เมื่อวันที่ 26 มกราคม 2026 Microsoft ได้เปิดเผยการค้นพบช่องโหว่ Zero-day ที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์ Office โดยมีหมายเลข CVE-2026-21509 ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution) และนำไปสู่การเข้าควบคุมระบบทั้งหมดได้อย่างสมบูรณ์
ช่องโหว่ดังกล่าวถูกนำไปใช้โดยกลุ่ม APT28 ซึ่งเป็นกลุ่มแฮ็กเกอร์ชื่อดังที่มีความเชื่อมโยงกับรัสเซีย โดยเป็นส่วนหนึ่งของแคมเปญการโจมตีทางไซเบอร์ภายใต้ชื่อ 'Operation Neusploit' และด้วยประวัติของกลุ่ม APT28 ที่มักมุ่งเป้าไปที่หน่วยงานรัฐบาล และโครงสร้างพื้นฐานที่สำคัญ ทำให้ช่องโหว่ CVE-2026-21509 สร้างความกังวลอย่างมากต่อความปลอดภัยของระบบที่มีความสำคัญ โดยเฉพาะในประเทศยูเครน และยุโรปตะวันออก
หลักการทำงานของช่องโหว่ CVE-2026-21509 ของ Microsoft Office
ผลิตภัณฑ์ Microsoft Office ถือเป็นเป้าหมายหลักสำหรับผู้โจมตีที่ต้องการเข้าถึงระบบโดยไม่ได้รับอนุญาต, ขโมยข้อมูล หรือรันโค้ดอันตราย ถึงแม้ว่า Office จะมีมาตรการรักษาความปลอดภัยที่แข็งแกร่ง แต่การที่ตัวโปรแกรมรองรับไฟล์รูปแบบ Rich Text Formatting (RTF) ก็ก่อให้เกิดความเสี่ยงได้ หากมีการจัดการที่ไม่เหมาะสม หรือถูกผู้โจมตีนำไปใช้เป็นช่องทางในการเจาะระบบ
เมื่อวันที่ 26 มกราคม 2026 Microsoft ได้ออกประกาศแจ้งเตือนความปลอดภัยสำหรับช่องโหว่ CVE-2026-21509 ซึ่งเป็นช่องโหว่ Zero-day ที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์ Microsoft Office
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Office เวอร์ชันที่มีการประมวลผลไฟล์ RTF โดยทำให้ผู้โจมตีสามารถเจาะระบบผ่านเอกสารที่ถูกสร้างขึ้นเป็นพิเศษ ส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้ โดยช่องโหว่ CVE-2026-21509 มีคะแนนความรุนแรง CVSS อยู่ที่ 7.8 (ระดับ High) เนื่องจากส่งผลกระทบในวงกว้าง และสามารถนำไปใช้โจมตีได้ง่าย
ช่องโหว่นี้เกิดจากการประมวลผลไฟล์ RTF ที่ไม่ถูกต้อง ซึ่งส่งผลให้โค้ดอันตรายเริ่มทำงานทันทีเมื่อเหยื่อเปิดเอกสารที่ติดมัลแวร์ เมื่อเจาะระบบได้สำเร็จ ผู้โจมตีสามารถรันคำสั่งดาวน์โหลด Payload เพิ่มเติม เช่น ไฟล์ DLL อันตราย เพื่อสร้างช่องทาง Backdoor อย่าง 'MiniDoor' และ 'PixyNetLoader' สำหรับเข้าควบคุมระบบ และขโมยข้อมูลในระยะยาว นอกจากนี้การโจมตีช่องโหว่นี้ยังช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัยได้ โดยการอาศัยแอปพลิเคชันที่น่าเชื่อถืออย่าง Microsoft Office เป็นเครื่องมือในการโจมตี
ผลิตภัณฑ์ที่ได้รับผลกระทบ และเวอร์ชันที่ได้รับการแก้ไขช่องโหว่แล้ว
Operation Neusploit: กลุ่ม APT28 ใช้ประโยชน์จากช่องโหว่ CVE-2026-21509 โจมตีเป้าหมายในประเทศยูเครน
ในเดือนมกราคม 2026 กลุ่ม APT จากรัสเซียอย่าง APT28 (หรือที่รู้จักในชื่อ Fancy Bear) ได้เริ่มใช้ประโยชน์จากช่องโหว่ CVE-2026-21509 ในผลิตภัณฑ์ Microsoft Office ซึ่งเป็นส่วนหนึ่งของแคมเปญใหม่ภายใต้ชื่อ 'Operation Neusploit' โดยช่องโหว่ที่พบในเอกสาร RTF ที่ถูกสร้างขึ้นเป็นพิเศษนี้ ช่วยให้ผู้โจมตีสามารถส่ง Payload ที่เป็นอันตรายเข้าสู่เครื่องได้ทันทีที่เอกสารนั้นถูกเปิดขึ้น
