Hello,

Sign in to find your next job.

Blog IT

Sau 17 năm được phát hiện, Microsoft mới vá lỗ hổng nguy hiểm này trên MS Office

Sau 17 năm được phát hiện, Microsoft mới vá lỗ hổng nguy hiểm này trên MS Office

Microsoft đã vá một lỗi có thể dẫn đến việc thực thi mã lệnh từ xa mà các nhà nghiên cứu đã phát hiện cách đây 17 năm.

 

Các nhà nghiên cứu tại công ty bảo mật Embedi đã tìm ra lỗi này trong một công cụ của Microsoft được gọi là Microsoft Equation Editor, EQNEDT32.EXE đã được thiết kế vào năm 2000 và vẫn giữ nguyên cho Office kể từ đó.

Công cụ này đã được sử dụng để chèn công thức toán học vào văn bản Office nhưng khi Office 2007 ra đời nó đã trở nên dư thừa. Embedi phỏng đoán Microsoft đã để lại công cụ này vì khả năng tương thích ngược.

Embedi đã sử dụng công cụ BinScope của Microsoft để tìm ra tập tin thực thi dễ bị tổn thương. BinScope phân tích các chương trình nhị phân để kiểm tra xem một dự án có phù hợp với Microsoft's Security Development Lifecycle (SDL) hay không.

Chương trình SDL được ra đời vào năm 2002, cùng với “Trustworthy Computing memo” nổi tiếng của Microsoft – một sáng kiến bảo mật mới vào thời điểm đó để ngăn cản sự bùng nổ phần mềm độc hại lớn vào thời điểm đó, chẳng hạn như sâu ILOVEYOU. Nói cách khác, Equation Editor được phát triển trước khi Microsoft bắt đầu xây dựng phần mềm theo các nguyên tắc của SDL.

BinScope đã giúp các nhà nghiên cứu tìm ra những thành phần lỗi của Microsoft Office 2016 và xác định EQNEDT32.EXE là không an toàn. Một công cụ khác của Microsoft gọi là ProcessMitigations đã giúp minh hoạ nó dễ bị tổn thương. Microsoft đã phát hành một bản vá lỗi cho lỗ hổng Office, được gắn thẻ là CVE-2017-11882, trong bản nâng cấp Patch thứ 3 vào ngày hôm qua.

Công ty này giải thích: “Việc khai thác lỗ hổng đòi hỏi người dùng phải mở một tệp tin được tạo ra đặc biệt với một phiên bản Microsoft Office hoặc Microsoft WordPad bị ảnh hưởng”.

Những kẻ tấn công có thể sử dụng email hoặc web để chỉ đạo cuộc tấn công ở người dùng nhưng sẽ cần phải thuyết phục một mục tiêu để mở tập tin có trang bị.

Lỗi ảnh hưởng đến tất cả các phiên bản hỗ trợ của Office, từ Office 2016 đến Office 2007 SP3 chạy trên Windows 7 đến Windows 10. Nhờ lỗi này, Embedi đã khai thác được tất cả các phiên bản Office được phát hành trong 17 năm qua, bao gồm Office 365, chạy trên Windows 7, Windows 8.1 và Windows 10 Creators Update.

Họ lưu ý rằng tính năng Protected View của Office là một trở ngại khi nó chặn thực hiện nội dung hoạt động cho các macro, Object Linked và Embedding (OLE). OLE được sử dụng bởi Equation Editor để nhúng dữ liệu và hiển thị hình ảnh trong một tài liệu. Tuy nhiên, như nhiều cuộc tấn công nhắm mục tiêu gần đây bằng cách sử dụng văn bản Office đã cho thấy, kỹ thuật xã hội có thể giúp vượt qua điều này.

Cuộc tấn công của Embedi dựa vào hai lỗi tràn bộ đệm mà các nhà nghiên cứu phát hiện. Họ đã sử dụng một số OLE để tấn công các lỗ hổng và thực hiện các lệnh tùy ý, chẳng hạn như tải một tệp tin từ internet và thực thi nó. Một cách thuận tiện để thực thi mã tùy ý là khởi chạy một tệp thực thi từ máy chủ WebDAV do kẻ tấn công kiểm soát.

Embedi trình diễn lỗ hổng trên các bộ Office của Microsoft

Công ty bảo mật này tin rằng thành phần có nhiều lỗ hổng dễ bị khai thác hơn và đề nghị vô hiệu hóa nó trong Windows registry để ngăn chặn các cuộc tấn công. Tuy nhiên, họ cũng lưu ý rằng Office Protected View cũng sẽ làm giảm đáng kể mối đe dọa cho Windows 8.1 và Windows 10.

Tham khảo: ZDNet

Nguồn: Genk.vn

Similar blogs

Hot Blogs