Tính năng hiển thị phim trực tuyến trên Microsoft Word có khả năng đào tiền ảo
Tính năng Online Video cho phép người dùng chèn trực tiếp các đoạn phim từ xa vào tài liệu của họ mà không cần nhúng. Tuy nhiên, theo một bài viết của nhà nghiên cứu Amit Dori thuộc Votiro vào ngày 20/02, tính năng này khiến Word dễ bị tấn công, có thể khiến người dùng bị lợi dụng để đào tiền ảo dựa trên trình duyệt khi tin tặc thêm script độc hại vào đường dẫn.
Đặc biệt, khi nạn nhân sử dụng Internet Explorer, khung của trình duyệt này hoàn toàn phù hợp với kịch bản tấn công. Người dùng có thể bị lừa xem một đoạn phim bình thường, trong khi CPU của họ đang bị khai thác cạn kiệt. Đoạn phim càng dài thì nạn nhân bị khai thác đào tiền ảo càng lâu.
Nhà nghiên cứu còn cảnh báo rằng, tính năng Online video của Word cũng có thể bí mật chuyển hướng người dùng để khai thác cổng và các trang web, hoặc hiển thị trang lừa đảo trực tuyến.
Votiro cho biết, Trung tâm Ứng cứu An ninh của Microsoft (Microsoft Security Response Center) không xem đây là một vấn đề an ninh. Trung tâm cho rằng, kỹ thuật này dựa trên kỹ nghệ xã hội để thuyết phục người dùng mở một tài liệu độc hại và vô hiệu hóa chế độ Xem có bảo vệ (Protected View). Trung tâm khuyến khích khách hàng thực hiện các thói quen sử dụng máy tính an toàn, trong đó bao gồm việc thận trọng khi nhấp vào các liên kết tới trang web, khi mở các tệp tin chưa biết rõ, hoặc khi cho phép nhận tệp tin. Người phát ngôn của Trung tâm này cũng trích dẫn một trang web của Microsoft bao gồm thông tin về việc giữ an toàn trên mạng.
Nhà nghiên cứu Amit Dori cũng lưu ý rằng, những kẻ tấn công phải thuyết phục nạn nhân vô hiệu hóa chế độ Protected View để chuyển hướng tới bộ công cụ khai thác sử dụng tính năng Online Video của Word, mặc dù không nói rằng bước này là cần thiết để khai thác đào tiền ảo.
Thảo Uyên
Theo scmagazine.com