Cuối tuần qua, các nhà nghiên cứu cảnh báo rằng một lỗ hổng trong Công cụ Chẩn đoán Hỗ trợ của Microsoft có thể bị tận dụng thông qua tài liệu Word độc hại để từ xa kiểm soát thiết bị mục tiêu. Microsoft đã phát hành hướng dẫn vào thứ Hai, bao gồm các biện pháp phòng ngừa tạm thời. Đến thứ Ba, Cơ quan An ninh và Hạ tầng Cybersecurity của Hoa Kỳ đã cảnh báo rằng “một kẻ tấn công từ xa, không xác thực có thể tận dụng lỗ hổng này,” được biết đến là Follina, “để kiểm soát hệ thống bị ảnh hưởng.” Nhưng Microsoft không nói khi nào hoặc liệu có bản vá cho lỗ hổng hay không, mặc dù công ty đã thừa nhận rằng lỗ hổng đang bị tận dụng một cách tích cực bởi kẻ tấn công ở nơi hoang dã. Và công ty vẫn không có bình luận về khả năng có bản vá hay không khi được hỏi bởi MINPRICE hôm qua.
Lỗ hổng Follina trong một công cụ hỗ trợ của Windows có thể dễ dàng bị tận dụng thông qua một tài liệu Word được tạo ra đặc biệt. Điều lôi cuốn là một mẫu từ xa có thể truy xuất một tệp HTML độc hại và cuối cùng cho phép kẻ tấn công thực hiện các lệnh Powershell trong Windows. Các nhà nghiên cứu lưu ý rằng họ sẽ mô tả lỗ hổng này như một “zero-day,” hoặc lỗ hổng trước đây chưa biết đến, nhưng Microsoft chưa phân loại nó như vậy.
“Sau khi kiến thức công cộng về lỗ hổng tăng, chúng tôi đã thấy một phản ứng ngay lập tức từ nhiều kẻ tấn công bắt đầu sử dụng nó,” Tom Hegel, nhà nghiên cứu mối đe dọa cấp cao tại công ty bảo mật SentinelOne nói thêm rằng trong khi kẻ tấn công chủ yếu đã được quan sát tận dụng lỗ hổng thông qua tài liệu độc hại cho đến nay, các nhà nghiên cứu cũng đã phát hiện ra các phương pháp khác nhau, bao gồm cả sự thao túng nội dung HTML trong luồng truyền tải mạng.
“Trong khi phương thức sử dụng tài liệu độc hại là đáng lo ngại, những phương pháp ít được tài liệu hóa mà kẻ tấn công có thể kích hoạt là làm phiền đến khi có bản vá,” Hegel nói. “Tôi mong đợi những nhóm đe dọa cơ hội và có mục tiêu sẽ sử dụng lỗ hổng này theo nhiều cách khi có cơ hội—điều này quá dễ dàng.”
Lỗ hổng tồn tại trong tất cả các phiên bản Windows được hỗ trợ và có thể bị tận dụng thông qua Microsoft Office 365, Office 2013 đến 2019, Office 2021 và Office ProPlus. Biện pháp giảm nhẹ chính của Microsoft liên quan đến việc tắt một giao thức cụ thể trong Công cụ Chẩn đoán Hỗ trợ và sử dụng Microsoft Defender Antivirus để theo dõi và chặn khai thác.
Nhưng người phản ứng sự cố nói rằng cần có thêm hành động, vì dễ dàng khai thác lỗ hổng và có nhiều hoạt động độc hại được phát hiện.
“Chúng tôi đang thấy nhiều đối tượng APT tích hợp kỹ thuật này vào chuỗi nhiễm dài sử dụng lỗ hổng Follina," nói Michael Raggi, một nhà nghiên cứu mối đe dọa của Proofpoint tập trung vào nhóm hacker do chính phủ Trung Quốc hỗ trợ. "Ví dụ, vào ngày 30 tháng 5 năm 2022, chúng tôi quan sát nhóm hacker APT Trung Quốc TA413 gửi một URL độc hại trong một email giả mạo Chính phủ Trung ương Tây Tạng. Các đối tượng khác đang chèn các tệp liên quan đến Follina vào các giai đoạn khác nhau của chuỗi nhiễm của họ, tùy thuộc vào bộ công cụ và chiến thuật đã triển khai trước đó của họ.”
Những nhà nghiên cứu cũng đã thấy các tài liệu độc hại khai thác lỗ hổng Follina với mục tiêu tại Nga, Ấn Độ, Philippines, Belarus và Nepal. Một nhà nghiên cứu đại học lần đầu tiên phát hiện ra lỗ hổng vào tháng 8 năm 2020, nhưng nó được báo cáo đầu tiên cho Microsoft vào ngày 21 tháng 4. Các nhà nghiên cứu cũng lưu ý rằng các cuộc tấn công Follina rất hữu ích đối với các kẻ tấn công vì chúng có thể xuất phát từ các tài liệu độc hại mà không phải dựa vào Macros, tính năng của tài liệu Office đã bị lạm dụng mạnh mẽ mà Microsoft đã làm việc để kiềm chế.
“Proofpoint đã xác định một loạt các đối tượng tích hợp lỗ hổng Follina trong các chiến dịch lừa đảo," nói Sherrod DeGrippo, Phó Chủ tịch nghiên cứu đe dọa của Proofpoint.
Với tất cả sự khai thác thực tế này, câu hỏi là liệu hướng dẫn mà Microsoft đã công bố cho đến nay có đủ và cân xứng với rủi ro không.
“Các đội an ninh có thể xem cách tiếp cận không chú ý của Microsoft như một dấu hiệu cho rằng đây chỉ là ‘một lỗ hổng nữa,’ điều mà nó chắc chắn không phải,” nói Jake Williams, Giám đốc tình báo đe dọa mạng tại công ty an ninh Scythe. “Không rõ tại sao Microsoft tiếp tục giảm nhẹ về lỗ hổng này, đặc biệt là khi nó đang bị khai thác một cách tích cực ở nơi hoang dã.”