ช่องโหว่ “Zero Day” ในเครื่องมือ Windows ที่แฮ็กเกอร์ใช้ประโยชน์จากเอกสาร Word ที่เป็นพิษถูกค้นพบในช่วงสุดสัปดาห์

ทีมวิจัยความปลอดภัยทางไซเบอร์อิสระที่รู้จักกันในชื่อ nao_sec ประกาศในชุดทวีตว่าพวกเขาพบช่องโหว่ในเอกสาร Word ที่เป็นอันตรายซึ่งอัปโหลดไปยัง Virus Total ซึ่งเป็นเว็บไซต์สำหรับวิเคราะห์ซอฟต์แวร์ที่น่าสงสัยจากที่อยู่ IP ในเบลารุส

นักวิจัยอีกคนชื่อ Kevin Beaumont ซึ่งเรียกช่องโหว่นี้ว่า “Folina” อธิบายว่าเอกสารที่เป็นอันตรายใช้คุณลักษณะเทมเพลตระยะไกลใน Word เพื่อดึงไฟล์ HTML จากเว็บเซิร์ฟเวอร์ระยะไกล จากนั้นไฟล์จะใช้รูปแบบ ms-msdt MSProtocol URI ของ Microsoft เพื่อโหลดโค้ดเพิ่มเติมบนระบบเป้าหมาย รวมทั้งดำเนินการคำสั่ง Powershell บางอย่าง

ที่แย่กว่านั้นคือ เอกสารที่เป็นอันตรายไม่จำเป็นต้องเปิดขึ้นเพื่อดำเนินการเพย์โหลด จะทำงานหากเอกสารปรากฏในแท็บแสดงตัวอย่างของ Windows Explorer

Microsoft แสดงรายการ 41 เวอร์ชันผลิตภัณฑ์ต่างๆ ที่ได้รับผลกระทบจาก Folina ตั้งแต่ Windows 7 ถึง Windows 11 และจาก Server 2008 ถึง Server 2022 ซึ่งเป็นที่รู้จักและพิสูจน์แล้วว่าได้รับผลกระทบ ได้แก่ Office, Office 2016, Office 2021 และ Office 2022 โดยไม่คำนึงถึงเวอร์ชันของ Windows วิ่งบน.

การเปรียบเทียบ Log4Shell
“Folina ดูเหมือนจะใช้ประโยชน์ได้เพียงเล็กน้อยและทรงพลังมาก เนื่องจากสามารถเลี่ยงผ่าน Windows Defender” Casey Ellis, CTO และผู้ก่อตั้ง Bugcrowd ซึ่งดำเนินการแพลตฟอร์ม Bugcrowd ที่มีผู้คนหนาแน่นกล่าวกับ TechNewsWorld

อย่างไรก็ตาม ความรุนแรงของ Folina ถูกมองข้ามโดย Roger Grimes ผู้ประกาศข่าวกรองด้านการป้องกันที่ขับเคลื่อนด้วยข้อมูลที่ KnowBe4 ผู้ให้บริการฝึกอบรมด้านความตระหนักด้านความปลอดภัยในเคลียร์วอเทอร์ รัฐฟลอริดา “ประเภทที่แย่ที่สุดของ Zero Day คือประเภทที่เปิดตัวกับบริการฟังที่ไม่มีการป้องกันของผู้ใช้หรือดำเนินการทันทีเมื่อ ดาวน์โหลดหรือคลิก” เขากล่าวกับ TechNewsWorld

“นี่ไม่ใช่อย่างนั้น” เขาพูดต่อ “Microsoft จะมีโปรแกรมแก้ไขที่สร้างขึ้นภายในสองสามวันหรือน้อยกว่านั้น และหากผู้ใช้ไม่ได้ปิดใช้งานการแพทช์อัตโนมัติเริ่มต้นใน Microsoft Office หรือหากพวกเขาใช้ Office 365 โปรแกรมแก้ไขจะถูกนำไปใช้อย่างรวดเร็วโดยอัตโนมัติ การหาประโยชน์นี้เป็นสิ่งที่ต้องกังวล แต่มันจะไม่เข้าครอบงำโลก”

Dirk Schrader รองประธานระดับโลกของ New Net Technologies ซึ่งปัจจุบันเป็นส่วนหนึ่งของ Netwrix ผู้ให้บริการซอฟต์แวร์รักษาความปลอดภัยด้านไอทีและการปฏิบัติตามข้อกำหนด ในเมือง Naples รัฐฟลอริดา เปรียบเทียบ Folina กับช่องโหว่ของ Log4Shell ที่ค้นพบในเดือนธันวาคม 2564 และยังคงส่งผลกระทบต่อธุรกิจหลายพันรายในปัจจุบัน

Log4Shell เป็นวิธีการใช้งานฟังก์ชันที่ไม่สามารถควบคุมได้ในฟังก์ชันรวมกับความสามารถในการเรียกใช้ทรัพยากรภายนอก เขาอธิบาย “วันนี้ Zero Day ซึ่งเดิมชื่อ Folina ทำงานในลักษณะเดียวกัน” เขากล่าวกับ TechNewsWorld

“เครื่องมือรักษาความปลอดภัยในตัวของ Windows ไม่น่าจะตรวจจับกิจกรรมนี้ได้ และมาตรฐานการชุบแข็งมาตรฐานก็ไม่ครอบคลุม” เขากล่าว “กลไกการป้องกันในตัว เช่น Defender หรือข้อจำกัดทั่วไปสำหรับการใช้มาโครจะไม่บล็อกการโจมตีนี้เช่นกัน”

“การเอารัดเอาเปรียบนี้ดูเหมือนจะไม่อยู่ในป่าเป็นเวลาประมาณหนึ่งเดือนแล้ว โดยมีการปรับเปลี่ยนหลายอย่างเกี่ยวกับสิ่งที่ควรดำเนินการบนระบบเป้าหมาย” เขากล่าวเสริม

วิธีแก้ปัญหา
ของ Microsoft Microsoft ยอมรับช่องโหว่ดังกล่าวอย่างเป็นทางการในวันจันทร์ (CVE-2022-30190) รวมถึงออกวิธีแก้ไขปัญหาชั่วคราวเพื่อบรรเทาข้อบกพร่อง

“มีช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเมื่อมีการเรียก [Microsoft Support Diagnostic Tool] โดยใช้โปรโตคอล URL จากแอปพลิเคชันที่เรียกเช่น Word” อธิบายไว้ในบล็อกของบริษัท

“ผู้โจมตีที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่นี้สามารถเรียกใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของแอปพลิเคชันการโทร” กล่าวต่อ “จากนั้นผู้โจมตีสามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่ในบริบทที่อนุญาตโดยสิทธิ์ของผู้ใช้”

สามารถอัพเดตข่าวสารเรื่องราวต่างๆได้ที่ https://www.spip-herbier.net/