Các chuyên gia an ninh mạng đang kêu gọi sự chú ý nhắm tới một lỗ hổng zero-day trong Microsoft Office có thể bị lạm dụng để thực thi mã tùy ý trên các hệ thống Windows bị ảnh hưởng.
Lỗ hổng bảo mật này được đưa ra ánh sáng sau khi một nhóm chuyên gia an ninh mạng độc lập có tên nao_sec phát hiện ra một tài liệu Word (“05-2022-0438.doc”) được tải lên VirusTotal từ một địa chỉ IP ở Belarus.
Các chuyên gia lưu ý trong một loạt các tweet vào tuần trước rằng: “Nó sử dụng liên kết bên ngoài của Word để tải lên HTML và sau đó sử dụng lược đồ ‘ms-msdt’ để thực thi mã PowerShell”.
Theo chuyên gia bảo mật Kevin Beaumont, người đặt tên cho lỗ hổng “Follina” thì file word độc hại này sử dụng tính năng mẫu từ xa (remote template) của Word để tìm và tải tệp HTML từ máy chủ, sau đó sử dụng lược đồ URI “ms-msdt: //” để phát tán mã độc.
Sở dĩ nó có tên gọi như vậy là do mẫu mã độc tham chiếu có số 0438. Đây là mã vùng của Follina, một đô thị ở thành phố Treviso của Ý.
MSDT là viết tắt của Microsoft Support Diagnostics Tool, một tiện ích được sử dụng để khắc phục sự cố và thu thập dữ liệu chẩn đoán để các chuyên gia hỗ trợ phân tích nhằm giải quyết sự cố.