MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware

เผยเทคนิคใหม่ข้ามผ่านการบล็อคมาโครสคริปต์เพื่อแพร่กระจายมัลแวร์ ทำได้กับ Micosoft Office ทุกเวอร์ชัน

นักวิจัยด้านความปลอดภัยชาวอิตาลี Lino Antonio Buono จากบริษัท InTheCyber ได้เปิดเผยเทคนิคใหม่ที่อาจช่วยให้มัลแวร์สามารถแพร่กระจายตัวเองภายใต้การทำงานของมาโครสคริปต์ได้แม้ว่า Microsoft Office จะบล็อคการรันสคริปต์เป็นค่าเริ่มต้น โดยเทคนิคใหม่นี้อาศัยการแก้ไขการตั้งค่าเพียงเล็กน้อยและสามารถใช้งานได้กับ Microsoft Office ในทุกๆ เวอร์ชัน

โดยปกตินั้น Microsoft Office จะมีการตั้งค่า "Trust access to the VBA project object model" ซึ่งช่วยนักพัฒนาในการพัฒนามาโครสคริปต์ หากมีการกำหนดการตั้งค่านี้ให้ทำงาน การรันโค้ดหรือมาโครสคริปต์ (ที่เป็นอันตราย) จากเอกสารจะไม่ถูกบล็อคหรือมีการแจ้งเตือนใดๆ แสดงให้ผู้ใช้งานเห็น

Buono กล่าวว่าปัญหาของการตั้งค่านี้คือมันสามารถแก้ไขการตั้งค่าได้อย่างอิสระโดยไม่ต้องอาศัยสิทธิ์ของผู้ดูแลระบบหรือสิทธิ์ที่สูงมากนักผ่านทางการแก้ไขค่าในรีจิสทรี ซึ่งหมายความว่าแม้ว่า Microsoft Office จะไม่มีการเปิดการตั้งค่านี้มาตั้งแต่ต้น แต่เพียงแค่รันสคริปต์เพื่อแก้ไขการตั้งค่ารีจิสทรีในจุดดังกล่าวแล้ว การรันโค้ดหรือมาโครสคริปต์ที่เป็นอันตรายต่อจากนั้นจะไม่ถูกบล็อคหรือมีการแจ้งเตือนใดๆ ทันที

ในขณะนี้มีการตรวจพบมัลแวร์ที่มีการใช้เทคนิคนี้แล้วคือมัลแวร์เรียกค่าไถ่ qkG ทีแพร่กระจายผ่านทางมาโครสคริปต์ข้างในไฟล์เอกสารที่มากับอีเมลสแปม

ทาง Buono ได้แจ้งการค้นพบที่เกิดขึ้นแก่ไมโครซอฟต์ อย่างไรก็ตามทางไมโครซอฟต์ปฏิเสธที่จะมองการใช้ฟังก์ชันนี้เป็นช่องโหว่ด้านความปลอดภัย จึงทำให้ไม่มีการแก้ไขใดๆ เกิดขึ้น

สำหรับคำแนะนำที่เหมาะสมในตอนนี้คือการควบคุมตั้งแต่ระดับผู้ใช้งานให้ไม่ดาวโหลดหรือเปิดไฟล์ที่ต้องสงสัยหรือน่าจะเป็นอันตราย ซึ่งน่าจะมีประสิทธิภาพในการป้องกันภัยคุกคามได้ดีที่สุด

ที่มา : Thehackernews

Read more