Microsoft ได้ออกอัปเดตแพตช์ความปลอดภัยฉุกเฉินนอกรอบ เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงใน Microsoft Office ที่กำลังถูกนำไปใช้ในการโจมตี
โดยเป็นช่องโหว่ประเภท Security feature bypass ที่มีหมายเลข CVE-2026-21509 ซึ่งส่งผลกระทบต่อ Microsoft Office หลายเวอร์ชัน ได้แก่ Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 และ Microsoft 365 Apps for Enterprise (เป็นบริการแบบสมัครสมาชิกบนคลาวด์ของบริษัท)
อย่างไรก็ตาม ตามที่ระบุไว้ในประกาศแจ้งเตือน สำหรับเวอร์ชัน Office 2016 และ 2019 นั้นแพตช์อัปเดตความปลอดภัยยังไม่พร้อมใช้งาน แต่ทาง Microsoft ยืนยันว่าจะรีบปล่อยอัปเดตออกมาให้เร็วที่สุด
แม้ว่า Preview pane จะไม่ใช่ช่องทางการโจมตีในครั้งนี้ แต่ผู้โจมตีในระดับ Local ก็ยังสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ ผ่านการโจมตีที่ไม่มีความซับซ้อน แต่ยังจำเป็นต้องอาศัยการโต้ตอบจากผู้ใช้
Microsoft ระบุว่า การที่ระบบ Microsoft Office เชื่อถือข้อมูล Inputs ที่ไม่ปลอดภัยในการตรวจสอบด้านความปลอดภัย เป็นการเปิดช่องให้ผู้โจมตีสามารถ bypass ระบบรักษาความปลอดภัยภายในเครื่องได้ โดยผู้โจมตีจะต้องส่งไฟล์ Office ที่มีมัลแวร์ไปให้ผู้ใช้ และต้องหลอกให้ผู้ใช้เปิดไฟล์นั้น
การอัปเดตครั้งนี้เป็นการแก้ไขช่องโหว่ที่พยายาม bypass ระบบป้องกัน OLE ใน Microsoft 365 และ Microsoft Office ซึ่งปกติแล้วระบบเหล่านี้มีหน้าที่ป้องกันผู้ใช้จาก COM/OLE controls ที่มีความเสี่ยงต่อการถูกโจมตี
Microsoft ระบุเพิ่มเติมว่า สำหรับผู้ใช้ Office 2021 และเวอร์ชันที่ใหม่กว่า จะได้รับการป้องกันโดยอัตโนมัติผ่านการเปลี่ยนแปลงในฝั่งเซิร์ฟเวอร์ แต่ผู้ใช้จำเป็นต้องรีสตาร์ทแอปพลิเคชัน Office เพื่อให้การป้องกันนี้เริ่มทำงาน
แม้ว่า Office 2016 และ 2019 จะยังไม่ได้รับการแก้ไขช่องโหว่จากการโจมตีในทันที แต่ Microsoft ก็ได้เตรียมมาตรการลดผลกระทบที่ยังมีข้อมูลที่ไม่ชัดเจนนัก ซึ่งอาจลดความรุนแรงของการโจมตีได้
Bleepingcomputer ได้พยายามเรียบเรียงข้อมูลดังกล่าวให้เข้าใจง่ายขึ้น ผ่านคำแนะนำตามขั้นตอนด้านล่าง
1. ปิดโปรแกรม Microsoft Office ทั้งหมด
2. ทำการสำรองข้อมูล ของ Windows Registry ไว้ก่อน เพราะการแก้ไข Registry ที่ผิดพลาดอาจส่งผลกระทบต่อการทำงานของระบบปฏิบัติการได้
3. เปิดโปรแกรม Windows Registry Editor (regedit.exe) โดยคลิกที่เมนู Start แล้วพิมพ์คำว่า regedit จากนั้นกด Enter เมื่อโปรแกรมปรากฏขึ้นมาในผลการค้นหา
4. เมื่อโปรแกรมเปิดขึ้นมาแล้วให้ใช้แถบ Address bar ที่อยู่ด้านบนเพื่อตรวจสอบว่ามี Registry keys ตามรายการด้านล่างนี้อยู่ในเครื่องหรือไม่
