FIREEYE PHÁT HIỆN RA LỖ HỔNG ZERO-DAY TRONG PHẦN MỀM MICROSOFT WORD (ĐỊNH DANH CVE-2017-8759)

Date: 25/07/2019

Nghiên cứu về mối đe dọa
FireEye gần đây đã phát hiện một tài liệu độc hại có định dạng Microsoft Word RTF đã khai thác lỗ hổng CVE-2017-8759, một lỗ hổng trong chương trình phân tích cú pháp SOAP WSDL. Lỗ hổng này cho hacker nhúng và chạy các đoạn mã tùy ý trong quá trình phân tích nội dung của SOAP WSDL. FireEye đã phân tích một tài liệu Microsoft Word mà những kẻ tấn công đã sử dụng mã lệnh để tải xuống và thực thi một kịch bản Visual Basic với các lệnh PowerShell nhúng.
FireEye đã chia sẻ chi tiết về lỗ hổng này với Microsoft và công khai thông tin cùng thời điểm với việc phát hành các bản vá nhằm giải quyết lỗ hổng nói trên. Thông tin chi tiết có ở đây.
Các sản phẩm bảo vệ Email, Web, thiết bị đầu cuối của FireEye đều có khả năng phát hiện và ngăn chặn việc khai thác lỗ hổng này.
Lỗ hổng được khai thác nhằm tới người dùng sử dụng tiếng Nga
Tài liệu độc hại, “Проект.doc” (MD5: fe5c4d6bb78e170abf5cf3741868ea4c), có thể đã được sử dụng để nhắm mục tiêu tới cộng đồng nói tiếng Nga. Khi khai thác thành công lỗ hổng CVE-2017-8759, tài liệu này sẽ tải xuống nhiều thành phần và thậm chí sẽ khởi chạy phần mềm độc hại FINSPY (MD5: a7b990d5f57b244dd17e9a937a41e7f5).
Phần mềm FINSPY, còn được gọi là FinFisher hoặc WingBird, là sản phẩm được tiếp thị bởi công ty Gamma International cho các cơ quan thực thi luật pháp của chính phủ như là một phần của khả năng “ngăn chặn hợp pháp”. Dựa vào việc sử dụng FINSPY trước đây, chúng tôi đánh giá rằng tài liệu này đã được một nhóm hacker có sự ủng hộ của chính phủ sử dụng để nhắm mục tiêu đến một thực thể nói tiếng Nga cho mục đích gián điệp mạng. Các phát hiện bổ sung bởi hệ thống theo dõi mạng của FireEye cho thấy các hoạt động liên quan có thể đã xảy ra vào tháng 7 năm 2017.
Phần kết luận
CVE-2017-8759 là lỗ hổng zero-day thứ hai được sử dụng để phát tán FINSPY được phát hiện bởi FireEye trong năm 2017. FINSPY đã được bán cho nhiều khách hàng, cho thấy lỗ hổng đã được khai thác với nhiều mục tiêu khác nhau. Mặc dù chúng tôi không tìm thấy bằng chứng về điều này, nhưng một lỗ hổng zero-day khác (CVE-2017-0199) đã được sử dụng để phát tán FINSPY vào tháng 4 năm 2017 có liên quan tới động cơ tài chính. Nếu hacker đứng đằng sau FINSPY nhận được lỗ hổng này từ cùng một nguồn được sử dụng trước đây, có thể nguồn đó đã bán nó cho các hacker khác.
Tham khảo https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html

Bài viết liên quan

NETAPP –  VMware

NETAPP – VMware

Lower TCO? Improve security? increase efficiency and flexibility for VMware? You name it, ADG and NetApp can provide you with…

ADG No Image

NETAPP – Cyber Resilience

Protecting valuable data and building cyber resilience has never been easier than ever! ADG and NetApp can give you confidence…

ADG bước tiến mới trong hành trình phát triển cùng M1

ADG bước tiến mới trong hành trình phát triển cùng M1

Công ty Cổ phần Đầu tư và Phát triển Công nghệ Quốc gia ADG (ADG) công bố hợp tác cùng…

Tại sao doanh nghiệp nên lựa chọn sử dụng Windows 11 Pro? 

Tại sao doanh nghiệp nên lựa chọn sử dụng Windows 11 Pro? 

Windows 11 có hai phiên bản chính là Home và Pro, mỗi phiên bản đều có những tính năng và…

Windows bản quyền: Lý do doanh nghiệp nên chọn giải pháp bản quyền an toàn và hiệu quả

Windows bản quyền: Lý do doanh nghiệp nên chọn giải pháp bản quyền an toàn và hiệu quả

Với Windows bản quyền, doanh nghiệp không chỉ nâng cao bảo mật mà còn tối ưu hóa hiệu suất làm…

ADG No Image

ADG Connect Day 2024: Kết nối Công nghệ và Trí tuệ nhân tạo tạo sinh

Ngày 27/08/2024, tại Grand Plaza Hà Nội, sự kiện “ADG Connect Day 2024” đã diễn ra thành công với sự…

ADG No Image

UPS sử dụng pin Lithium-ion giúp được gì cho cam kết sử dụng năng lượng xanh mà Chính phủ Việt Nam cam kết tại hội nghị COP28

Trong những năm gần đây, VinFast – một công ty thành viên thuộc Tập đoàn VinGroup, đã thực hiện bước…

ADG No Image

Thiết bị lưu điện và bước chuyển đổi từ ắc quy axit-chì sang Pin Lithium Ion

Trong hơn nửa thế kỷ đã qua, ắc quy axit- chì đã được sử dụng như một phương án lưu…

Đưa AI đến gần hơn với doanh nghiệp Việt Nam: Startup Empowerment: Unveiling the Gateway to Global Innovation do ADG, NVIDIA và FPT đồng tổ chức

Đưa AI đến gần hơn với doanh nghiệp Việt Nam: Startup Empowerment: Unveiling the Gateway to Global Innovation do ADG, NVIDIA và FPT đồng tổ chức

Vừa qua, ADG Disribution đã phối hợp cùng NVIDIA và FPT tổ chức sự kiện Startup Empowerment: Unveiling the Gateway…

ADG Đẩy Mạnh Hạ Tầng AI Tại Việt Nam: Giải Pháp Công Nghệ Tối Ưu Cho Doanh Nghiệp

ADG Đẩy Mạnh Hạ Tầng AI Tại Việt Nam: Giải Pháp Công Nghệ Tối Ưu Cho Doanh Nghiệp

Với mục tiêu hỗ trợ doanh nghiệp Việt xây dựng hạ tầng AI, đặc biệt là tối ưu hóa hiệu…