Lỗ hổng zero-day trong Office có tên CVE-2017-11826, xuất hiện do phần mềm không xử lý chuẩn các đối tượng trong bộ nhớ. Để khai thác, tin tặc thực hiện tấn công phishing lừa người dùng mở tệp tin độc hại. Lỗ hổng ảnh hưởng đến mọi phiên bản của Microsoft Office và đã được sử dụng trong các cuộc tấn công thực tế.
Lỗ hổng thực thi mã từ xa trong dịch vụ phân giải tên miền (DNS), có thể cho phép tin tặc kiểm soát hoàn toàn máy tính hoặc máy chủ mục tiêu, từ đó truy cập vào hệ thống của người dùng. Lỗ hổng ảnh hưởng đến các máy tính chạy Windows 8.1, Windows 10, Windows Server 2012 đến 2016.
Lỗ hổng zero-day trong Office
Lỗ hổng này tồn tại trong Microsoft Office khi phần mềm không thể xử lý các đối tượng trong bộ nhớ. Khai thác thành công lỗ hổng, tin tặc có thể chạy mã tùy ý với vai trò người dùng hiện tại. Nếu người dùng đăng nhập với quyền quản trị, tin tặc có thể kiểm soát hệ thống bị ảnh hưởng, sau đó cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với quyền người dùng đầy đủ. Người dùng được cấu hình với ít quyền trên hệ thống sẽ ít bị ảnh hưởng hơn người dùng có quyền quản trị.
Khai thác lỗ hổng đòi hòi người dùng phải mở một tệp tin đặc biệt bằng phiên bản Office có lỗ hổng. Trong trường hợp sử dụng email, tin tặc có thể khai thác lỗ hổng bằng cách gửi tệp tin tự tạo đến người dùng và thuyết phục người dùng mở tệp tin. Trong một cuộc tấn công web, tin tặc có thể kiểm soát một trang web hoặc lợi dụng một trang web bị phá hoại có chứa tệp tin tự tạo được thiết kế để khai thác lỗ hổng. Tin tặc không có cách nào lừa người dùng truy cập trang web. Thay vào đó, tin tặc phải thuyết phục người dùng kích chuột vào một đường dẫn, sau đó thuyết phục họ mở tệp tin tự tạo.
Để tránh nguy cơ bị tấn công, người dùng cần cập nhật bản mới nhất của Microsoft Office.
Sản phẩm/Phiên bản và Link cập nhật
Microsoft Office Compatibility Pack Service Pack 3 (Security Update)
Microsoft Office Online Server 2016 (Security Update)
Microsoft Office Web Apps Server 2010 Service Pack 2 (Security Update)
Microsoft Office Web Apps Server 2013 Service Pack 1 (Security Update)
Microsoft Office Word Viewer (Security Update)
Microsoft SharePoint Enterprise Server 2016 (Security Update)
Microsoft Word 2007 Service Pack 3 (Security Update)
Microsoft Word 2010 Service Pack 2 (32-bit editions) (Security Update/Security Update)
Microsoft Word 2010 Service Pack 2 (64-bit editions) (Security Update/Security Update)
Microsoft Word 2013 RT Service Pack 1 (Security Update)
Microsoft Word 2013 Service Pack 1 (32-bit editions) (Security Update)
Microsoft Word 2013 Service Pack 1 (64-bit editions) (Security Update)
Microsoft Word 2016 (32-bit edition) (Security Update)
Microsoft Word 2016 (64-bit edition) (Security Update)
Word Automation Services
Platform: Microsoft SharePoint Server 2013 Service Pack 1 (Security Update)
Word Automation Services
Platform: Microsoft SharePoint Server 2010 Service Pack 2 (Security Update)
Lỗ hổng trong DNS
Lỗ hổng thực thi mã từ xa tồn tại trong DNSAPI của Windows DNS khi xử lý các gói tin DNS. Lỗ hổng cho phép tin tặc giành quyền thực thi mã tùy ý trên máy nạn nhân.
Để khai thác lỗ hổng, tin tặc cần nằm trong cùng một mạng với máy mục tiêu, sau đó thực hiện tấn công MitM để can thiệp vào các truy vấn DNS từ máy nạn nhân. Các truy vấn DNS có thể là bất cứ điều gì từ duyệt web, kiểm tra email, hoặc thậm chí là khi máy tính đang tìm kiếm các cập nhật. Sau đó tin tặc phản hồi với các dữ liệu độc hại làm lỗi bộ nhớ của máy khách DNS, cho phép tin tặc kiểm soát luồng DNS và cuối cùng là kiểm soát máy nạn nhân.
Để tránh bị tấn công, ngoài cài đặt các bản vá, người dùng nên tránh xa các mạng wifi công cộng, hoặc sử dụng VPN khi kết nối đến wifi công cộng.
Sản phẩm/Phiên bản và Link cập nhật
Windows 10 for 32-bit Systems (Security Update)
Windows 10 for x64-based Systems (Security Update)
Windows 10 Version 1511 for 32-bit Systems (Security Update)
Windows 10 Version 1511 for x64-based Systems (Security Update)
Windows 10 Version 1607 for 32-bit Systems (Security Update)
Windows 10 Version 1607 for x64-based Systems (Security Update)
Windows 10 Version 1703 for 32-bit Systems (Security Update)
Windows 10 Version 1703 for x64-based Systems (Security Update)
Windows 8.1 for 32-bit systems (Monthly Rollup/Security Only)
Windows 8.1 for x64-based systems (Monthly Rollup/Security Only)
Windows RT 8.1 (Monthly Rollup)
Windows Server 2012 (Monthly Rollup/Security Only)
Windows Server 2012 (Server Core installation) (Monthly Rollup/Security Only)
Windows Server 2012 R2 (Monthly Rollup/Security Only)
Windows Server 2012 R2 (Server Core installation) (Monthly Rollup/Security Only)
Windows Server 2016 (Security Update)
Windows Server 2016 (Server Core installation) (Security Update)
Hồng Loan
(Theo Whitehat)
14:00 | 25/12/2017
15:00 | 28/08/2018
09:00 | 02/07/2019
08:00 | 25/10/2018
09:00 | 22/12/2017
14:00 | 12/01/2018
08:00 | 26/03/2019
10:00 | 21/08/2020
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.
10:00 | 17/05/2024