Tấn công DDE với file Word qua mặt các phần mềm virus

513
04-04-2018
Tấn công DDE với file Word qua mặt các phần mềm virus

Tấn công DDE mới với file Word qua mặt các phần mềm diệt virus - Đây là một phương thức tấn công đã được biết đến từ lâu nhưng vẫn còn lạ lẫm với nhiều người, đó chính là sử dụng các tập tin Microsoft Office như Word. Bằng kỹ thuật này, các hacker có thể phát tán mã độc cho máy tính mà chương trình chống virus không phát hiện ra. Thực sự đây là một lổ hổng bảo mật nên được chú ý cao độ.

TheoBizfly Cloud  tìm hiểu một nhóm hacker đã bị phát hiện khi đang gửi một tập tin văn bản Word khai thác tính năng có tên gọi là Dynamic Data Exchange (DDE). DDE cho phép một tập tin thực thi mã độc đã được lưu trữ trong một tập tin khác và cho phép các ứng dụng gửi/nhận bản cập nhật dữ liệu mới.

Nhóm này đã gửi một tệp văn bản có tên IsisAttackInNewYork.docx nhằm khai thác tính năng DDE này. Khi được mở, tập tin này sẽ kết nối với máy chủ điều khiển để tải xuống nội dung của phần mềm độc hại có tên là Seduploader và cài đặt nó vào máy tính nạn nhân.

DDE có thể bị lạm dụng để cài đặt phần mềm độc hại bằng cách sử dụng các tập tin Word mà không bị phần mềm chống virus phát hiện.

Do đó, Microsoft đã đưa ra khuyến cáo để người dùng Office có thể tự bảo vệ mình khỏi các cuộc tấn công. Cách đơn giản nhất để giữ an toàn là cẩn trọng trước mọi thông điệp lạ hiện ra mỗi khi mở các tệp văn bản.

SensePost cảnh báo, trước khi tính năng DDE được kích hoạt, người dùng sẽ thấy một hộp thoại giống như dưới đây:

photo-1

Nếu nhấn YES, một lời nhắc sẽ tiếp tục được đưa ra:

photo-2

Phần mềm chứa mã độc được thực thi chỉ khi nào người dùng click YES trên cả hai cảnh báo.

Khuyến cáo của Microsoft cũng chỉ ra rằng, về mặt kỹ thuật, có thể thay đổi các thiết lập trong registry của Windows để ngăn chặn tính năng DDE tự động cập nhật dữ liệu từ tập tin này sang tập tin khác.

photo-3

Các nhà nghiên cứu cho biết những kẻ tấn công đã lợi dụng tính năng này để cài đặt cài đặt phần mềm tống tiền ransomware lên các thiết bị.

Nhiều chuyên gia an ninh đã nhấn mạnh về khả năng của các cuộc tấn công kích hoạt tính năng DDE nhằm lây lan phần mềm độc hại thông qua các tệp văn bản có thể diễn ra mà không cần bật macro. Mối nguy hiểm của việc bật macro trong các tệp văn bản đã được nhiều người biết đến nhưng DDE lại không cần như vậy, điều này khiến nó thực hiện các cuộc tấn công hiệu quả hơn.

Dù vậy, bạn cũng không cần phải quá lo lắng. Cơ chế tấn công dựa trên DDE có các dấu hiệu nhận biết riêng và người dùng hoàn toàn có thể phòng tránh.

Chúc các bạn luôn an toàn và bảo mật!

Nguồn: cuongquach.com

SHARE