Bài ca muôn thuở về lỗ hổng trong Microsoft Office lại được réo tên với CVE-2023-21716, điểm gần như cực đại 9.8/10. Dù đã được Microsoft xử lý trong Patch Tuesday tháng 02 nhưng nguy cơ bị khai thác với người dùng là không hề nhỏ.
Đoạn mã khai thác dài đúng bằng dòng Tweet
Người phát hiện ra lỗ hổng, nhà nghiên cứu Joshua Drake đã gửi một bản mô tả kèm minh chứng (PoC) cách khai thác lỗ hổng này cho Microsoft.
Cách đơn giản nhất để khai thác lỗ hổng là qua con đường phishing. Kẻ xấu sẽ lừa người dùng tải về một tệp tin Word có chứa định dạng. RTF (Rich Text Format) độc hại, từ đó khai thác lỗ hổng CVE-2023-21716 tồn tại trong thư viện động “wwlib.dll”.
Tuy nhiên, nguy hiểm nhất là người dùng có thể không cần mở tài liệu Word mà chỉ cần xem ở chế độ Preview Pane cũng là đủ để bị tấn công.
Theo báo cáo, trình phân tích cú pháp tài liệu có định dạng RTF trong Microsoft Word có một lỗ hổng dạng heap corruption (lỗi bộ nhớ heap) được kích hoạt “khi xử lý bảng phông chữ (\fonttbl) chứa quá nhiều các loại phông (\f###)”.
Sau khi lỗi bộ nhớ xuất hiện, sẽ có tiến trình bổ trợ để kẻ xấu nhằm thực thi mã tùy ý bằng cách sử dụng “Khởi tạo bộ nhớ heap phù hợp”.
Nhưng PoC của nhà nghiên cứu chỉ mô tả đúng cách lỗi xảy ra trong bộ nhớ heap chứ không thực hiện việc khởi chạy ứng dụng Calculator trên Windows để minh chứng là đã thực thi mã.
Vậy nên ban đầu, PoC có khoảng hơn chục dòng, bao gồm cả các chú thích. Nhưng từ khi gửi báo cáo cho Microsoft vào tháng 11 năm 2022, nhà nghiên cứu đã rút gọn đoạn mã khai thác vỏn vẹn đúng bằng một dòng Tweet.
Hiện tại, lỗ hổng chưa bị khai thác trong thực tế và Microsoft đánh giá việc khai thác lỗ hổng này là “ít có khả năng xảy ra”.
Nhưng lỗ hổng nguy hiểm kiểu như này lại luôn “hấp dẫn” với tin tặc khi chúng có thể dịch ngược mã để tìm cách khai thác. Và với độ phủ sóng của Microsoft Word thì công việc này chỉ là vấn đề thời gian. Có thể sắp tới, tin tặc sẽ triển khai những chiến dịch lớn để lây nhiễm mã độc trên diện rộng qua email.
Các phiên bản Microsoft Office bị ảnh hưởng bởi CVE-2023-21716 gồm có:
- Microsoft Office 365 (Insider Preview – 2211 Build 15831.20122 CTR)
- Microsoft Office 2016 (Including Insider Slow – 1704 Build 8067.2032 CTR)
- Microsoft Office 2007
- Microsoft Office 2010
- Microsoft Office 2013
- Microsoft Office 2016
- Microsoft Office 2019
- Microsoft Office 2021
Các biện pháp khắc phục tạm thời đều không khả thi
Người dùng không thể áp dụng bản vá nên đọc email ở định dạng plain text. Tuy nhiên, điều này có thể gây mất hình ảnh và nội dung, vì vậy khó mà có thể áp dụng giải pháp này.
Một giải pháp khác là bật chính sách Microsoft Office File Block, ngăn chặn các ứng dụng Office mở tài liệu RTF có nguồn gốc không xác định hoặc không đáng tin cậy. Phương pháp này đòi hỏi phải sửa đổi Registry của Windows và đi kèm với lưu ý: “Nếu bạn sử dụng Registry Editor không đúng cách có thể gây ra các vấn đề nghiêm trọng yêu cầu bạn phải cài đặt lại hệ điều hành”.
Ngoài ra, nếu một “exempt directory” chưa được thiết lập, người dùng có nguy cơ không thể mở bất kỳ tài liệu RTF nào.
Chắc hẳn, mọi người sẽ thấy lỗ hổng này có nhiều điểm tương đồng với lỗ hổng Follina (CVE-2022-30190, điểm CVSS 7.8) trong Microsoft Word vào tháng 05/2022. Điểm khác biệt giữa chúng là lỗ hổng này không tạo ra các IOC trong môi mạng như Follina (sử dụng giao thức ms-msdt) mà vẫn có thể thực thi mã độc hại trên hệ thống bị ảnh hưởng. Chứng tỏ, tin tặc đã cải tiến các kỹ thuật khai thác ngày càng đơn giản hơn mà vẫn mang lại hiệu quả tối đa.
Các chuyên gia WhiteHat khuyến cáo người dùng nên cập nhật bản vá mới nhất từ Microsoft ngay cả khi việc khai thác lỗ hổng mới chỉ dừng ở mức thử nghiệm để tránh nguy cơ bị tấn công.
Bên cạnh đó, người dùng khi nhận được email lạ nên kiểm tra kỹ địa chỉ email của người gửi, thận trọng khi click vào các đường dẫn hoặc file được đính kèm.