Microsoft vá lỗ hổng Zero-Day trong Office

Lỗ hổng zero-day hay còn gọi là CVE-2018-0802 được Microsoft mô tả như một vấn đề tham nhũng bộ nhớ, có thể bị khai thác để cài đặt mã từ xa bằng cách buộc những người dùng mục tiêu mở một tập tin được tạo riêng trên Office hoặc WordPad.

Microsoft đã tiếp nhận ý kiến của một số nhà nghiên cứu từ các công ty Trung Quốc như Tencent và Qihoo 360, nhóm 0Patch Team của công ty bảo mật ACROS và các chuyên gia từ Check Point Software Technologies về việc phát hiện ra lỗ hổng.

Lỗ hổng bảo mật này có liên quan đến CVE-2017-11882, một lỗ hổng tồn tại 17 năm trong Equation Editor (EQNEDT32.EXE), đã được nhà cung cấp xử lý bằng bản cập nhật Pat Tuesday tháng 11/2017. Dựa vào cách bản vá này được xây dựng, các chuyên gia cho rằng Microsoft có thể đã bị mất mã nguồn của ứng dụng nên họ phải vá trực tiếp vào tập tin thực thi. Microsoft đã thay thế thành phần Equation Editor trong Office 2007, nhưng vẫn giữ thành phần cũ cũng như vì các lý do tương thích. Thành phần có vấn đề hiện đã được gỡ bỏ khỏi Office.

Các nhà nghiên cứu bản cập nhật đã và đang phân tích CVE-2017-11882. Điều này giúp họ khám phá ra lỗ hổng mới, có liên quan. Check Point đã đăng tải trên một blog các chi tiết về lỗ hổng CVE-2018-0802 và chỉ rõ cách thức khai thác đã diễn ra như thế nào, nhưng không đề cập tới bất kỳ cuộc tấn công nào.

Điều này cho thấy các nhà nghiên cứu Trung Quốc có thể là một trong những người phát hiện ra lỗ hổng bị khai thác trong các cuộc tấn công. Đây không phải lần đầu tiên các chuyên gia tại Qihoo 360 chứng kiến sự khai thác của lỗ hổng zero-day trong Office. Hồi tháng 10/2017, sau khi Microsoft phát hành bản vá, họ cho biết CVE-2017-11826 đang bị lợi dụng để phát tán phần mềm độc hại.

Nếu CVE-2018-0802 có liên quan đến CVE-2017-11882 thì có một danh sách dài các kẻ tấn công có thể khai thác lỗ hổng này. CVE-2017-11882 đã bị khai thác bởi những phần mềm gián điệp mạng Iran, nhóm tin tặc Cobalt, sử dụng TelegramRAT và các lỗ hổng khác.

Bản cập nhật Patch Tuesday của Microsoft cũng xử lý một lỗ hổng giả mạo trong Office cho  máy Mac đã được công bố rộng rãi. 16 lỗ hổng được xếp vào loại quan trọng đã được xử lý trong tháng này. Phần lớn các lỗ hổng này ảnh hưởng tới công cụ soạn thảo của các trình duyệt web của Edge và Internet Explorer. Microsoft cũng xếp lỗ hổng trong  Word (CVE-2018-0797) vào mức nghiêm trọng, có thể bị khai thác để thực thi mã từ xa qua việc sử dụng các tệp tin RTF lừa đảo đặc biệt.

Ngoài ra, bản cập nhật vá lỗi tháng đầu tiên 2018 của Adobe cũng chỉ xử lý một lỗ hổng làm lộ thông tin trong Flash Player.