Các nhà nghiên cứu đã tìm ra cách thức lạm dụng Microsoft Excel để thực hiện các cuộc tấn công malware thông qua khai thác tính năng Microsoft Excel Power Query để thực hiện các cuộc tấn công trao đổi dữ liệu động (DDE) và phân phối các phần mềm độc hại.
Hiện tại, Microsoft vẫn chưa phát hành bản vá cho lỗ hổng này.
Lạm dụng Microsoft Excel Power Query
Các nhà nghiên cứu tại Mimecast gần đây đã báo cáo về một kỹ thuật mới có thể lạm dụng tính năng Microsoft Excel Power Query để thực hiện các cuộc tấn công malware.
Power Query là một công cụ mở rộng (scalable tool) có sẵn dưới dạng tiện ích bổ sung (add-on) cho các phiên bản Microsoft Excel cũ hơn. Trong khi đó, công cụ này là một tính năng tích hợp (built-in feature) cho các phiên bản Excel hiện đại. Power Query cho phép người dùng tích hợp các nguồn dữ liệu khác nhau với spreadsheet (bảng tính) và tự động tải xuống dữ liệu để phân tích.
Microsoft cho biết Power Query là công nghệ kết nối dữ liệu cho phép người dùng khám phá, kết nối, kết hợp và tinh chỉnh các nguồn dữ liệu để đáp ứng các nhu cầu phân tích. Với Power Query, người dùng có thể tìm kiếm các nguồn dữ liệu, tạo kết nối và sau đó định hình dữ liệu (ví dụ: xóa một cột, thay đổi loại dữ liệu hoặc hợp nhất các bảng) tùy theo nhu cầu của người dùng.
Theo các nhà nghiên cứu, các hacker tiềm năng có thể lạm dụng tính năng này để phân phối malware bằng cách nhúng mã độc vào biểu dữ liệu (datasheet). Khi mở biểu dữ liệu, mã độc sẽ chạy trên hệ thống đích và thực thi các phần mềm độc hại này.
Các cuộc tấn công dạng này thường khó phát hiện và các hacker có nhiều cơ hội để thỏa hiệp với host của nạn nhân.
Sử dụng điểm yếu tiềm ẩn trong Power Query, những kẻ tấn công có khả năng nhúng bất kỳ payload độc hại nào. Những payload này được thiết kế để không lưu bên trong (inside) tài liệu mà được tải xuống từ các trang web khi tài liệu được mở.
Trong một bài đăng trên blog, các nhà nghiên cứu cũng đã mô phỏng và chia sẻ chi tiết một khai thác DDE lạm dụng Power Query.
Vẫn chưa có bản vá cho lỗ hổng Microsoft Excel Power Query
Ngay khi phát hiện một kỹ thuật khai thác lỗ hổng thành công, Mimecast đã tìm đến Microsoft để báo cáo vấn đề. Tuy nhiên, các nhà nghiên cứu cho biết Microsft vẫn chưa tìm ra phương án sửa chữa.
Tuy nhiên, phía công ty cũng đã đề xuất một cách giải quyết để giảm thiểu các cuộc tấn công. Trong một tư vấnbảo mật gần đây, Microsoft đã giải thích cách thức người dùng có thể mở Tài liệu Microsoft chứa trường DDE (trên cả tệp Excel và Word) một cách an toàn.
Năm 2017, các nhà nghiên cứu từ Sensepost cũng đã báo cáo một phương thức tấn công tương tự lạm dụng lỗ hổng tồn tại trong Microsoft Word.
Thêm bình luận