Các macro VBA (Visual Basic for Applications) trong các tài liệu Microsoft Office từ lâu đã bị các tác giả đe dọa lạm dụng để xâm nhập vào hệ thống đích và triển khai phần mềm độc hại và ransomware. Nếu được phép chạy tự động, macro có thể được tận dụng để thực thi mã độc khi tài liệu MS được mở. Ngay cả khi Microsoft Office vô hiệu hóa macro chạy và hiển thị thanh thông báo cảnh báo người dùng về rủi ro bảo mật khi chạy các macro này, kẻ xấu đã có nhiều kịch bản thuyết phục khác nhau để lừa người dùng nhấp vào nút "Bật Macro". Để giúp chống lại phần mềm độc hại dựa trên macro, Microsoft chặn các macro Office thu được từ internet trong năm ứng dụng Office theo mặc định bắt đầu từ ngày 27 tháng 7 năm 2022. Do đó, người dùng Access, Excel, PowerPoint, Visio và Word không thể bật tập lệnh macro bên trong các tệp không đáng tin cậy được tải xuống từ internet.
Hạn chế này được báo trước là một yếu tố thay đổi cuộc chơi cho ngành an ninh mạng. Tuy nhiên, nó có thực sự cung cấp sự an toàn cho người dùng MS không? Câu trả lời là không. Tội phạm mạng rất giỏi trong việc tìm ra những cách mới và sáng tạo để hack và xâm nhập vào hệ thống của bạn.
Vector tấn công VSTO
Một vectơ tấn công mới nổi được tội phạm mạng sử dụng thay thế cho VBA là Visual Studio Tools for Office (VSTO), có thể xuất Add-In được nhúng bên trong tài liệu Office. Tệp VSTO Office cho phép kẻ tấn công lừa đảo người dùng và thực thi mã độc từ xa thông qua việc cài đặt Add-In.
Tài liệu VSTO Office được liên kết với ứng dụng Visual Studio Office File, được viết bằng .NET. Nó có thể chứa mã tùy ý có thể được sử dụng cho mục đích xấu, giống như VBA. Tài liệu VSTO Office có thể đính kèm các tham chiếu và siêu dữ liệu để tải xuống tệp VSTO (ứng dụng .NET) từ Internet khi người dùng mở tệp.
Dưới đây là bản demo được ghi lại của chúng tôi cho thấy cách tệp VSTO Word tải xuống và thực thi một ứng dụng có hại trên máy của nạn nhân.
Deep CDR Công nghệ (Giải trừ và Tái cấu trúc Nội dung) có thể vô hiệu hóa loại tấn công mạng này
Với suy nghĩ rằng mọi tập tin đều có khả năng gây ra mối đe dọa, Deep CDR phát hiện và vô hiệu hóa tất cả các thành phần thực thi đáng ngờ được nhúng trong các tệp để đảm bảo tất cả các tệp vào tổ chức của bạn không gây hại. Đây là cách tiếp cận hiệu quả nhất để ngăn chặn phần mềm độc hại ẩn núp nâng cao và các cuộc tấn công zero-day.
Xem bản demo bên dưới để xem tệp VSTO Word độc hại đã bị OPSWAT MetaDefender vô hiệu hóa như thế nào bằng cách sử dụng Deep CDR .
Tìm hiểu thêm về công nghệ Deep CDR . Để xem cách chúng tôi có thể giúp cung cấp khả năng bảo vệ toàn diện cho tổ chức của bạn chống lại các tài liệu bị vũ khí hóa, hãy trao đổi ngay với chuyên gia OPSWAT .
Tham khảo
Macro từ internet bị chặn theo mặc định trong Office - Triển khai Office
Làm cho lừa đảo trở nên tuyệt vời trở lại. Các tệp văn phòng VSTO là cơn ác mộng macro mới?
