Đổi tên file Office là đủ để giấu macro độc hại

Cisco đã phát hiện phương pháp mới bị tin tặc lợi dụng để phát tán những mã độc dựa trên macro .

Phát hiện của họ liên quan tới tính năng mới mà Microsoft giới thiệu trong bản Office 2007 khi thay thế những định dạng file ngầm định với những thiết lập mới dựa trên chuẩn OfficeOpen XML .

Trước phiên bản Office 2007 , những file Microsoft Office thường lưu trữ và chạy tự động chạy Macro khi mở . Từ bản Office 2007 họ đưa thêm những định dạng file mới và trong đó một số có khả năng lưu trữ mã macro , một số khác thì không .

Ví dụ trong Microsoft Word , DOCX và DOTX không cho phép thực hiện macro , trong khi đó DOCM và DOTM thì lại cho phép . Cisco đã phát hiện ra một điều nếu một file DOCX/DOTX bị đổi tên thành DOCM/DOTM , ai đó có không  thể thêm macro độc hại tới file và khi mở những file đã bị đổi tên này thì xuất hiện thông báo lỗi .

Một vấn đề khác nếu lấy những file DOCM/DOTM và đổi tên chúng thành những file DOCX/DOTX và macro vẫn ở trong những file đó . Mở những file đã bị đổi tên thì lại không hiển thị thông báo lỗi và thực thi ngay mã macro bên trong . Điều này vẫn làm việc ngay cả khi những file DOCM/DOTM đổi tên thành định dạng RTF , loại file không bao giờ hỗ trợ macro . Điều tương tự cũng xảy ra với những file XLSX đổi tên thành CSV .

Cisco giải thích “ Nói tóm lại , Microsoft Word mở những file dựa trên dữ liệu của file , không dựa trên phần mở rộng của tên file . Word có thể nhận dạng cấu trúc dữ liệu để mở file cho đúng”.

Tin xấu đó là cách thức trên đã bị tin tặc lợi dụng để phát tán mã độc dựa trên macro . Cisco cho biết có nhiều chiến dịch phát tán mã độc lợi dụng tính năng trên từ đầu năm nay và con số này ngày càng tăng trong mỗi tháng .

Cách dễ nhất để sửa lỗi này đó là phải cập nhật Office để sửa cách WWLIB.DLL điều khiển những file và bật lên thông tin cảnh báo lỗi ngăn cản tin tặc che dấu macro trong những định dạng file khác nhau .