Home Thủ Thuật IT Lỗ hỏng trên MS Word cho phép hacker xâm nhập máy tính...

Lỗ hỏng trên MS Word cho phép hacker xâm nhập máy tính bạn

513
SHARE

Mới đây các nhà nghiên cứu đã phát hiện ra lổ hỏng trên MS Word 2016 và trên các phiên bản word cũ hơn có thể cho phép hacker cài mã độc vào tệp tin để lừa người dùng, xâm nhập máy tính người dùng một cách hợp pháp.

Các nhà nghiên cứu tại Cymulate đã phát hiện lỗi này là lạm dụng tùy chọn “Video Trực tuyến” trong tài liệu Word, một tính năng cho phép người dùng nhúng video trực tuyến có liên kết tới YouTube.

Khi người dùng nhúng 1 link video từ youtube thì tệp sẽ tự động tạo 1 tập lệnh nhúng html. Và nó sẽ được thực thi khi người dùng nhấn chọn vào hình thu nhỏ bên trong tài liệu

Lỗ hỏng trên ms word
hình thu nhỏ lổ hỏng trên ms word

Các nhà nghiên cứu đã quyết định công bố “lỗ hỏng trên ms word” sau ba tháng khi họ đã bị Microsoft từ chối công nhận là một lổ hỏng bảo mật

Lổ hỏng trên ms word hoạt động thế nào ?

Vì các tệp trên Word Doc (.docx) cũng là các gói zip của các tệp media và configuration, nó có thể dễ dàng được mở và chỉnh sửa.

Theo các nhà nghiên cứu, tệp tin được gọi là “doc2.xml”, là tệp XML mặc định được Word sử dụng và chứa mã video được tạo, có thể được chỉnh sửa để thay thế mã iFrame video hiện tại bằng bất kỳ mã HTML hoặc javascript nào sẽ chạy ở chế độ nền.

lổ hỏng trên ms word
Chỉ là file xml

Nói một cách đơn giản về lổ hỏng trên ms word, kẻ tấn công có thể khai thác lỗi bằng cách thay thế video trên YouTube thực bằng một video độc hại mà Trình quản lý tải xuống của trình duyệt sẽ thực thi.

Để chứng mình điều này. Các nhà nghiên cứu đã tạo ra một cuộc tấn công PoC. Chứng minh bằng cách tạo tạo tệp tin độc hại và nhắc mọi người nhấn chọn down về 1 tập tin độc hại.

Lỗi này tác động đến tất cả người dùng với MS Office 2016 và các phiên bản cũ hơn, các nhà nghiên cứu đã báo cáo lỗi này cho Microsoft, nhưng công ty từ chối thừa nhận nó là lỗ hổng bảo mật.

nguồn: thehackernews