โดยปกติ เมื่อมีคนค้นพบช่องโหว่สำหรับโปรแกรม โปรแกรมแก้ไขด่วนจะถูกปล่อยเพื่อแก้ไข วงจรชีวิตนี้ทำให้การหาประโยชน์เหล่านี้มีอายุสั้นระหว่างการค้นพบและการแก้ไข ด้วยเหตุนี้ จึงเป็นเรื่องผิดปกติมากสำหรับข้อบกพร่องเก่าสำหรับโปรแกรมยอดนิยมที่ยังคงดำเนินการต่อไป โดยเฉพาะอย่างยิ่งหลังจากออกแพตช์เพื่อแก้ไข
ด้วยเหตุนี้จึงเป็นเรื่องน่าทึ่งที่การใช้ประโยชน์จาก Microsoft Office แบบเก่ายังคงวนเวียนอยู่ในอินเทอร์เน็ต มันกลายเป็นการโจมตีที่แพร่หลายมากที่สุดเป็นอันดับสามในปี 2018 ปัญหาคือ ช่องโหว่นี้ได้รับการแก้ไขในปี 2017 และยังคงสร้างความเสียหายมาจนถึงทุกวันนี้!
การเอารัดเอาเปรียบคืออะไร
ช่องโหว่นี้มีชื่อที่ค่อนข้างพูดยาก “CVE-2017-11882” มันใช้ประโยชน์จากส่วนหนึ่งของ Office ซึ่งจัดการหน่วยความจำที่มอบให้ไม่ถูกต้อง การใช้ช่องโหว่นี้ แฮ็กเกอร์สามารถบังคับให้ Office เรียกใช้โค้ดได้ ที่แย่ไปกว่านั้น ถ้าเหยื่อมีสิทธิ์ของผู้ดูแลระบบ ช่องโหว่ดังกล่าวก็สามารถนำมาใช้เพื่อควบคุมคอมพิวเตอร์ได้เอง
สำหรับการเจาะระบบเพื่อโจมตีสำเนา Office แฮ็กเกอร์จำเป็นต้องโน้มน้าวให้ผู้ใช้เปิดไฟล์ที่ติดไวรัสภายใน Word ซึ่งหมายความว่าการหาประโยชน์จะแพร่กระจายได้ดีที่สุดผ่านการหลอกลวงที่ทำให้ผู้ใช้สงสัยมากพอที่จะเปิดไฟล์ข้อความที่ติดไวรัส แฮกเกอร์สามารถตั้งค่าเว็บไซต์ปลอมที่มีเอกสารและอ้างว่าเป็นเอกสารสำคัญหรือส่งอีเมลเพื่อขอให้ผู้ใช้ดาวน์โหลดไฟล์ โดยปกติแล้วจะอ้างว่าจำเป็นต้องอ่านตอนนี้
แคมเปญหาประโยชน์ใหม่ทำงานอย่างไร
แคมเปญมัลแวร์ที่ทำงานอยู่โดยใช้อีเมลในภาษายุโรปกระจายไฟล์ RTF ที่ ดำเนินการโจมตี CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายได้โดยอัตโนมัติโดยไม่ต้องมีการโต้ตอบกับผู้ใช้ pic.twitter.com/Ac6dYG9vvw
— Microsoft Security Intelligence (@MsftSecIntel) วันที่ 7 มิถุนายน 2019
การโจมตีระลอกใหม่นี้ทำให้เห็นการส่งอีเมลเป็นภาษายุโรป โดยมีไฟล์ RTF แนบมาด้วย หากผู้ใช้ดาวน์โหลดและเปิดไฟล์ ไฟล์จะรันโค้ดที่ดาวน์โหลดและรันสคริปต์ สคริปต์เหล่านี้เปิดประตูลับภายใน Office ซึ่งจะเปิดการเชื่อมต่อกับศูนย์บัญชาการ
กลับมาทำไม
สำหรับสาเหตุที่ผู้โจมตีใช้ช่องโหว่ซ้ำซึ่ง "ได้รับการแก้ไข" ในปี 2560 นั้นไม่แน่นอนว่าอะไรเป็นแรงบันดาลใจให้เกิดการโจมตีระลอกนี้ อาจเป็นเพราะการโจมตีในลักษณะนี้ยังคงประสบความสำเร็จหลังจากวันที่เผยแพร่โปรแกรมแก้ไขเป็นเวลาสองปี และด้วยเหตุนี้จึงเป็น "การเดิมพันที่ปลอดภัย" สำหรับแฮ็กเกอร์ที่จะกำหนดเป้าหมาย
“ช่องโหว่ CVE-2017-11882 ได้รับการแก้ไขในปี 2560 แต่จนถึงทุกวันนี้ เรายังคงสังเกตเห็นช่องโหว่ในการโจมตี” Microsoft กล่าวในบัญชี Twitter ของพวกเขา “โดยเฉพาะอย่างยิ่ง เราเห็นกิจกรรมเพิ่มขึ้นในช่วงสองสามสัปดาห์ที่ผ่านมา เราขอแนะนำอย่างยิ่งให้ใช้การอัปเดตความปลอดภัย”
วิธีแก้ไขการเอารัดเอาเปรียบ
ดังที่ทวีตกล่าวไว้ข้างต้น การแก้ไขมีมาหลายปีแล้ว ขออภัย การแก้ไขนี้ยังไม่เปิดตัวอย่างสมบูรณ์ แม้กระทั่งจนถึงทุกวันนี้ มีความเป็นไปได้ที่จะถกเถียงกันว่านี่เป็นความผิดของ Microsoft ที่ไม่ได้แจกจ่ายโปรแกรมแก้ไข "อย่างถูกต้อง" หรือผู้ใช้ที่ข้ามการอัปเดตนี้ซึ่งพร้อมสำหรับสองปี แต่สิ่งที่สำคัญในตอนนี้คือคุณควรอัปเดตซอฟต์แวร์ Office ทันที
ในการดำเนินการนี้ ให้เปิดแอปพลิเคชัน Office เช่น Word ที่เมนูด้านบนให้คลิกที่ "ความช่วยเหลือ" จากนั้น "ตรวจสอบการอัปเดต" จากนั้น Office ควรค้นหาและดาวน์โหลดการอัปเดตที่ขาดหายไป รวมถึงการแก้ไขปัญหาข้างต้นหากคุณยังไม่มี
เคล็ดลับเก่าๆ ยากๆ
คลื่นล่าสุดของการโจมตีบน Office เป็นเรื่องแปลก เนื่องจากเป็นปัญหาที่ "ควร" หายไปเมื่อสองปีก่อน หากคุณจำครั้งสุดท้ายที่คุณอัปเดต Office ไม่ได้ ให้ตรวจสอบอย่างรวดเร็วเพื่อให้แน่ใจว่าคุณมีแพตช์
วิธีที่ดีที่สุดในการหยุดการหาประโยชน์แบบเก่าเหล่านี้ไม่ให้เกิดขึ้นซ้ำๆ ในซอฟต์แวร์คืออะไร แจ้งให้เราทราบด้านล่าง