กลุ่ม APT28 มุ่งเป้าโจมตีประเทศยูเครน โดยใช้อีเมล Phishing ที่แนบไฟล์ RTF อันตรายเพื่อแทรกซึมเข้าสู่หน่วยงานรัฐบาล และโครงสร้างพื้นฐานที่สำคัญการโจมตีนี้จะส่งผลให้ระบบดาวน์โหลดมัลแวร์โดยอัตโนมัติไม่ว่าจะเป็น MiniDoor ซึ่งทำหน้าที่ขโมยข้อมูลอีเมล และ PixyNetLoader ซึ่งใช้สำหรับติดตั้ง Backdoor ระดับสูงอย่าง 'Covenant Grunt' โดยแฮ็กเกอร์ใช้เครื่องมือเหล่านี้เพื่อแฝงตัวอยู่ในระบบ ทำให้แฮ็กเกอร์สามารถรวบรวมข้อมูลที่สำคัญ และเฝ้าดูการติดต่อสื่อสารภายในหน่วยงาน
กลุ่ม APT28 ใช้ประโยชน์จากช่องโหว่ CVE-2026-21509 ของ Microsoft Office ในการเจาะระบบเพื่อขโมยข้อมูล
การประมวลผลไฟล์ RTF และการจัดการไฟล์อันตราย
ช่องโหว่ CVE-2026-21509 เกิดจากวิธีการที่ Microsoft Office ประมวลผลไฟล์ RTF (Rich Text Format) โดยกลุ่ม APT28 ใช้ประโยชน์จากช่องโหว่นี้โดยการส่งเอกสาร RTF ที่ถูกสร้างขึ้นเป็นพิเศษผ่านอีเมลฟิชชิ่ง เมื่อผู้ใช้งานเปิดเอกสารดังกล่าว แอปพลิเคชัน Office จะประมวลผลไฟล์ RTF อย่างไม่ถูกต้อง ซึ่งทำให้ผู้โจมตีสามารถ Inject malicious code เข้าสู่ระบบได้ และการโจมตีนี้สามารถหลบเลี่ยงการตรวจสอบความถูกต้องของเอกสาร ส่งผลให้เพย์โหลดที่แฝงอยู่เริ่มทำงานได้ทันที
การโจมตีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
ทันทีที่เปิดเอกสาร exploit จะดำเนินการดาวน์โหลดไฟล์ DLL อันตราย จากเซิร์ฟเวอร์ภายนอกที่ควบคุมโดยกลุ่ม APT28 ซึ่งไฟล์ DLL นี้ถูกออกแบบมาเพื่อเรียกใช้ Payload อื่น ๆ ที่จะช่วยให้ผู้โจมตีเข้าควบคุมระบบที่ถูกเจาะได้สำเร็จ และด้วยการสร้างการเชื่อมต่อผ่านเครือข่าย ไฟล์ DLL ดังกล่าวจะทำหน้าที่ดึงข้อมูล และรันไฟล์อันตรายเพิ่มเติม เพื่อยกระดับ และขยายขอบเขตการโจมตี
การจัดเตรียม และการเรียกใช้เพย์โหลดอันตราย
ไฟล์ DLL อันตรายนี้จะทำหน้าที่เป็น Dropper โดยจะส่ง Payload หลักเข้าสู่ระบบ ได้แก่ MiniDoor ซึ่งทำหน้าที่ขโมยอีเมลจาก Microsoft Outlook และ PixyNetLoader ที่ใช้สำหรับติดตั้ง Covenant Grunt โดย Payload เหล่านี้จะช่วยให้ผู้โจมตีสามารถเข้าถึงระบบของเหยื่อได้อย่างต่อเนื่อง และสร้างช่องทางที่เสถียรสำหรับส่งคำสั่งควบคุมจากระยะไกล
การแฝงตัวในระบบ และการควบคุมจากระยะไกล
เพื่อให้สามารถแฝงตัวในระบบ และเข้าถึงข้อมูลได้ในระยะยาว ไฟล์ DLL อันตรายจะใช้วิธีการ COM Hijacking และตั้งค่า Scheduled Tasks เพื่อให้ช่องโหว่ดังกล่าวเริ่มทำงานใหม่โดยอัตโนมัติเมื่อมีการรีสตาร์ทเครื่อง หรือเมื่อมีการใช้งานโปรแกรม Office
การแฝงตัวในลักษณะนี้ช่วยให้กลุ่ม APT28 สามารถควบคุมระบบได้โดยไม่ถูกตรวจพบ ขณะที่การติดตั้ง Covenant Grunt จะทำหน้าที่เชื่อมต่อกับเซิร์ฟเวอร์ของผู้โจมตี เพื่อให้สามารถควบคุมระบบที่ถูกเจาะจากระยะไกลได้อย่างต่อเนื่อง
Threat Library ประกอบด้วยภัยคุกคามต่อไปนี้สำหรับการโจมตีช่องโหว่ CVE-2026-21509 ของ Microsoft Office และการโจมตี APT28 ที่เกี่ยวข้อง:
ที่มา : picussecurity
You must be logged in to post a comment.