Một lỗ hổng cross-site scripting (XSS) mới và nguy hiểm vừa được phát hiện trong Microsoft Office, ảnh hưởng đến hàng trăm triệu người dùng trên toàn thế giới. Lỗ hổng tiết lộ bởi các nhà nghiên cứu an ninh mạng @adm1nkyj và @justlikebono của PKSecurity, do lỗi trong tab ‘Online Videos’.
Tính năng “Online Videos” trong Microsoft Office cho phép người dùng tích hợp video từ các nguồn bên ngoài, trực tiếp vào tài liệu của họ. Khi người dùng phát một trong những video được nhúng, Office sẽ thực hiện thẩm định bằng cách xác minh nguồn của video, xem video đó có phải từ nhà cung cấp đáng tin cậy hay không. Để làm được điều này, Office dựa vào biểu thức chính quy khớp với URL video. Tiếp đến, một truy vấn sẽ được gửi đến máy chủ tìm nạp các chi tiết như tiêu đề và hình thu nhỏ của video.
Phản hồi của máy chủ bao gồm tiêu đề, mô tả của video và thẻ iframe HTML hỗ trợ phát video. Tuy nhiên, lỗ hổng nằm ở cách máy chủ xử lý tiêu đề video – thêm vào thuộc tính ‘title’ của thẻ iframe mà không có bất kỳ xác thực nào.
Đối với những kẻ xấu am hiểu về thủ thuật lừa đảo trên mạng, điều này mang đến một ‘tấm vé vàng’. Hacker có thể giả mạo tài liệu Word nhúng một video cụ thể. Khi người dùng phát video sẽ giải phóng mã JavaScript tùy ý.
Nguy hiểm hơn, nếu kết hợp lỗ hổng này với các lỗ hổng khác có thể dẫn đến tấn công thực thi mã từ xa (RCE).
Điều đáng báo động là, việc khai thác lỗ hổng khá đơn giản, cùng với sự hấp dẫn của đa phương tiện, kẻ tấn công hầu như không gặp khó khăn gì trong việc dụ dỗ người dùng phát một video được nhúng.
Microsoft đã phát hành bản vá cho lỗ hổng này, vì vậy người dùng cần cập nhật phiên bản Office của mình càng sớm càng tốt.
Ngoài ra, người dùng có thể thực hiện một số bước để tự bảo vệ:
- Không mở tài liệu Word từ người gửi không xác định.
- Thận trọng khi nhấp vào các liên kết trong email, ngay cả khi chúng có vẻ đến từ một người nào đó mà bạn biết.
- Nếu cần mở tài liệu Word từ một người gửi không xác định, hãy tắt macro trước khi thực hiện việc đó.
Microsoft cũng đã cung cấp hướng dẫn sau cho quản trị viên CNTT:
- Triển khai các bản cập nhật bảo mật mới nhất cho Microsoft Office.
- Triển khai giải pháp bảo mật email mạnh mẽ để lọc các email độc hại.
- Hướng dẫn người dùng về sự nguy hiểm của các cuộc tấn công lừa đảo và cách tự bảo vệ mình.
Nguồn: Security Online