Dựa vào tính năng DDE trên các file Microsoft Office, những kẻ tấn công có thể đưa mã độc vào trong máy tính mà các chương trình chống virus không hề hay biết.
Gần đây, nhóm hacker Fancy Bear này đã bị phát hiện ra khi đang gửi một file Word, đã khai thác một tính năng có tên gọi Dynamic Data Exchange (DDE). DDE cho phép một file được thực thi đoạn mã lưu trữ trong một file khác và cho phép các ứng dụng có thể gửi bản cập nhật dữ liệu mới.
Việc tính năng DDE có thể bị khai thác như một kỹ thuật tiêm mã độc đã được biết đến từ nhiều năm nay, nhưng một bài đăng của hãng bảo mật SensePost vào cuối tháng trước đã làm hồi sinh lại mối quan tâm đến nó. Bài đăng cho thấy tính năng DDE có khả năng bị lạm dụng để cài đặt malware bằng cách sử dụng các file Word, mà các chương trình chống virus không phát hiện ra.
Một ngày sau khi Trend Micro đăng tải báo cáo của mình về Fancy Bear, Microsoft đã đưa ra lời khuyến cáo về việc người dùng Office có thể tự bảo vệ mình khỏi các cuộc tấn công như thế nào. Cách đơn giản nhất để giữ an toàn là cẩn trọng trước mỗi thông điệp lạ hiện ra mỗi khi mở các file văn bản.
Theo như cảnh báo từ SensePost, trước khi tính năng DDE có thể được kích hoạt, người dùng sẽ thấy một hộp thoại như dưới đây hiện ra khi mở một file văn bản nhiễm mã độc:
Phần khuyến cáo của Microsoft cũng giải thích cho người dùng có hiểu biết hơn về kỹ thuật, để họ có thể thay đổi phần thiết lập trong registry nhằm vô hiệu hóa chức năng DDE, tự động cập nhật dữ liệu từ file này sang file khác.
Nhiều nhà nghiên cứu đã nhấn mạnh đến tính năng DDE này khi nó cho phép thực hiện các cuộc tấn công để lây lan malware thông qua các file văn bản Office mà không cần bật macro. Trong khi sự nguy hiểm của việc bật macro trong các file văn bản đã được nhiều người biết đến, DDE lại không như vậy, điều đó làm nó thực hiện các cuộc tấn công hiệu quả hơn. Nhưng cuối cùng cơ chế tấn công dựa trên DDE cũng có các dấu hiệu riêng, và mọi người có thể phòng tránh nó.
0 nhận xét:
Đăng nhận xét