Dù các công ty phần mềm luôn định kỳ công bố các bản vá nhằm ngăn chặn tình trạng hacker lợi dụng các lỗ hổng tiềm ẩn, khách hàng lại thường xuyên quên cài đặt chúng, và có vẻ như bọn tội phạm mạng nắm rõ điều này.
Menlo Labs gần đây phát hiện ra một loạt các cuộc tấn công trong đó tội phạm mạng liên tục khai thác một lỗ hổng bảo đã cũ trong Microsoft Office, với mã hiệu CVE-2017-11882, mặc cho sự thật là nó đã được vá từ hơn hai năm trước. Những cuộc tấn công này nhắm vào các doanh nghiệp trong ngành bất động sản, giải trí, và ngân hàng tại Hong Kong và Bắc Mỹ.
Lỗ hổng được sử dụng trong các vụ tấn công tồn tại bên trong ứng dụng Equation Editor thuộc bộ Office của Microsoft, vốn là ứng dụng cho phép người dùng nhúng các phương trình hay các công thức toán học vào bất kỳ tài liệu Office nào.
Theo một báo cáo gần đây nhất từ FBI, CVE-2017-11882 là một trong 10 lỗ hổng thường xuyên bị khai thác nhất bởi tội phạm mạng.
Cuộc tấn công đầu tiên mà Menlo Labs ghi nhận là sử dụng một tập tin RTF để kích hoạt CVE-2017-11882 trong Microsoft Office. Nếu người dùng mở tài liệu Word tải về từ website loginto.me, lỗ hổng sẽ được kích hoạt dưới dạng một yêu cầu HTTP đến một website bit.ly. Website bit.ly này sau đó sẽ chuyển hướng sang website Femto uploader và tải về một tập tin thực thi. Một khi tập tin thực thi này được ở ra trên máy tính người dùng, nó sẽ gửi một yêu cầu HTTP khác đến website paste.ee, nơi "kiện hàng" độc hại của kẻ tấn công được tải về. "Kiện hàng" này chứa trojan truy cập từ xa NetWire (RAT) vốn được lợi dụng để đánh cắp danh tính và dữ liệu thẻ thanh toán của người dùng.
Cuộc tấn công thứ hai mà Menlo Labs phát hiện ra xuất phát từ dropsend.com – một website chia sẻ tập tin phổ biến. Website này được dùng để chứa một tập tin Microsoft Excel độc hại mà khi mở ra sẽ gửi một yêu cầu HTTP để tải về malware Agent Tesla. Agent Tesla là một RAT có khả năng đánh cắp danh tính, chụp ảnh màn hình, và tải về các tập tin khác.
Cuộc tấn công cuối cùng khai thác CVE-2017-11882 là thông qua một tập tin có tên chứa từ "Authorization" (xác thực) lưu trữ trên OneDrive. Khi người dùng mở tập tin Excel độc hại này, nó sẽ tải về và thực thi một tập tin chứa RAT Houdini hoặc H-Worm.
Trong bài blog của mình, Giám đốc nghiên cứu bảo mạt tại Mento Labs, Vinay Pidathala, cung cấp thêm thông tin về phát hiện này:
"Việc CVE-2017-11882 được tiếp tục khai thác cho thấy độ tin cậy của nó, và rằng vẫn có nhiều công ty đang sử dụng phần mềm lỗi thời. Vá các ứng dụng và hệ điều hành để bảo vệ họ trước các vấn đề bảo mật là điều tối quan trọng, nhưng việc thiếu hụt các chuyên gia an ninh mạng kết hợp với môi trường kinh doanh luôn thay đổi khiến các doanh nghiệp gặp khó khăn khi triển khai quy trình quản lý các bản vá phần mềm".
Theo GenK