Phát hiện lỗ hổng zero-day nghiêm trọng trong Microsoft Office, nhấp file tài liệu là dính luôn

Các nhà phát triển vừa công bố một lỗ hổng zero-day nghiêm trọng có tên Follina trong bộ công cụ văn phòng Microsoft Office. Khai thác thành công lỗ hổng này, hacker có thể dùng một tài liệu Word độc hại để kích hoạt thực thi code trên máy tính của nạn nhân.

Lỗ hổng này được hé lộ lần đầu vào ngày 27/5 bởi tài khoản @nao_sec qua mạng xã hội Twitter.

"Tài liệu độc hại sử dụng tính năng mẫu từ xa của Word để truy xuất file HTML từ máy chủ web từ xa sau đó sử dụng lược đồ ms-msdt MSProtocol URI để tải một số code va thực thi vài lệnh PowerShell", nhà nghiên cứu Kevin Beaumont giải thích. "Đó là điều không nên có".

Beaumont cho biết hacker có thể khai thác lỗ hổng này ngay cả khi các tính năng macro đã bị vô hiệu hóa trên các phần mềm Office. Các phiên bản Office 2013, 2016, 2019, 2021 với giấy phép Microsoft 365 trên cả Windows 10 và Windows 11 đều có lỗ hổng này.

Ông Kyle Hanslovan, CEO của hãng bảo mật Huntress Labs, đã chia sẻ một video cho thấy Follina qua dễ khai thác.

Tất cả những gì các nhà nghiên cứu đăng tải đều cho thấy rằng lỗ hổng này cho phép hacker thực thi code trên máy của nạn nhân chỉ bằng một cú nhấp chuột. Ngoài ra, như Hanslovan đã chứng minh, hacker có thể thực thi code ngay cả khi người dùng thực hiện xem trước tài liệu độc hại mà họ nhận được. Tất cả là nhớ các công cụ hỗ trợ (ms-msdt) và các công cụ quản trị hệ thống (PowerShell) được cài sẵn trên Windows.

Người dùng Twitter có tên @crazyman_army cho biết anh đã báo cáo lỗ hổng này cho Microsoft vào ngày 12/4 nhưng nhận được phản hồi vào ngày 21/4 rằng đây không phải là một vấn đề bảo mật.

Cách khắc phục tạm thời

Hiện tại, do Microsoft chưa công nhận lỗ hổng nên cũng chưa có cách khắc phục chính thức từ Microsoft. Để giải quyết vấn đề bạn có thể thực hiện các phương pháp sau:

1. Tắt chế độ Preview trong Windows Explorer: Mở Windows Explorer sau đó vào thẻ View rồi chọn Hide Preview Pane.
2. Tải file unregister-msdt.reg từ GitHub sau đó nhấp đúp vào file để áp dụng. Nếu hiện lên cửa sổ User Account Control thì chọn Yes.
3. Cập nhật phần mềm diệt virus và kiểm tra file trước khi mở bằng VirusTotal.
4. Nếu nhận được một file Word, Excel hay PPT hãy thử mở bằng Google Docs, Sheets hoặc Slides.

Quản Trị Mạng sẽ tiếp tục cập nhật ngay khi có thông tin hoặc bản vá chính thức của lỗ hổng Follina này. Xin cảm ơn fanpage Cookie Hân Hoan đã cung cấp các phương án khắc phục ở trên.