Một lỗ hổng zero day trong Microsoft Word đang được hacker khai thác để cài đặt phần mềm độc hại trên máy Windows.
Theo FireEye, "Cuộc tấn công liên quan đến một diễn viên gửi mail tài liệu Microsoft Word có nhúng OLE2link đến một người dùng khác. Khi người dùng mở tài liệu, winword.exe sẽ đưa ra yêu cầu HTTP đến máy chủ từ xa để lấy ra tập tin .hta độc hại, xuất hiện dưới dạng file RTF giả mạo. Ứng dụng HTA của Microsoft tải và thực thi mã độc hại. Trong cả hai tài liệu được quan sát, tập lệnh độc hại đã dừng quá trình của winword.exe, tải thêm payload và nạp một tài liệu khác để "nhử" người dùng. Quá trình winword.exe ban đầu được chấm dứt để ẩn thông báo nhắc nhở người dùng được tạo ra từ OLE2link".
Microsoft cho biết họ đã phát hiện lỗ hổng này từ tháng 1/2017 nhưng chưa đưa ra lời khuyên nào để tăng cường bảo mật hay phát hành bản vá. Theo MCAfee, "lỗ hổng này hoạt động trên tất cả các phiên bản Microsoft Office bao gồm cả Office 2016 mới nhất đang chạy trên Windows 10. Cuộc tấn công mới nhất đã được phát hiện vào tháng 1 vừa qua".
Proofpoint, một công ty an ninh khác, đã phát hiện "lỗ hổng này được sử dụng trong một chiến dịch email lớn nhằm phát tán trojan Dridex (một mã độc có khả năng lấy cắp thông tin cá nhân khi thực hiện giao dịch ngân hàng trực tuyến). Chiến dịch này đã được gửi đến hàng triệu người nhận của các tổ chức lớn ở Úc".
Nếu bạn đang sử dụng Microsoft Word, hãy chú ý đến lời khuyên của MCAfee: Không mở bất kỳ tệp Office nào được gửi đến từ những người lạ, không đáng tin cậy và kiểu tấn công này không vượt qua được Office Protected View nên hãy chắc chắn tính năng này đang được bật.
Để mở tài liệu trong chế độ Protected View, thực hiện theo các bước sau:
- Nhấp vào File > Open
- Trên hộp thoại Open, nhấp vào mũi tên bên cạnh nút Open
- Từ danh sách xổ ra, chọn Open in Protected View
Cuối cùng, ngay khi Microsoft cập nhật bản vá lỗi thì bạn cũng phải cập nhật bộ ứng dụng văn phòng của mình.