Chúng tôi đã từng cảnh báo về việc máy tính bị hack khi mở một file tài liệu văn bản Microsoft Word. Bài viết này sẽ hướng dẫn cách chống loại mã độc Macro có nguy cơ gây hại cho người dùng thường xuyên làm việc với Microsoft Word.
Macro là công nghệ bắt đầu từ những năm 1990. Chắc hẳn người dùng đều quen với thông báo: “Warning: This document contains macros.“. Bản thân mã độc trong Macro không ảnh hưởng trực tiếp đến máy tính, nhưng khi kích hoạt tính năng “Macro” để xem nội dung văn bản, máy tính sẽ có khả năng bị mã độc tấn công.
Macro là chuỗi các lệnh và hành động giúp thực hiện tự động hóa công việc. Microsoft Office hỗ trợ Macro viết bằng ngôn ngữ lập trình Visual Basic cho ứng dụng (VBA) nhưng ngôn ngữ này cũng có thể được sử dụng để cài đặt mã độc. Mánh khóe của tin tặc sử dụng kĩ thuật social engineering bằng cách phát tán Macro độc hại thông qua tệp tin văn bản .doc có nội dung gây chú ý cho các tổ chức.
Khi người dùng mở tệp tin đính kèm trong email, tệp tin văn bản .doc sẽ được tải về hệ thống và đòi hỏi “Enable Editing” để xem nội dung.
Nếu người dùng nhấn vào “Enable Editing”, tệp tin độc hại sẽ tiến hành gắn mã độc vào các tệp tin tài liệu khác để tăng khả năng tấn công vào hệ thống mạng của người dùng. Mã độc được tìm thấy hiện nay trong Macro là mã độc ngân hàng Dridex và mã độc mã hóa tống tiền Locky.
HƯỚNG DẪN BẢO VỆ TRƯỚC MÃ ĐỘC MACRO
BƯỚC 1: Cấu hình Trusted Location
Vô hiệu hóa Macro không phải là lựa chọn tối ưu, đặc biệt trong môi trường văn phòng khi Macro được thiết kế để đơn giản hóa và tự động hóa các công việc phức tạp. Do đó nếu người dùng cần tới Macro, hãy chuyển các tệp tin sử dụng Macro vào DMZ (Demilitarized Zone) hay còn gọi là Trusted Location. Để cấu hình, người dùng truy cập:
Macro không thuộc vùng Trusted Location sẽ không có quyền thực thi trên hệ thống.
Bước 2: Chặn Macro trong tệp tin Office lấy từ Internet
Microsoft gần đây đã ra mắt một tính năng bảo mật mới giúp giảm thiểu Macro tấn công trong Microsoft Office 2016. Tính năng này nằm trong thiết đặt chính sách nhóm (group policy setting), cho phép quản trị viên doanh nghiệp vô hiệu hóa Macro từ những tệp tin tài liệu lấy từ Internet về. Cách cấu hình:
Kết quả với những tệp tin được tải về từ Internet hay các nguồn không đáng tin cậy, Macro sẽ bị chặn hoàn toàn.
Macro là công nghệ bắt đầu từ những năm 1990. Chắc hẳn người dùng đều quen với thông báo: “Warning: This document contains macros.“. Bản thân mã độc trong Macro không ảnh hưởng trực tiếp đến máy tính, nhưng khi kích hoạt tính năng “Macro” để xem nội dung văn bản, máy tính sẽ có khả năng bị mã độc tấn công.
Macro là chuỗi các lệnh và hành động giúp thực hiện tự động hóa công việc. Microsoft Office hỗ trợ Macro viết bằng ngôn ngữ lập trình Visual Basic cho ứng dụng (VBA) nhưng ngôn ngữ này cũng có thể được sử dụng để cài đặt mã độc. Mánh khóe của tin tặc sử dụng kĩ thuật social engineering bằng cách phát tán Macro độc hại thông qua tệp tin văn bản .doc có nội dung gây chú ý cho các tổ chức.
Khi người dùng mở tệp tin đính kèm trong email, tệp tin văn bản .doc sẽ được tải về hệ thống và đòi hỏi “Enable Editing” để xem nội dung.
Nếu người dùng nhấn vào “Enable Editing”, tệp tin độc hại sẽ tiến hành gắn mã độc vào các tệp tin tài liệu khác để tăng khả năng tấn công vào hệ thống mạng của người dùng. Mã độc được tìm thấy hiện nay trong Macro là mã độc ngân hàng Dridex và mã độc mã hóa tống tiền Locky.
HƯỚNG DẪN BẢO VỆ TRƯỚC MÃ ĐỘC MACRO
BƯỚC 1: Cấu hình Trusted Location
Vô hiệu hóa Macro không phải là lựa chọn tối ưu, đặc biệt trong môi trường văn phòng khi Macro được thiết kế để đơn giản hóa và tự động hóa các công việc phức tạp. Do đó nếu người dùng cần tới Macro, hãy chuyển các tệp tin sử dụng Macro vào DMZ (Demilitarized Zone) hay còn gọi là Trusted Location. Để cấu hình, người dùng truy cập:
Macro không thuộc vùng Trusted Location sẽ không có quyền thực thi trên hệ thống.
Bước 2: Chặn Macro trong tệp tin Office lấy từ Internet
Microsoft gần đây đã ra mắt một tính năng bảo mật mới giúp giảm thiểu Macro tấn công trong Microsoft Office 2016. Tính năng này nằm trong thiết đặt chính sách nhóm (group policy setting), cho phép quản trị viên doanh nghiệp vô hiệu hóa Macro từ những tệp tin tài liệu lấy từ Internet về. Cách cấu hình:
Kết quả với những tệp tin được tải về từ Internet hay các nguồn không đáng tin cậy, Macro sẽ bị chặn hoàn toàn.
