Khi chế độ này được kích hoạt, Office sẽ mở các tệp ở chế độ chỉ đọc, vô hiệu hóa các macro và nội dung ngoài. Thực tế, việc bỏ qua chế độ xem an toàn để soạn thảo tài liệu là khá đơn giản, bởi phần lớn người dùng không thực sự đánh giá đúng lợi ích của chế độ này. Có rất nhiều hướng dẫn tắt hẳn chế độ xem an toàn, tuy nhiên đây là hành động dễ dàng đưa người dùng vào nguy cơ lây nhiễm mã độc. Bài viết này sẽ giới thiệu một số kịch bản tấn công đơn giản khi không có chế độ xem an toàn.
Một số kịch bản tấn công
Kịch bản thứ nhất
Tại kịch bản này, tin tặc chèn liên kết thay cho hình ảnh vào một văn bản Word được gửi qua thư điện tử. Hành động này có mục đích theo dõi khách hàng nào đã nhận thư quảng cáo nếu mail client vô hiệu hóa thủ thuật theo dõi thư. URL trỏ tới hình ảnh sẽ có một mã định danh để nhận biết khách hàng nào đọc văn bản quảng cáo. Khi phần mềm Word mở một văn bản ở chế độ xem an toàn, nó sẽ chỉ hiển thị những nội dung chứa trong văn bản đó chứ không tải từ bên ngoài. Điều này có thể khiến cho văn bản không hiển thị đầy đủ, dù hình ảnh lấy từ bên ngoài chỉ là một chấm nhỏ.
Khi người dùng nhấn nút “Enable Editing”, tức là đã tin tưởng vào văn bản và bắt đầu tải tất cả các tài nguyên bên ngoài để hiển thị đầy đủ văn bản. Đây chính là lúc cuộc tấn công thành công.
Việc chuẩn bị cho cuộc tấn công theo kịch bản này khá đơn giản. Thay vì chèn một bức ảnh bình thường, kẻ tấn công chỉ cần nhập một địa chỉ liên kết vào File name rồi chọn Link to File thay vì Insert.
Hơn nữa, khi Word truy cập máy chủ của kẻ tấn công để lấy hình ảnh, hắn sẽ biết được cả địa chỉ IP của nạn nhân và chuỗi “user-agent” bao gồm phiên bản của hệ điều hành, Office và Internet Explorer. Những thông tin đó có thể được dùng cho các cuộc tấn công sau này, chứ không chỉ đơn giản là tiết lộ thông tin một khách hàng đã xem quảng cáo.
Kịch bản thứ hai
Kịch bản này cũng thực hiện theo dõi khách hàng, nhưng có thể được thực hiện theo một cách khó nhận biết hơn. Khi kẻ tấn công dùng một mẫu văn bản (Word template) từ xa, người đọc sẽ không phát hiện các dấu hiệu dễ nhận thấy trong văn bản.
Kịch bản thứ ba
Kịch bản này giống như kịch bản thứ nhất là dùng liên kết trỏ tới máy chủ bên ngoài thay cho một hình ảnh bình thường, nhưng lại có thể giúp kẻ tấn công đánh cắp mật khẩu đăng nhập Windows của người đọc. Điểm khác biệt đó là thay vì dùng một địa chỉ HTTP, kẻ tấn công sẽ đổi thành một đường dẫn UNC – kiểu đường dẫn dược dùng trong các thư mục chia sẻ của Windows. Cách sửa thành đường dẫn UNC khá đơn giản: sau khi tạo liên kết trỏ tới máy chủ của mình và lưu văn bản Word, kẻ tấn công chỉ cần thực hiện các bước sau:
- Đổi phần mở rộng từ .docx thành .zip rồi kích đúp vào để mở như một thư mục thông thường.
- Tìm và sao chép tệp document.xml.rels (giả sử tệp Word có tên là “testfile” thì sẽ tìm thấy tệp cần tìm ở đường dẫn “testfile.zip\word\_rels\document.xml.rels”) ra thư mục khác. Sau đó, sử dụng Notepad để đổi địa chỉ trỏ tới hình ảnh thành dạng đường dẫn UNC (như hình minh họa) và lưu lại.
- Chép đè tệp document.xml.rels vào trong tệp .zip.
