Các Trojan Fire Zero-Day tấn công Microsoft Word

Những kẻ tấn công đang khai thác lỗ hổng chưa được vá mới đây nhất trong Microsoft Word 2000. Các chuyên gia bảo mật cảnh báo mức độ nguy hiểm đang ngày càng tăng.

Một lỗ hổng mới, chưa được vá trong Microsoft Word 2000 đang được những kẻ tấn công khai thác một cách tích cực, một số tổ chức bảo mật thông báo hôm thứ ba vừa qua.

Các nhà nghiên cứu của Synmatec nói rằng họ đã phân tích một mẫu tấn công in-the-wild và xác nhận rằng nó có khả năng công kích bản vá lỗi đầy đủ của bộ Office 2000. Trong đó Word 2000 là ứng dụng được gói trong bộ Office và đang sử dụng một bản vá lỗi đầy đủ của hệ điều hành Windows 2000.

“Mặc dù trong ví dụ này chúng tôi không thể khai thác được lỗ hổng ở các phiên bản Office khác, nhưng các phiên bản này cũng có thể bị ảnh hưởng bởi lỗ hổng mới trong Word 2000”, Synmantec nói trong một cảnh báo khách hàng cần thận với mối đe doạ từ DeepSight. Hãng Cupertino, một hãng bảo mật ở Califoocnia (Mỹ) đã mô tả việc khai thác lỗ hổng là khả năng hoàn toàn xác thực và bổ sung thêm rằng việc khai thác đó “rõ ràng hầu hết là dành cho người dùng cuối”.

Nếu người dùng Word 2000 mở một văn bản có gắn file đính kèm độc hại do kẻ tấn công gửi, một Trojan Horse khác sẽ lây lan vào một file nào đó trong máy tính. Nhưng file đó (thực tế là một Trojan) chưa lây lan ngay lập tức sang file khác mà một thành phần backdoor (cửa sau) sẽ rời máy để mở cuộc tấn công bổ sung hoặc thực hiện chương trình lạm dụng trước.

Phương thức tấn công của các Trojan này không phải là kiểu tự nhân bản mà là kiểu khai thác đa hướng như một số kiểu sâu gần đây, tận dụng bất kỳ lỗ hổng nào.

“Chức năng chính xác của quá trình payload cho đến giờ chúng ta vẫn chưa biết.Nhưng chúng tôi mong muốn rằng, nó sẽ gồm chức năng kiểm tra hoạt động từ bàn phím và chuột cũng như một số kỹ thuật thu thập thông tin khác”, Symantec nói.

Một chuyên gia dò tìm lỗ hổng người Đan Mạch, Secunia đánh giá sai sót mới đây trong Word 2000 có mức độ then chốt cao. Đó là cảnh báo lớn nhất và người sử dụng được khuyến cáo là không nên mở các văn bản office không mong đợi hoặc không đáng tin cậy.

Những cảnh báo và lời khuyên tương tự cũng được đưa ra trong tháng 5, tháng 6 và tháng 7 với một vài lỗ hổng khác trong các chương trình ứng dụng của bộ Office (Word, Excel, PowerPoint). Trong các tháng này, kẻ tấn công chủ yếu sử dụng kiểu tấn công đích. Microsoft đã phát hành các bản vá lỗi trong từng tháng, với các lỗ hổng “zero-day”.

“Các lỗ hổng trong Microsoft Office là platform tuyệt vời cho các cuộc tấn công cơ bản kiểu social-enineering (lừa đảo dựa vào phản ứng và thói quen của người dùng) và e-mail”, Hon Lau, kỹ sư lâu năm của Synmantec nói trên blog của công ty.
“Các doanh nghiệp, các hộ kinh doanh nhỏ và người tiêu dùng tiếp tục chia sẻ và trao đổi thông tin với các kiểu văn bản của Microsoft Office. Vì hầu hết các kiểu văn bản này thông thường được lọt qua tường lửa hay các giải pháp bảo mật nên chúng là phương tiện tốt để giấu các mã chương trình chạy độc hại”.

Office 2000 và Word 2000 hiện đang được Microsoft đặt trong “Phần trợ giúp mở rộng”. Có nghĩa là mặc dù thời gian trợ giúp miễn phí đã hết, nhưng công ty vẫn cung cấp các bản cập nhật bảo mật cho khách hàng sử dụng Office 2000. Office 2000 và Word 2000 sẽ hoàn toàn được đưa ra ngoài danh sách trợ giúp vào tháng 7 năm 2009.

Microsoft sẽ đưa ra bản vá lỗi tiếp theo vào ngày thứ ba tới, 12/9.