Chữ ký số trong văn bản Microsoft Office có thể bị giả mạo do lỗ hổng bảo mật

Chữ ký Office Open XML (OOXML) là một tiêu chuẩn được sử dụng trong các ứng dụng Microsoft Office và mã nguồn mở OnlyOffice, đã được phát hiện có một số lỗi bảo mật và có thể dễ dàng bị giả mạo. Các tệp Office được ký có thể bị thay đổi mà không bị phát hiện. Điều đó về cơ bản đi ngược lại với mục đích của chữ ký số.

Chữ ký Office Open XML xuất hiện lần đầu trong Office vào năm 2006. Nó bao gồm một gói các tệp XML được nén. Microsoft gọi định dạng này là Open XML.

Các nhà nghiên cứu từ Đại học Ruhr Bochum (Đức) đã nghiên cứu về sự thiếu an toàn của chữ ký trong Microsoft Office. Nghiên cứu đã xác định được ít nhất 5 cách tấn công tài liệu để thay đổi nội dung và giả mạo chữ ký.

Nhóm nghiên cứu đã thử nghiệm các cách tấn công với các phiên bản Microsoft Office trên Windows và macOS và OnlyOffice Desktop cho Windows, macOS và Linux. Kết quả cho thấy, tất cả các bản đều có nguy cơ dễ bị tấn công.

Các lỗ hổng bảo mật chữ ký của Microsoft Office rất đáng báo động. Những kẻ tấn công có thể tùy ý thao túng nội dung được hiển thị của một tài liệu đã ký và nạn nhân không thể phát hiện ra. Điều này làm cho chữ ký số trên Microsoft Office hầu như vô giá trị. Đáng chú ý, Microsoft Office thường được sử dụng bởi nội bộ các công ty và chính phủ.

Nguyên nhân chủ yếu dẫn đến tình trạng trên là do không phải mọi thành phần của tệp tin có chữ ký số đều được kiểm tra và do Microsoft Office cho phép thêm nội dung vào một tệp tin đã ký.

Nhóm nghiên cứu đã báo cáo vấn đề này cho Microsoft, OnlyOffice và cho các ủy ban tiêu chuẩn có liên quan. Microsoft cho biết, vấn đề bảo mật chữ ký số đã được giải quyết trong các phiên bản cập nhật hàng tháng của phần mềm Office và công ty đánh giá cao sự hợp tác của các nhà nghiên cứu.