- Đổi phần mở rộng tệp .zip thành .docx như ban đầu
Khi người nhận mở văn bản và bỏ qua chế độ xem an toàn, Word sẽ cho rằng hình ảnh còn thiếu nằm trên một máy chủ chia sẻ, cố gắng truy cập nó bằng cách gửi tên người dùng và giá trị băm của mật khẩu để xác thực. Kẻ tấn công dùng công cụ responder để đóng giả một máy chủ chia sẻ tệp hợp lệ nhằm lấy cắp thông tin đăng nhập của người dùng. Mặc dù, Word sẽ báo lỗi cho người dùng, nhưng giá trị băm của mật khẩu mà người dùng gửi tới có thể được kẻ tấn công giải mã bằng công tụ john-the-ripper hay một công cụ tương tự.
Cách kích hoạt chế độ xem an toàn
Trên đây là 3 kịch bản tấn công đơn giản và dễ thực hiện nhất khi người dùng bỏ kích hoạt chế độ xem an toàn, ngoài ra còn nhiều phương pháp tấn công khác. Người dùng cần giữ chế độ xem an toàn, đồng thời biết cách kiểm tra xem chế độ này đang có được kích hoạt hay không bằng cách: Mở trình soạn thảo )Word, Excel hay PowerPoint, chọn File/ Options. Trong cửa sổ Options, chọn mục Trust Center, nhấn nút Trust Center Settings, chọn mục Protected View.
Microsoft Word, PowerPoint và Excel đều có 3 thiết lập chính được kích hoạt mặc định là: Enable Protected View For Files Originating From The Internet (áp dụng cho các tệp từ Internet), Enable Protected View For Files Located In Potentially Unsafe Locations (áp dụng cho các tệp mở từ những thư mục được coi là không an toàn như Temporary Internet Files) và Enable Protected View For Outlook Attachments (áp dụng cho các tệp đính kèm trong thư điện tử mở bằng Microsoft Outlook). Nếu đã bỏ các tùy chọn này, người dùng cần nhanh chóng khôi phục lại trạng thái mặc định.
Riêng Excel có hai thiết lập khác bị bỏ kích hoạt theo mặc định là: Always Open Untrusted Text-Based Files (.csv, .dif and .sylk) In Protected View và Always Open Untrusted Database Files (.dbf) In Protected View.
Tuy nhiên, chế độ xem an toàn có một điểm gây bất tiện cho người dùng, là hiển thị văn bản ở chế độ Read Mode theo mặc định. Ở chế độ này, người dùng không nhìn thấy thanh di chuyển nên khó khăn hơn trong việc xem và sao chép văn bản. Để thấy lại thanh di chuyển trong văn bản, người dùng nhấn nút Esc để quay lại chế độ xem thông thường (vẫn không thể soạn thảo và duy trì trạng thái được bảo vệ). Nếu muốn loại bỏ chế độ Read Mode, mỗi khi mở những tệp có nguy cơ mất an toàn, người dùng chọn File/ Options rồi bỏ dấu chọn ở mục Open e-mail attachments and other uneditable files in reading view.
Nguyễn Anh Tuấn
17:00 | 18/05/2018
08:00 | 19/10/2017
10:00 | 21/08/2020
14:24 | 01/07/2016
16:00 | 27/09/2024
Một chiến dịch quốc tế phối hợp giữa các cơ quan thực thi pháp luật đã thành công trong việc triệt phá một mạng lưới tội phạm tinh vi chuyên mở khóa điện thoại di động bị mất hoặc đánh cắp. Mạng lưới này đã sử dụng nền tảng lừa đảo tự động iServer để đánh cắp thông tin đăng nhập của hàng trăm nghìn nạn nhân trên toàn thế giới.
15:00 | 26/07/2024
Ngày 20/7, cảnh sát Tây Ban Nha thông báo đã bắt giữ ba tin tặc được cho là thực hiện vụ tấn công mạng nhằm vào Tây Ban Nha và các nước thành viên khác trong Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) với các mục đích khủng bố.
16:00 | 24/07/2024
Vào tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler (Mỹ) đã quan sát thấy hoạt động xâm nhập mới từ nhóm tin tặc được Chính phủ Triều Tiên hậu thuẫn có tên là Kimsuky (hay còn gọi là APT43, Emerald Sleet và Velvet Chollima). Đặc biệt, Zscaler phát hiện một chiến dịch tấn công bởi các tin tặc Kimsuky sử dụng tiện ích mở rộng mới trên Google Chrome có tên gọi Translatext.
09:00 | 20/06/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến Máy chủ WebLogic của Oracle vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
18:00 | 11/10/2024