Nội dung
Microsoft vừa cảnh báo về việc tin tặc đang khai thác lỗ hổng zero-day trong Windows bằng cách phát tán các tài liệu Office độc hại.
1. Thông tin lỗ hổng zero-day trong Windows
Lỗ hổng zero-day mới được phát hiện trong Windows có định danh CVE-2021-40444. Lỗ hổng này ảnh hưởng tới Windows 7 đến Windows 10 và các bản Windows Server tương ứng. Theo thang điểm CVE, mức độ nghiêm trọng của lỗ hổng nói trên là 8.8.
Để tấn công, tin tặc sẽ gửi cho người dùng một tài liệu Office và dụ họ mở. Tài liệu này sẽ tự động mở Internet Explorer để tải trang web của tin tặc. Trang này có trình điều khiển ActiveX có chức năng tải phần mềm độc hại xuống máy tính của người dùng.
Trước đó, một số chuyên gia bảo mật đã báo cáo lỗ hổng CVE-2021-40444 cho Microsoft. Một trong số đó là chuyên gia Haifei Li từ hãng bảo mật EXPMON. Ông chia sẻ với BleepingComputer rằng tỷ lệ thành công của phương thức tấn công này là 100%. Nạn nhân chỉ cần mở tài liệu độc hại là máy tính sẽ nhiễm mã độc. Trong vụ tấn công mà Haifei Li gặp phải, tin tặc đã sử dụng một tài liệu .docx.
Lưu ý: Những người dùng mở tệp qua Protected View hoặc qua Application Guard for Office không bị tấn công.
2. Cách phòng tránh rủi ro bị tấn công do lỗ hổng trong Windows
Hiện tại, Microsoft chưa phát hành bản vá bảo mật cho lỗ hổng này. Thay vào đó, họ đưa ra các biện pháp để ngăn chặn các cuộc tấn công mạng xảy ra, cụ thể:
- Không nhận, tải và mở các tài liệu Office từ những nguồn không đáng tin cậy.
- Cập nhật phiên bản mới nhất cho Microsoft Defender Antivirus và Microsoft Defender for Endpoint và sử dụng chúng để phát hiện lỗ hổng bảo mật nói trên.
- Tắt tất cả các trình điều khiển ActiveX trong Internet Explorer.
Cách tắt điều khiển ActiveX
- Mở Notepad.
- Copy đoạn bên dưới, sau đó paste vào Notepad.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003
- Lưu file Notepad dưới dạng tập tin .reg.
- Nhấn đúp chuột vào file vừa lưu để áp dụng thay đổi vào Registry.
- Khởi động lại máy tính.
Lưu ý: Nếu doanh nghiệp thực hiện các thao tác trên thì 3 key mới sẽ được tạo trong Registry Editor. Để mở lại điều khiển ActiveX, doanh nghiệp sẽ phải tìm và xóa những key vừa tạo.
3. Doanh nghiệp cần tăng cường rà quét lỗ hổng trong Windows
Lỗ hổng trên Windows luôn là mối đe dọa lớn với mọi doanh nghiệp. Từ lỗ hổng này, tin tặc có thể lấy cắp dữ liệu, phá hoại hệ thống mạng hoặc chiếm quyền điều khiển thiết bị của doanh nghiệp.
Sau lỗ hổng CVE-2021-40444, có thể sẽ có nhiều lỗ hổng zero-day khác được phát hiện. Vì vậy, các doanh nghiệp cần tăng cường việc rà quét lỗ hổng cho Windows để ngăn chặn mọi mối đe dọa xâm nhập.
Giải pháp quản trị nguy cơ an ninh mạng SecurityBox là lựa chọn đáng cân nhắc cho doanh nghiệp.
Với tính năng rà quét 24/7, SecurityBox sẽ phát hiện và cảnh báo mọi lỗ hổng bảo mật đang tồn tại trên hệ thống. Sau khi đã gửi cảnh báo về mối đe dọa đến quản trị viên, SecurityBox sẽ đề xuất phương án khắc phục cho từng lỗ hổng để đảm bảo hệ thống luôn ở trạng thái an toàn. Cuối cùng, SecurityBox ghi lại tình trạng an ninh và lập báo cáo vào cuối tuần và cuối tháng để doanh nghiệp có thể nắm được chi tiết. Với SecurityBox, doanh nghiệp sẽ xử lý được mọi lỗ hổng trước khi tin tặc tìm thấy và lợi dụng chúng để tấn công.
Tìm hiểu thêm về giải pháp SecurityBox tại đây.
Nếu nhà cung cấp cần tư vấn thêm về SecurityBox, hãy để lại thông tin để được hỗ trợ.