หากไม่พบคีย์ใดคีย์หนึ่งตามรายการข้างต้น ให้สร้างคีย์ COM Compatibility ขึ้นมาใหม่ภายใต้ Path Registry นี้ โดยการคลิกขวาที่คีย์ที่ชื่อว่า Common แล้วเลือก New -> Key
5. คลิกขวาที่คีย์ชื่อ COM Compatibility ที่มีอยู่แล้วหรือเพิ่งสร้างใหม่ จากนั้นเลือก New -> Key แล้วตั้งชื่อคีย์ใหม่นี้ว่า {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
6. เมื่อสร้างคีย์ {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} เสร็จแล้ว ให้คลิกขวาที่ตัวคีย์นี้ แล้วเลือก New -> DWORD (32-bit) Value จากนั้นตั้งชื่อค่าใหม่นี้ว่า Compatibility Flags
7. เมื่อสร้างค่า Compatibility Flags เรียบร้อยแล้ว ให้ดับเบิลคลิกที่ค่านั้น ตรวจสอบให้แน่ใจว่าในส่วนของ Base ถูกตั้งเป็น Hexadecimal แล้วหรือไม่ และกรอกตัวเลข 400 ลงในช่อง Value data
หลังจากทำตามขั้นตอนเหล่านี้แล้ว ช่องโหว่ดังกล่าวจะได้รับการแก้ไขเมื่อเปิดใช้งานแอปพลิเคชัน Office ในครั้งต่อไป
โฆษกของ Microsoft ระบุกับ BleepingComputer เมื่อถูกถามถึงรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีผ่านช่องโหว่ CVE-2026-21509 ว่า ขอแนะนำให้ลูกค้าที่ได้รับผลกระทบปฏิบัติตามคำแนะนำในหน้า CVE ของบริษัท นอกจากนี้ Microsoft Defender ยังมีระบบตรวจจับเพื่อบล็อกการโจมตี และการตั้งค่า Protected View ซึ่งเป็นค่าเริ่มต้นจะช่วยเพิ่มการป้องกันอีกชั้นหนึ่งด้วยการบล็อกไฟล์อันตรายจากอินเทอร์เน็ต
เพื่อเป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย เราขอแนะนำให้ผู้ใช้ใช้ความระมัดระวังเมื่อดาวน์โหลด และเปิดใช้งานการแก้ไขไฟล์จากแหล่งที่ไม่รู้จักตามที่ระบุไว้ในคำเตือนด้านความปลอดภัย
เมื่อต้นเดือนมกราคม ซึ่งเป็นส่วนหนึ่งของรายการอัปเดตประจำเดือน หรือ Patch Tuesday ทาง Microsoft ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ไปแล้วถึง 114 รายการ ซึ่งรวมถึงช่องโหว่ที่พบว่ามีการโจมตีจริง 1 รายการ และช่องโหว่แบบ Zero-day ที่ถูกเปิดเผยต่อสาธารณะอีก 2 รายการ
ช่องโหว่ Zero-day อีกรายการหนึ่งที่กำลังถูกใช้ในการโจมตีอย่างหนัก และได้รับการแก้ไขในเดือนนี้ คือช่องโหว่การเปิดเผยข้อมูลใน Desktop Window Manager ซึ่ง Microsoft จัดระดับความรุนแรงไว้ที่ important โดยช่องโหว่นี้อาจเปิดโอกาสให้ผู้โจมตีสามารถอ่านค่า Memory addresses ที่เกี่ยวข้องกับพอร์ต ALPC จากระยะไกลได้
เมื่อสัปดาห์ที่แล้ว Microsoft ยังได้ปล่อยอัปเดต Windows นอกรอบหลายรายการเพื่อแก้ไขช่องโหว่ที่ส่งผลต่อการปิดเครื่อง และปัญหา Cloud PC ที่เกิดจากอัปเดต Patch Tuesday ในเดือนมกราคม รวมถึงได้ออกอัปเดตฉุกเฉินอีกชุดเพื่อจัดการปัญหาที่ทำให้โปรแกรม Outlook เวอร์ชันคลาสสิก เกิดอาการค้าง หรือหยุดทำงาน
ที่มา : bleepingcomputer
You must be logged in to post a comment.