1. Thông tin chung
ActiveX dùng trong chức năng Snapshot Viewer của Microsoft Access cho phép người dùng có thể xem các file Access Report Snapshot mà không cần phải cài đặt bất kì phiên bản Microsoft Office Access nào. Bạn có thể dùng Internet Explorer hoặc bất kì phần mềm nào có hỗ trợ ActiceX để sử dụng chức năng này.
Vào đầu tháng 7-2008, một lỗi nguy hiểm của ActiveX này được Microsoft công bố, dựa vào lỗi này, attacker chỉ cần lừa người dùng vào trang web có chứa mã độc khai thác lỗi trên, rồi sau đó xâm nhập, chiếm quyên điều khiển máy người dùng, lấy đi các thông tin cá nhân ...Nguy hiểm hơn, khi ActiveX này có trong hầu hết các phần mềm Microsoft Access và lỗ hổng này chưa được Microsoft đưa ra bản vá.
|
Ngày công bố |
Phần mềm có lỗi |
Mức độ nguy hiểm |
|
07-07-2008 |
ActiveX Snapshot Viewer được sử dụng trong các phiên bản:
Microsoft Access 2000
Microsoft Access 2002
Microsoft Access 2003
Microsoft Access Snapshot Viewer
Microsoft Office 2000
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office XP |
Cao |
2. Mô tả kỹ thuật
Trung tâm An ninh mạng Bkis đã tiến hành thử nghiệm và xác minh mức độ nguy hiểm của lỗ hổng này. Kết quả phân tích cho thấy, lỗi nằm ở file snapview.ocx ActiveX Control. Ngoài chức năng xem các file Report Snapshot (có đuôi mở rộng là .snp) trên có trên máy local, ActiveX này cho phép người dùng có thể xem các file snp qua mạng thông qua mã nhúng html chạy trên Internet Explorer. Thực chất của công việc này là Snapview sẽ tự động download file thông qua đường link được định trong đoạn mã html về thư mục Temp rồi sau đó mới bắt đầu xử lý như đối với file trên máy local.
Tuy nhiên, Snapview ActiveX đã không kiểm tra định dạng của các file mà download luôn về máy, lợi dụng sơ hở này, thay vào việc đưa vào mã nhúng html các link file snp, kẻ xấu sẽ đưa vào link của các file có chứa mã độc, thậm chí cả các file thực thi (*.exe). Attacker hoàn toàn có thể cho người dùng download những file bất kì về những vị trí bất kì trên máy người dùng.
Khi các file chứa mã độc đã có trên máy người dùng, người dùng có thể vô tình kích hoạt file chứa mã độc hoặc file mã độc sẽ được đặt trong những thư mục nhạy cảm, như thư mục Windows Startup nơi mà các file trong đó sẽ tự động chạy vào lần khởi động tiếp theo của máy.
3. Cập nhật bản vá
Mặc dù đây là lỗi nguy hiểm nhưng hiện nay, Microsoft vẫn chưa đưa ra bản vá. Vì vậy chúng tôi xin khuyến cáo các bạn đọc kỹ Microsoft Security Advisory số 955179 và phòng tránh bằng cách thực hiện một trong các thao tác sau:
- Vô hiệu hóa ActiveX Snapshot Viewer của Microsoft Access trong Internet Explorer:
+Bật regedit editor, tìm đến các key sau:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
+Đặt giá trị "Compatibility Flags" của các key này thành dword:00000400
- Cập nhật phiên bản Internet Explorer 7: Internet Explorer 7 sẽ an toàn hơn cho người dùng trong việc sử dụng các ActiveX.
- Lưu ý khi sử dụng: Tránh vào các website không rõ nguồn gốc, bấm vào các đường link hay email lạ
Chuyên viên phân tích: Mai Xuân Cường