Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.