Proof-of-Concept สำหรับช่องโหว่ CVE-2023-21716 ซึ่งเป็นช่องโหว่ระดับ critical ใน Microsoft Word ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ถูกปล่อยออกสู่สาธาณะในช่วงสัปดาห์ที่ผ่านมา

ช่องโหว่ดังกล่าวได้รับคะแนนระดับความรุนแรง 9.8 จาก 10 คะแนน โดย Microsoft ได้ระบุถึงช่องโหว่ดังกล่าวในการอัปเดตด้านความปลอดภัยของ Patch Tuesday ประจำเดือนกุมภาพันธ์ พร้อมกับแนวทางในการแก้ไขชั่วคราวในกรณีที่ยังไม่สามารถทำการอัปเดตได้สองสามข้อ

โดยเมื่อปีที่ผ่าน Joshua Drake นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ใน “wwlib.

พบช่องโหว่ 0day ใน Microsoft Office ทำให้เมื่อผู้ใช้ที่เปิดไฟล์ document ที่ฝังโค้ดอันตรายไว้อาจถูกยึดเครื่องได้ แม้เครื่องผู้ใช้จะเป็น Windows 10 ที่ patch ล่าสุดและไม่ได้ enable macro ใน Microsoft Office แล้วก็ตามที
ช่องโหว่ดังกล่าวถูกพบและเปิดเผยโดย McAfee เมื่อวันศุกร์(07/04/2017) ที่ผ่านมา และมีการ confirm ว่าใช้งานได้จริงโดยทางทีม Research ของ FireEye โดยช่องโหว่ดังกล่าวจะเป็นการโจมตีที่ไม่จำเป็นต้องหลอกให้ user เปิดไฟล์พร้อมกับใช้งาน Macro แต่อย่างใด เพียงแค่เปิดไฟล์ใน Microsoft Office ที่มีช่องโหว่ก็สามารถยึดเครื่องได้ทันที โดยช่องโหว่นี้เกี่ยวกับ Windows Object Linking and Embedding (OLE) ซึ่งเป็น feature สำคัญของ Microsoft Office อีกด้วย
สิ่งที่ Hacker ทำคือ Hacker สร้างไฟล์ RTF (Rich Text Format) ขึ้นมา โดยภายในไฟล์นั้นจะฝัง OLE2Link ไว้ เมื่อเปิดไฟล์ด้วยเวิร์ด ส่วนของ OLE จะทำงานทำให้เอกสารมีการติดต่อไปยัง C&C (Command & Control Server) เพื่อ download .hta ไฟล์ลงมา จากนั้นจึงรันไฟล์ .hta นั้นๆ อีกที
ซึ่งทาง McAfee ได้มีการนำเรื่องนี้ให้ Microsoft จัดการปิดช่องโหว่ดังกล่าว ซึ่งก็คงต้องรอต่อไปว่า Microsoft จะออก patch เมื่อไหร่ครับ ตอนนี้สิ่งที่ทำได้คือการป้องกันโดยการเปิดไฟล์ในลักษณะ Protected View ไปก่อน

ที่มา : HELPNETSECURITY

นักวิจัยด้านความปลอดภัยจาก Palo Alto ได้พบมัลแวร์สายพันธุ์ใหม่ชื่อ “T9000” ต่อยอดมาจาก T5000 ที่มุ่งเน้นการโจมตีองค์กรต่างๆ ในสหรัฐอเมริกาเป็นหลัก แต่ความสามารถของมัลแวร์นั้นกลับถูกออกแบบมาให้ใช้โจมตีผู้ใช้งานทั่วไปเป็นวงกว้างได้ด้วยเช่นกัน เพราะ T9000 นี้สามารถขโมยข้อมูลการสื่อสารทุกรูปแบบจาก Skype ได้อย่างครบถ้วน
สำหรับการแพร่ระบาดนี้เริ่มต้นขึ้นจากไฟล์ RTF เพียงไฟล์เดียวเท่านั้น และใช้เทคนิค Multi-stage Installation Process เพื่อหลีกเลี่ยงการตรวจจับได้อย่างแยบยล โดยไฟล์ RTF นี้จะอาศัยช่องโหว่ของ Microsoft Office 2003/2007/2010/2013, Word for Mac 2011, Microsoft SQL Server 2005/2008, Microsoft SharePoint 2010/2013 และผลิตภัณฑ์อื่นๆ อีกจำนวนหนึ่ง เพื่อเริ่มรันคำสั่งและสร้างไฟล์ขึ้นมาใน %TEMP% Folder จากนั้นก็ทำการถอดรหัสและสร้างออกมาเป็น .exe แล้วสั่งเรียกใช้งานทันที
จากนั้น T9000 จะทำการสร้าง Mutex ขึ้นมาเพื่อให้มั่นใจว่ามัลแวร์จะทำงานแค่ Instance เดียวเท่านั้น แล้วจึงทำการตรวจสอบหาผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งอยู่ในเครื่องด้วยการตรวจสอบ Registry ที่ HKLM\Software\registry เช่น Sophos, Baidu, McAfee, Trend Micro, Kaspersky เป็นต้น
T9000 จะทำการสร้างไฟล์ avinfo ขึ้นมาที่ %APPDATA%\Intel เพื่อบันทึกเอาไว้ว่าตรวจพบผลิตภัณฑ์รักษาความปลอดภัยจากผู้ผลิตรายใดบ้าง เพื่อเลือกใช้วิธีการโจมตีที่แตกต่างกันไปในการติดตั้งเครื่องมือสำหรับโจมตีจำนวนมากที่จะอยู่ภายใต้ Folder เดียวกันนี้ต่อไป รวมถึงทำการติดตั้ง Plugins สำหรับใช้ในการโจมตีเพิ่มเติมอีก 3 ตัว ได้แก่ tyeu.