Lỗ hổng zero-day đe dọa hàng triệu người dùng Windows bị chia sẻ trên diễn đàn hacker

Microsoft vừa lên tiếng thừa nhận một lỗ hổng zero-day của Windows trong MSHTML cho phép hacker thực thi mã từ xa nếu khai thác thành công. Lỗ hổng này ảnh hưởng tới tát cả phiên bản Windows từ Windows 7 đến Windows 10 và các bản Windows Server tương ứng.

Hiện tại, Microsoft đang theo dõi lỗ hổng dưới tên mã CVE-2021-40444 và tuyên bố thêm rằng hacker sẽ khai thác lỗ hổng bằng cách phát tán các tài liệu Office hoặc RTF chứa mã độc. Theo thang CVE, lỗ hổng mới có mức độ nghiêm trọng là 8.8.

Chi tiết hơn, Microsoft cho biết hacker có thể tạo một điều khiển ActiveX bằng cách sử dụng công cụ kết xuất trình duyệt MSHTML của Office. Khi người dùng mở ra nó sẽ kích hoạt một cuộc tấn công thực thi mã từ xa.

Giải pháp khác phục mà Microsoft đưa ra là chặn các điều khiển ActiveX và xem trước tài liệu Word/RTF trong Windows Explorer.

Nhưng chẳng bao lâu sau, các nhà phát triển lại tìm ra cách chỉnh sửa phương thức khai thác để không sử dụng ActiveX, né tránh hiệu quả giải pháp mà Microsoft đưa ra.

Chi tiết về lỗ hổng, cách khai thác bị chia sẻ lên diễn dàn hacker

Ngay sau khi Microsoft công bố về CVE-2021-40444, các nhà nghiên cứu đã tìm ra những tài liệu chứa mã độc dùng để tấn công, khai thác lỗ hổng này. Trong khi tiến hành tái hiện lỗ hổng, chỉnh sửa để khám phá thêm các khả năng mới, các nhà nghiên cứu bảo mật không tiết lộ chi tiết ra bên ngoài để tránh việc chúng bị lợi dụng cho các mục đích xấu.

Không may là những tên hacker cũng rất nhanh nhạy. Từ thông tin thu thập được, hacker đã tái hiện lỗ hổng thành công. Chúng thậm chí còn chia sẻ các mẫu tài liệu chứa mã độc cũng như các hướng dẫn và thông tin chi tiết trên các diễn đàn hack.

Bắt đầu từ thứ ngày 9/9, hacker đã chia sẻ các thông tin công khai về lỗ hổng và cách tạo ra tài liệu chứa mã độc để khai tháng lỗ hổng. Ngày 10/9, thêm nhiều tài liệu được đăng tải để hướng dẫn về cách tạo payload và file CAB.

Vào ngày 11/9, khi các nhà nghiên cứu chia sẻ thêm thông tin trên GitHub và Twiter, hacker cũng chia sẻ chi tiết về cách tạo ra những phương thức tấn công vào mọi khía cạnh của lỗ hổng.

Dựa trên hướng dẫn ấy, bất kỳ ai cũng có thể tạo ra phương thức khai thác lỗ hổng CVE-2021-40444 của riêng mình, bao gồm cả việc tạo ra một máy chủ python để phân phối tài liệu chứa mã độc và file CAB.

Thử nghiệm của trang Bleeping Computer cho thấy họ có thể tạo ra mã độc khai thác lỗ hổng chỉ trong 15 phút.

Cách bảo vệ trước lỗ hổng CVE-2021-40444

Tin vui là ở thời điểm lỗ hổng này được công bố, Microsoft Defender và các chương trình bảo mật các đều có thể phát hiện và vô hiệu hóa các tài liệu chứa mã độc cũng như file CAB.

Microsoft cũng cung cấp phương thức khắc phục là vô hiệu hóa các điều khiển ActiveX trong Internet Explorer, trình xử lý mặc định cho giao thức MSHTML và vô hiệu hóa tính năng xem trước tài liệu trong Windows Explorer.

Cách vô hiệu hóa điều khiển ActiveX trong Internet Explorer

Để tắt điều khiển ActiveX bạn thực hiện các bước sau:

• Mở Notepad
• Copy những dòng sau rồi paste vào Notepad

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

• Lưu file Notepad dưới dạng tập tin .reg
• Nhấp đúp chuột vào file vừa lưu để áp dụng thay đổi vào Registry
• Khởi động lại máy

Lưu ý: Nếu bạn thực hiện các thao tác trên thì 3 key mới sẽ được tạo trong Registry Editor. Để loại mở lại điều khiển ActiveX bạn sẽ phải tìm và xóa những key vừa tạo.

Cách vô hiệu hóa tính năng xem trước tài liệu trong Windows Explorer

Các nhà nghiên cứu đã phát hiện ra rằng lỗ hổng CVE-2021-40444 có thể được khai thác bằng cách xem một tài liệu chứa mã độc bằng tính năng xem trước của Windows Explorer.

Sau khi điều này được khám phá ra, Microsoft đã bổ sung thêm phương pháp vô hiệu hóa xem trước tài liệu Word và RTF trong Windows Explorer. Các bước thực hiện như sau:

1. Mở Registry Editor rồi lưu một bản sao Registry để dự phòng

2. Tìm đến các key sau:

Với tài liệu Word tìm các key sau:

• • HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  • HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  • HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

Với tài liệu RTF tìm key sau:

• • HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

3. Tại từng key mà bạn tìm thấy nhấn đúp vào Name và trong ô Edit String xóa Value Data

4. Nhấn OK

Để kích hoạt lại bạn chỉ cần nhấn đúp vào file .reg mà bạn đã lưu dự phòng trước đó.

Tuy nhiên, như đã nói, hacker có thể tùy chỉnh phương thức tấn công để không dùng các điều khiển ActiveX. Vì thế, người dùng vẫn gặp nguy hiểm cho tới khi Microsoft tung ra bản cập nhật bảo mật chính thức cho lỗ hổng này.

Microsoft hiện đang tiến hành điều tra và sẽ có hành động thích hợp khi hoàn tất đánh giá về lỗi hổng này. Nhiều khả năng trong tương lai gần Microsoft sẽ tung ra một bản vá hoặc giảm thiệt hại vĩnh viễn cho nó.