Lỗ hổng bảo mật khiến chữ kí số trong văn bản Microsoft Office có thể bị giả mạo
Các nhà nghiên cứu từ Đại học Ruhr Bochum (Đức) đã nghiên cứu về sự thiếu an toàn của chữ ký trong Microsoft Office. Nghiên cứu đã xác định ít nhất 5 cách tấn công tài liệu để thay đổi nội dung và giả mạo chữ ký.
Chữ ký Office Open XML xuất hiện lần đầu trong Office vào năm 2006. Nó bao gồm một gói các tệp XML được nén, Microsoft gọi định dạng này là Open XML. Các nhà nghiên cứu từ Đại học Ruhr Bochum (Đức) đã nghiên cứu về sự thiếu an toàn của chữ ký trong Microsoft Office. Nghiên cứu xác định được ít nhất 5 cách tấn công tài liệu để thay đổi nội dung và giả mạo chữ ký. Nhóm nghiên cứu đã thử nghiệm các cách tấn công với phiên bản Microsoft Office trên Windows và macOS và OnlyOffice Desktop cho Windows, macOS và Linux.
Các lỗ hổng bảo mật chữ ký của Microsoft Office rất đáng báo động. Ảnh minh họa
Kết quả cho thấy, tất cả các bản đều có nguy cơ dễ bị tấn công. Ngoài ra, với Microsoft Office cho macOS, chữ ký tài liệu hoàn toàn không được xác thực. Các nhà nghiên cứu nhận thấy, họ có thể thêm một tệp trống có tên sig1.xml vào gói OOXML, bao gồm nhiều tệp được nén và Office dành cho Mac sẽ hiển thị biểu ngữ bảo mật báo hiệu rằng tài liệu được bảo vệ bằng chữ ký.
Các lỗ hổng bảo mật chữ ký của Microsoft Office rất đáng báo động. Những kẻ tấn công có thể tùy ý thao túng nội dung được hiển thị của một tài liệu đã ký và nạn nhân không thể phát hiện ra. Điều này làm cho chữ ký số trên Microsoft Office hầu như vô giá trị. Đáng chú ý, Microsoft Office thường được sử dụng bởi nội bộ các công ty và chính phủ. Nguyên nhân chủ yếu dẫn đến tình trạng trên là do không phải mọi thành phần của tệp tin có chữ ký số đều được kiểm tra và do Microsoft Office cho phép thêm nội dung vào một tệp tin đã ký.
Nhóm nghiên cứu đã báo cáo vấn đề này cho Microsoft, OnlyOffice và các ủy ban tiêu chuẩn có liên quan. Microsoft cho biết, vấn đề bảo mật chữ ký số đã được giải quyết trong các phiên bản cập nhật hàng tháng của phần mềm Office và công ty đánh giá cao sự hợp tác của các nhà nghiên cứu.