security Only)

Windows Server 2012 (Server Core installation) (Monthly Rollup/Security Only)

Windows Server 2012 R2 (Monthly Rollup/Security Only)

Windows Server 2012 R2 (Server Core installation) (Monthly Rollup/Security Only)

Windows Server 2016 (Security Update)

Windows Server 2016 (Server Core installation) (Security Update)

Hồng Loan

(Theo Whitehat)

‹ › ×

Tin liên quan

Hơn 30 ứng dụng email client có lỗ hổng cho phép gửi thư giả danh

14:00 | 25/12/2017

Nhà nghiên cứu an ninh Sabri Haddouche (người Đức) đã phát hiện một lỗ hổng trong 30 ứng dụng email client phổ biến, cho phép bất kỳ ai cũng có thể gửi thư giả danh, qua mặt được các cơ chế kiểm soát.

Tấn công DNS nhắm vào các tổ chức tài chính tại Brazil

15:00 | 28/08/2018

Các nhà nghiên cứu của công ty an toàn mạng Radware (Israel) cho biết, tin tặc đang nhắm mục tiêu là các bộ định tuyến DSL của D-Link ở Brazil để chuyển hướng người dùng đến các trang web ngân hàng giả mạo bằng cách thay đổi các thiết lập DNS. Từ đó, chúng đánh cắp thông tin đăng nhập tài khoản ngân hàng của người dùng.

Người dùng cần duy trì chế độ Protected View của Microsoft Office

09:00 | 02/07/2019

Chế độ “Xem an toàn” (Protected View) được tích hợp trong phần mềm Microsoft Office từ phiên bản 2010 giúp bảo vệ người dùng khỏi các rủi ro an toàn thông tin như lây nhiễm mã độc hại.

Lỗ hổng zero day jQuery File Upload

08:00 | 25/10/2018

Lỗ hổng zero day là một thuật ngữ để chỉ những lỗ hổng chưa được công bố hoặc chưa được khắc phục. Lợi dụng những lỗ hổng này, tin tặc có thể xâm nhập được vào hệ thống máy tính của các tổ chức, doanh nghiệp để đánh cắp hoặc thay đổi dữ liệu.

Microsoft phát hành bản vá khắc phục 19 lỗ hổng quan trọng

09:00 | 22/12/2017

Bản cập nhật Patch Tuesday tháng 12 của Microsoft giải quyết hơn 30 lỗ hổng, trong đó có 19 lỗ hổng quan trọng ảnh hưởng đến trình duyệt Internet Explorer và Edge.

Microsoft chính thức phát hành bản vá Meltdown và Spectre cho Windows Phone

14:00 | 12/01/2018

Microsoft vừa phát hành một bản vá lỗ hổng bảo mật Meltdown và Spectre mới dành cho các thiết bị đang chạy Windows 10 Mobile.

Phát hiện lỗ hổng zero-day trên Windows

08:00 | 26/03/2019

Hãng bảo mật Kaspersky vừa phát hiện một lỗ hổng mới trên hệ điều hành Windows của Microsoft, được ghi nhận đã bị khai thác trong thực tế. Đáng kể đến là cuộc tấn công của nhóm tin tặc SandCat.

Ứng dụng Microsoft Office dính lỗ hổng nghiêm trọng

10:00 | 21/08/2020

Mới đây, cựu tin tặc Patrick Wardle (NSA) đã phát hiện một lỗ hổng nghiêm trọng bên trong ứng dụng Microsoft Office, cho phép tin tặc có thể chiếm quyền kiểm soát toàn bộ máy Mac.

Tin cùng chuyên mục

Tội phạm mạng sử dụng AI để phát tán phần mềm độc hại trong các chiến dịch lừa đảo trên mạng xã hội

10:00 | 22/04/2024

Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.

Lỗ hổng trong camera của Wyze cho phép người dùng có thể xem video từ các ngôi nhà khác

10:00 | 04/03/2024

Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.

Lỗ hổng LogoFAIL có thể ảnh hưởng đến phần lớn các máy tính

16:00 | 18/12/2023

Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.