Microsoft ออกคำแนะนำในการลดผลกระทบจากช่องโหว่ CVE-2022-30190 บน Microsoft Support Diagnostic Tool

ในวันจันทร์ที่ 30 พฤษภาคม 2022 ที่ผ่านมา มีการพบช่องโหว่หมายเลข CVE-2022-30190 ใน Microsoft Support Diagnostic Tool (MSDT) บน Windows ซึ่งเป็นช่องโหว่ในลักษณะการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เมื่อ MSDT ถูกเรียกใช้งานผ่าน URL จากแอปพลิเคชัน เช่น Microsoft Word

โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถสั่งรันโค้ดได้ตามที่ต้องการด้วยสิทธิ์ของแอปพลิเคชันนั้นๆ เช่นการสั่งติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล รวมถึงสามารถสร้างบัญชีผู้ใช้ใหม่บนเครื่องเหยื่อได้

วิธีการลดผลกระทบจากช่องโหว่

ปิดการทำงานของ MSDT URL Protocol

การปิดการทำงานของ MSDT URL จะช่วยป้องกันไม่ให้ฟังก์ชันตัวแก้ไขปัญหาของ Microsoft ที่มีช่องโหว่ดังกล่าวถูกเปิดขึ้นมาใช้งานผ่านลิ้ง แต่ฟังก์ชันตัวแก้ไขปัญหาดังกล่าวยังทำงานได้อยู่ผ่านทาง Get Help application และใน system setting โดยสามารถปิดการทำงานของ MSDT ได้ดังนี้

เปิด Command Prompt ด้วยสิทธิ์ Administrator.

ช่องโหว่ MSDT Zero-day บน Windows ถูกใช้โจมตีแล้วโดยกลุ่ม APT จากจีน

แฮ็กเกอร์สัญชาติจีนเริ่มการโจมตีโดยใช้ประโยชน์จากช่องโหว่ zero-day ของ Microsoft Office (หรือที่รู้จักในชื่อ 'Follina')

ช่องโหว่ RCE ดังกล่าวเกิดจาก Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190) ซึ่งส่งผลกระทบต่อทั้ง Windows client และ server ทั้งหมด

กลุ่ม Shadow Chaser ซึ่งเป็นนักวิจัยที่รายงาน zero-day นี้ครั้งแรกในเดือนเมษายนกล่าวว่า ในช่วงแรก Microsoft ประเมินว่าช่องโหว่นี้ไม่ถือว่าเป็น "ปัญหาด้านความปลอดภัย" แต่อย่างไรก็ตาม ในภายหลังกลับปิดเคส(ระบบสำหรับการแจ้งช่องโหว่กับ Microsoft) ว่าเป็นช่องโหว่ที่มีผลกระทบในแบบ Remote Code Execution

เริ่มพบการโจมตีเป็นวงกว้าง

เมื่อวันที่ 30 พ.ค. ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ Proofpoint พบว่ากลุ่ม TA413 APT ซึ่งเป็นกลุ่มที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าว โดยการส่งไฟล์ Word ที่ถูก ZIP ไว้ผ่านแคมเปญชื่อ 'Women Empowerments Desk’ ของ Central Tibetan Administration และใช้โดเมน tibet-gov.

นักวิจัยเตือนช่องโหว่ Zero-Day ใหม่บน Microsoft Office ที่กำลังถูกใช้ในการโจมตีในปัจจุบัน

นักวิจัยด้านความปลอดภัยทางไซเบอร์แจ้งเตือนให้เฝ้าระวังช่องโหว่ Zero-Day ใหม่ใน Microsoft Office ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บนระบบ Windows ที่ได้รับผลกระทบ

ช่องโหว่ถูกพบหลังจากทีมวิจัยความปลอดภัยทางไซเบอร์อิสระที่รู้จักกันในชื่อ nao_sec อัปโหลดเอกสาร "05-2022-0438.doc" ไปยัง VirusTotal จากที่อยู่ IP ในเบลารุส โดยนักวิจัยเรียกช่องโหว่นี้ว่า Follina เนื่องจากไฟล์ตัวอย่างที่เป็นอันตรายใช้ชื่อ 0438 ซึ่งเป็นรหัสพื้นที่ของ Follina ในเมือง Treviso ของอิตาลี

ช่องโหว่นี้ใช้ประโยชน์จาก Remote template feature ของเอกสารเพื่อเรียกใช้ไฟล์ HTML จากเซิร์ฟเวอร์ภายนอก ซึ่งมีรูปแบบ URI "ms-msdt://" เพื่อสั่งรัน PowerShell เพื่อเรียกใช้เพย์โหลดที่เป็นอันตราย เนื่องจาก Microsoft Word รันโค้ดผ่าน MSDT แม้ว่าจะปิดใช้งานมาโคร และที่สำคัญยังสามารถทำงานได้โดยที่ยังไม่ได้เปิดไฟล์เอกสารผ่านทางแท็บแสดงตัวอย่างใน Explorer

MSDT ย่อมาจาก Microsoft Support Diagnostics Tool ซึ่งเป็น Utility ที่ใช้ในการแก้ไขปัญหา รวบรวมข้อมูลบนระบบเพื่อใช้ในการแก้ไขปัญหาของระบบ support

Microsoft Office หลายเวอร์ชัน รวมถึง Office 2016 และ Office 2021 ได้รับผลกระทบจากช่องโหว่ดังกล่าว และคาดว่าเวอร์ชันอื่นๆก็มีช่องโหว่เช่นกัน

Richard Warren จาก NCC Group ได้ลองทดสอบช่องโหว่ดังกล่าวบน Office ProfessionalPro ด้วยแพตช์ล่าสุดเดือนเมษายน 2022 ที่ทำงานบนเครื่อง Windows 11 เวอร์ชันล่าสุด โดยเปิดใช้งานบนหน้าต่างแสดงตัวอย่าง

โดยนักวิจัยได้ติดต่อไปยัง Microsoft เพื่อขอความคิดเห็นเกี่ยวกับช่องโหว่ดังกล่าวเรียบร้อยแล้ว ซึ่งคาดว่า Microsoft น่าจะต้องออกแพตซ์อัปเดตช่องโหว่ดังกล่าวในเร็วๆนี้

วิดิโอตัวอย่าง คลิก

ที่มา : thehackernews