Anh em sinh đôi xấu xa của anh chàng kẹp giấy Clippy có thể vượt qua các phần mềm diệt virus và lây nhiễm mã độc cho Microsoft Office

Clippy – nhân vật nổi tiếng trong Office Assistant đã quay trở lại, và lợi hại hơn xưa. Các chuyên gia an ninh đã phát triển ra một công cụ đội lốt Clippy để giúp "đội đỏ" (Red team – tập hợp các hacker mũ trắng, đảm nhận công việc tấn công để tìm kiếm những lỗ hổng bảo mật và giúp tập đoàn vá lỗi, trước khi chúng trở thành mục tiêu của kẻ gian thật sự) cùng các tester tạo ra những tài liệu Microsoft độc hại với mục đích tốt.

Công ty Công nghệ Thông tin Outflank đã giới thiệu tool này tại sự kiện an ninh mạng BlackHat Asia, và Evil Clippy (Clippy xấu xa) có thể qua mặt những ứng dụng diệt virus bằng một phương pháp phức tạp, trong đó bao gồm cả VBA stomping.

Các nhà nghiên cứu giải thích rằng cốt lõi của lỗ hổng này đến từ việc lợi dụng một tính năng không chính thức, cụ thể là " undocumented PerformanceCache part of each module stream contains compiled pseudo-code (p-code) for the VBA engine."

Evil Clippy – có thể cài đặt được trên Windows, Linux và macOS, giấu được VBA macros khỏi GUI editor, lừa được cả công cụ phân tích, truy cập những VBA stomped template thông qua HTTP cũng như thiết lập và loại bỏ các lớp bảo vệ như khoá/cấm xem của VBA project trong các tài liệu Office.

"Evil Clippy sử dụng thư viện OpenMCDF để thao tùng các file MS Office Compound File Binary Format, cũng như lạm dụng các tính năng của MS -OVBA. Nó sử dụng lại những đoạn code từ Kavod.VBA.Compression để tiến hành thực hiện các thuật toán nén được sử dụng trong dir và module streams," các chuyên gia giải thích.

Vậy Microsoft cần làm gì? Mặc dù Evil Clippy có thể khiến người dùng Office lo ngại, đọi ngũ các nhà nghiên cứu bảo mật nhấn mạnh lại rằng mục đích của công cụ này là để rung một hồi chuông cảnh tỉnh dành cho gã khổng lồ công nghệ xứ Redmond, để họ cải tiến lại hàng rào bảo vệ phần mềm của mình khỏi những macro độc hại.

"Evil Clippy mới chỉ là bề nổi của tảng bằng trôi mà thôi, bởi vẫn còn đó rất nhiều vấn đề do sự thiếu liên kết giữa MS-OVBA và ứng dụng thực tế của nó trong MS Office. Vì macro độc hại chính là một trong những phương thức phổ biến nhất, việc phát triển một hệ thống để chống lại chúng là điều tối quan trọng."

Mã nguồn của Evil Clippy đã có trên GitHub, bạn có thể xem qua tại đây.

Theo Softpedia