Nội dung
Các nhà nghiên cứu đã tìm ra cách thức lạm dụng Microsoft Excel để thực hiện các cuộc tấn công malware thông qua khai thác tính năng Microsoft Excel Power Query để thực hiện các cuộc tấn công trao đổi dữ liệu động (DDE) và phân phối các phần mềm độc hại.
Hiện tại, Microsoft vẫn chưa phát hành bản vá cho lỗ hổng này.
Lạm dụng Microsoft Excel Power Query
Các nhà nghiên cứu tại Mimecast gần đây đã báo cáo về một kỹthuật mới có thể lạm dụng tính năng Microsoft Excel Power Query để thực hiện cáccuộc tấn công malware.
Power Query là một công cụ mở rộng (scalable tool) có sẵn dướidạng tiện ích bổ sung (add-on) cho các phiên bản Microsoft Excel cũ hơn. Trongkhi đó, công cụ này là một tính năng tích hợp (built-in feature) cho các phiênbản Excel hiện đại. Power Query cho phép người dùng tích hợp các nguồn dữ liệukhác nhau với spreadsheet (bảng tính) và tự động tải xuống dữ liệu để phântích.
Microsoft cho biết Power Query là công nghệ kết nối dữ liệucho phép người dùng khám phá, kết nối, kết hợp và tinh chỉnh các nguồn dữ liệuđể đáp ứng các nhu cầu phân tích. Với Power Query, người dùng có thể tìm kiếmcác nguồn dữ liệu, tạo kết nối và sau đó định hình dữ liệu (ví dụ: xóa một cột,thay đổi loại dữ liệu hoặc hợp nhất các bảng) tùy theo nhu cầu của người dùng.
Theo các nhà nghiên cứu, các hacker tiềm năng có thể lạm dụngtính năng này để phân phối malware bằng cách nhúng mã độc vào biểu dữ liệu (datasheet).Khi mở biểu dữ liệu, mã độc sẽ chạy trên hệ thống đích và thực thi các phần mềmđộc hại này.
Các cuộc tấn công dạng này thường khó phát hiện và cáchacker có nhiều cơ hội để thỏa hiệp với host của nạn nhân.
Sử dụng điểm yếu tiềm ẩn trong Power Query, những kẻ tấncông có khả năng nhúng bất kỳ payload độc hại nào. Những payload này được thiếtkế để không lưu bên trong (inside) tài liệu mà được tải xuống từ các trang webkhi tài liệu được mở.
Trong một bài đăng trên blog, các nhà nghiên cứu cũng đã môphỏng và chia sẻ chi tiết một khai thác DDE lạm dụng Power Query.
Vẫn chưa có bản vá cho lỗ hổng Microsoft Excel Power Query
Ngay khi phát hiện một kỹ thuật khai thác lỗ hổng thànhcông, Mimecast đã tìm đến Microsoft để báo cáo vấn đề. Tuy nhiên, các nhà nghiêncứu cho biết Microsft vẫn chưa tìm ra phương án sửa chữa.
Tuy nhiên, phía công ty cũng đã đề xuất một cách giải quyết để giảm thiểu các cuộc tấn công. Trong một tư vấn bảo mật gần đây, Microsoft đã giải thích cách thức người dùng có thể mở Tài liệu Microsoft chứa trường DDE (trên cả tệp Excel và Word) một cách an toàn.
Năm 2017, các nhà nghiên cứu từ Sensepost cũng đã báo cáo một phương thức tấn công tương tự lạm dụng lỗ hổng tồn tại trong Microsoft Word.
LHN