พบช่องโหว่ Zero Day ของ Windows สามารถเข้าควบคุมเครื่องเป้าหมายได้ทันที เพียงแค่เปิดเอกสาร Word

ช่องโหว่ที่ค้นพบนี้ สาเหตุเกิดจาก URI Protocol ที่มีชื่อว่า search-ms ซึ่งทำหน้าที่ให้ Application ต่างๆ และ HTML Link สามารถใช้งานการฟีเจอร์ Windows Search ได้ตามที่ต้องการ

แม้ว่าการค้นหาของ Windows ส่วนใหญ่จะทำการค้นหาจาก Index บนเครื่อง แต่ด้วยลักษณะการทำงานของ search-ms จึงมีความเป็นไปได้ที่ผู้ไม่หวังดีจะบังคับให้ Windows Search ทำการค้นหาไฟล์จากที่อื่น เพียงแค่ระบุชื่อไปยังโฮสต์ดังกล่าว

ลักษณะการทำงาน

ยกตัวอย่างโปรแกรมยอดนิยมอย่าง Sysinternals ที่เป็นฟรีแวร์สำหรับช่วยแก้ปัญหาต่างๆบนระบบ โดยโปรแกรมนี้ระบุให้ผู้ใช้งานเปิด Network Share ไปยัง live.sysinternals.com เพื่อเปิดงานใช้ยูทิลิตี้ต่างๆ

หากผู้ใช้งานต้องการค้นหายูทิลิตี้ให้ตรงกับที่ต้องการ สามารถใช้ search-ms ดังต่อไปนี้ได้ (ตัวอย่างการ Seach คำว่า proc&crumb)

ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

จาก Search ดังกล่าว จะพบว่า Windows แสดงผลลัพธ์ขึ้นมาโดย Location ของไฟล์ทั้งหมด จะอยู่บน Share Drive ของ live.sysinternals.com ตามที่ระบุไว้ใน Search

หากผู้ใช้งานคลิ๊กเพื่อเปิดไฟล์ Windows จะทำการแจ้งเตือนเพื่อเปิด Browser ไปยังไซต์ปลายทางที่ระบุไว้ดังรูป

ซึ่งผู้โจมตีอาจใช้วิธีเดียวกันนี้ในการโจมตี เช่นส่งอีเมลฟิชชิ่งที่อ้างว่าเป็นการอัปเดตแพตซ์ และใส่ลิ้ง search-ms URI ไว้ภายในไฟล์แนบ หรือเนื้อหาอีเมล จากนั้นก็เปิดให้เชื่อมต่อ Windows share ในลักษณะข้างต้นไปยังโฮสต์ที่ฝังมัลแวร์ไว้

อย่างไรก็ตาม ยังเป็นไปได้ยากที่ผู้ใช้งานทั่วไปจะคลิกเพื่อเปิดไฟล์บน Browser ในลักษณะนี้ แต่ในสัปดาห์ที่ผ่านมา Matthew Hickey ผู้เชียวชาญจาก Hacker House ค้นพบวิธีการใหม่ในการรวมช่องโหว่จาก Microsoft Office OLEObject เข้ากับ search-ms protocol handler ดังกล่าว ที่จะทำให้เมื่อเหยื่อเปิดไฟล์ Word ก็จะถูกเชื่อมต่อไปยังโฮสต์ปลายทางที่ผู้โจมตีต้องการได้

ช่องโหว่บน Microsoft Office ถูกทำให้อันตรายมากขึ้นไปอีกขั้น

สัปดาห์ที่ผ่านมามีการค้นพบช่องโหว่ Zero-day ใน Microsoft Windows Support Diagnostic Tool (MSDT) โดยที่ผู้โจมตีสามารถสร้างเอกสาร Word ที่เป็นอันตรายที่เรียกใช้งานโปรโตคอล URI 'ms-msdt' เพื่อรันคำสั่งบน PowerShell ได้ทันทีเพียงแค่ผู้ใช้งานเปิดเอกสาร ซึ่งมีหมายเลข CVE-2022-30190 ช่องโหว่นี้ทำให้ผู้โจมตียังสามารถแก้ไขบางอย่างบน Microsoft Office เพื่อหลีกเลี่ยงการป้องกันโหมด Protected View นอกจากนี้ยังสามารถบังคับให้ URI protocol ทำงานได้เองโดยไม่จำเป็นต้องให้เหยื่อกดยอมรับใดๆ เลย จากช่องโหว่ดังกล่าวทำให้ Matthew Hickey สามารถนำมาใช้ร่วมกับการโจมตีด้วยวิธีการ search-ms protocol handler ตามที่อธิบายไปข้างต้น

ซึ่ง PoC จาก Hickey แสดงให้เห็นว่าเมื่อเหยื่อเปิดไฟล์ Word ขึ้นมา จะทำให้มีการเรียกใช้งานคำสั่ง search-ms โดยอัตโนมัติเพื่อเปิด Windows Search ไปยังโฮสต์ภายนอก ซึ่งผู้โจมตีอาจสร้างไฟล์หลอกไว้ด้วยชื่อใดๆก็ได้ที่อาจทำให้เหยื่อหลงเชื่อแล้วคลิกเปิดขึ้นมาเช่น "Critical Updates" เป็นต้น

เช่นเดียวกับช่องโหว่ MSDT Hickey ยังแสดงให้เห็นว่าสามารถสร้างไฟล์ในรูปแบบ RTF ที่จะเรียกใช้งานคำสั่ง search-ms โดยอัตโนมัติเพื่อเปิด Windows Search ได้เช่นเดียวกันเมื่อเปิดผ่าน Explorer preview pane

แนวทางการลดผลกระทบเบื้องต้น

สามารถลบ Registry ของ search-ms ได้ดังนี้

1. Run Command Prompt as Administrator.
2. To back up the registry key, execute the command "reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg"
3. Execute the command "reg delete HKEY_CLASSES_ROOT\search-ms /f"

ที่มา : bleepingcomputer