ในวันจันทร์ที่ 30 พฤษภาคม 2022 ที่ผ่านมา มีการพบช่องโหว่หมายเลข CVE-2022-30190 ใน Microsoft Support Diagnostic Tool (MSDT) บน Windows ซึ่งเป็นช่องโหว่ในลักษณะการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เมื่อ MSDT ถูกเรียกใช้งานผ่าน URL จากแอปพลิเคชัน เช่น Microsoft Word
โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถสั่งรันโค้ดได้ตามที่ต้องการด้วยสิทธิ์ของแอปพลิเคชันนั้นๆ เช่นการสั่งติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล รวมถึงสามารถสร้างบัญชีผู้ใช้ใหม่บนเครื่องเหยื่อได้
วิธีการลดผลกระทบจากช่องโหว่
- ปิดการทำงานของ MSDT URL Protocol
การปิดการทำงานของ MSDT URL จะช่วยป้องกันไม่ให้ฟังก์ชันตัวแก้ไขปัญหาของ Microsoft ที่มีช่องโหว่ดังกล่าวถูกเปิดขึ้นมาใช้งานผ่านลิ้ง แต่ฟังก์ชันตัวแก้ไขปัญหาดังกล่าวยังทำงานได้อยู่ผ่านทาง Get Help application และใน system setting โดยสามารถปิดการทำงานของ MSDT ได้ดังนี้
- เปิด Command Prompt ด้วยสิทธิ์ Administrator.
- แบ็คอัพ registry key โดยการรันคำสั่ง “reg export HKEY_CLASSES_ROOT\ms-msdt filename“
- รันคำสั่ง “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.
- วิธีการยกเลิกการปิดการทำงานของ MSDT URL Protocol
เปิด Command Prompt ด้วยสิทธิ์ Administrator.
Restore registry key โดยการรันคำสั่ง “reg import filename”
การตรวจจับ และการป้องกันของ Microsoft Defender
ผู้ใช้งานที่มีการติดตั้ง Microsoft Defender Antivirus ควรเปิดการป้องกัน cloud-delivered protection และ automatic sample submission ซึ่งฟังก์ชันเหล่านี้มีการใช้ AI และ machine learning ที่สามารถระบุภัยคุกคามรูปแบบใหม่ๆได้อย่างรวดเร็ว
ผู้ใช้งานที่มีการติดตั้ง Microsoft Defender for Endpoint สามารถเปิดใช้งาน attack surface reduction rule ที่ชื่อว่า “BlockOfficeCreateProcessRule” ที่จะบล็อกแอปพลิเคชัน Microsoft Office ไม่ให้สร้าง child processes เนื่องจากมัลแวร์ส่วนใหญ่มักจะสร้าง child processes ขึ้นมาหลังจากติดตั้งลงบนเครื่องเหยื่อ
Microsoft Defender Antivirus สามารถตรวจจับ และป้องกันการโจมตีจากช่องโหว่ดังกล่าวได้แล้วในเวอร์ชัน 1.367.719.0 หรือใหม่กว่า
- Trojan:Win32/Mesdetty.A (blocks msdt command line)
- Trojan:Win32/Mesdetty.B (blocks msdt command line)
- Behavior:Win32/MesdettyLaunch.A!blk (terminates the process that launched msdt command line)
สามารถตรวจสอบการตรวจจับ และแจ้งเตือนการโจมตีดังกล่าวได้จากหัวข้อการแจ้งเตือนใน Microsoft 365 Defender portal ดังนี้
- Suspicious behavior by an Office application
- Suspicious behavior by Msdt.exe
FAQ
Q: Protected View และ Application Guard บน Microsoft Office สามารถป้องกันการโจมตีจากช่องโหว่นี้ได้หรือไม่
A: ถ้าเปิดโปรแกรม Microsoft Office โดยค่าเริ่มต้น Microsoft Office จะเปิดเอกสารจากอินเทอร์เน็ตด้วย Protected View หรือ Application Guard for Office ซึ่งทั้งสองฟังก์ชันนี้สามารถป้องกันการโจมตีในรูปแบบดังกล่าวได้
IOCs
hxxps://www.xmlformats[.]com:443/office/word/2022/wordprocessingDrawing/
hxxps://www.xmlformats[.]com:443/office/word/2022/wordprocessingDrawing/RDF842l[.]html
hxxps://www.xmlformats[.]com:443/office/word/2022/wordprocessingDrawing
hxxps://www.xmlformats[.]com:443/office/word/2022/wordprocessingDrawing
hxxps://www.xmlformats[.]com:443/office/word/2022
hxxps://www.xmlformats[.]com:443/office/word
hxxps://www.xmlformats[.]com:443/office/word/2022/wordprocessingDrawing/RDF842l[.]html
hxxps://www.xmlformats[.]com:443/office/word/2022/wordprocessingDrawing/RDF842l[.]html
ที่มา : msrc-blog.microsoft