Microsoft ออกแพตซ์อัปเดตด้านความปลอดภัยประจำเดือนกรกฎาคม 2023 โดยได้แก้ไขช่องโหว่ที่พบก่อนหน้านี้กว่า 132 รายการ ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล 37 รายการ รวมถึงยังเป็นช่องโหว่ zero-days 6 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย
โดยแพตซ์อัปเดตมีการแก้ไขช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล RCE (Remote Code Execution) ไปทั้งหมด 37 รายการ ซึ่งเป็นช่องโหว่ระดับ Critical ถึง 9 รายการ แต่พบว่ามีช่องโหว่ RCE ระดับ Critical 1 รายการที่ยังไม่ถูกแก้ไข รวมถึงพบว่าช่องโหว่ดังกล่าวกำลังถูกนำมาใช้ในการโจมตี ซึ่งถูกพบโดยบริษัทด้านความปลอดภัยทางไซเบอร์หลายแห่ง
จำนวนช่องโหว่ในแต่ละหมวดหมู่ :
- Elevation of Privilege Vulnerabilities 33 รายการ
- Security Feature Bypass Vulnerabilities 13 รายการ
- Remote Code Execution Vulnerabilities 37 รายการ
- Information Disclosure Vulnerabilities19 รายการ
- Denial of Service Vulnerabilities 22 รายการ
- Spoofing Vulnerabilities 7 รายการ
ช่องโหว่ zero-days ที่กำลังถูกนำมาใช้ในการโจมตี
- CVE-2023-32046 - Windows MSHTML Platform Elevation of Privilege Vulnerability เป็นช่องโหว่การยกระดับสิทธิ์การใช้งานใน Windows MSHTML ซึ่งถูกโจมตีผ่านการเปิดไฟล์ที่สร้างขึ้นโดยผู้ไม่ประสงค์ดีผ่านอีเมล หรือเว็บไซต์อันตราย ช่องโหว่นี้ถูกค้นพบโดย Microsoft Threat Intelligence Center
- CVE-2023-32049 - Windows SmartScreen Security Feature Bypass Vulnerability เป็นช่องโหว่ที่ ผู้ไม่ประสงค์ดีใช้เพื่อป้องกันการแสดงข้อความ Open File - Security Warning เมื่อดาวน์โหลด และเปิดไฟล์จากอินเทอร์เน็ต
- CVE-2023-36874 - Windows Error Reporting Service Elevation of Privilege Vulnerability เป็นช่องโหว่ในการยกระดับสิทธิ์ เมื่อ ผู้ไม่ประสงค์ดีทำการโจมตีช่องโหว่จะได้รับสิทธิ์ของผู้ดูแลระบบบนอุปกรณ์ Windows ช่องโหว่นี้ถูกค้นพบโดย Googles Threat Analysis Group (TAG)
- CVE-2023-35311 - Microsoft Outlook Security Feature Bypass Vulnerability เป็นช่องโหว่ใน Microsoft Outlook ที่สามารถ Bypass คำเตือนด้านความปลอดภัย และทำงานในหน้าต่างแสดงข้อความตัวอย่าง
- CVE-2023-36884 - Office and Windows HTML Remote Code Execution Vulnerability (ยังไม่ได้รับการแก้ไข)
โดยช่องโหว่ดังกล่าวทาง Microsoft ได้ถูกรายงานในช่องโหว่ของ Microsoft Office และ Windows Zero-day ที่ยังไม่ได้รับการแก้ไข ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล โดยใช้เอกสาร Microsoft Office ที่สร้างขึ้นจากผู้ไม่ประสงค์ดีเพื่อใช้ในการโจมตี ซึ่งถูกใช้ในการโจมตีจากกลุ่ม RomCom ที่มีความเชื่อมโยงกับการโจมตีของกลุ่ม Cuba ransomware จากหลักฐานที่อยู่ในจดหมายเรีกค่าไถ่, email addresses, TOX chat ID และลิงก์ที่เกี่ยวข้อง ซึ่งถูกค้นพบ และรายงานโดย Palo Alto และ CISA
ในขณะนี้ช่องโหว่ดังกล่าวยังไม่ได้รับการแก้ไขอย่างเป็นทางการ Microsoft จึงได้ให้คำแนะนำในการตั้งค่าเพื่อป้องกันช่องโหว่ดังกล่าวด้วยตยเองในเบื้องต้นดังนี้
สำหรับผู้ใช้งานที่มี Microsoft Defender for Office แนะนำให้ทำการ Block แอปพลิเคชัน Office ทั้งหมดที่มาจาก process ย่อย หรือ child processes เพื่อป้องกันไฟล์แนบที่ถูกสร้างขึ้นจากช่องโหว่ และลดความเสี่ยงการถูกโจมตีจากช่องโหว่
สำหรับผู้ใช้งานที่ไม่มี Microsoft Defender for Office แนะนำให้ทำการเพิ่มชื่อแอปพลิเคชันต่อไปนี้ใน registry key : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION และเปลี่ยนค่า values ของ type REG_DWORD ด้วย data 1 ดังนี้
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
ช่องโหว่ดังกล่าวได้ถูกเปิดเผยโดย Microsoft Threat Intelligence, Threat Analysis Group (TAG), ทีมรักษาความปลอดภัยกลุ่มผลิตภัณฑ์ Microsoft Office
นอกจากนี้ทาง Microsoft ยังได้เผยแพร่ ADV230001 - Guidance on Microsoft Signed Drivers Being Used Maliciously ซึ่งเป็นรายงานที่ทาง Microsoft ได้ทำการถอนใบรับรองของบัญชีนักพัฒนาที่ใช้ช่องโหว่นโยบายของ Windows เพื่อติดตั้งไดรเวอร์ kernel-mode ที่เป็นอันตราย หลังจากที่ได้รับแจ้งว่าไดรเวอร์ที่รับรองโดย Windows Hardware Developer Program ของ Microsoft กำลังถูกใช้ในการโจมตีช่องโหว่เหล่านี้ เพื่อยกระดับสิทธิ์เป็นผู้ดูแลระบบบนระบบเป้าหมาย ก่อนที่จะใช้ไดรเวอร์อันตรายในการโจมตีต่อไป
