Microsoft Office ใหม่ Zero-day ใช้ในการโจมตีเพื่อเรียกใช้ PowerShell 

นักวิจัยค้นพบช่องโหว่ Zero-day ใหม่ของ Microsoft Office ช่องโหว่ที่ยังไม่ได้รับรหัส CVE เรียกว่า ‘Follina’ ซึ่งช่องโหว่ดังกล่าวโจมตีโดยการรันคำสั่ง PowerShell ที่อันตรายผ่าน Microsoft Diagnostic Tool (MSDT) เพียงแค่เปิดเอกสาร Word เวกเตอร์จะถูกรันด้วยโปรแกรม Microsoft Office เนื่องจากสามารถหลีกเลี่ยงการตรวจจับของ Windows Defender และไม่จำเป็นต้องมีโค้ดมาโครเพื่อเรียกใช้ไบนารีหรือสคริปต์ 

เมื่อวันศุกร์ที่ผ่านมา นักวิจัยด้านความปลอดภัย nao_sec พบเอกสาร Word ที่เป็นอันตรายที่ถูก Upload ไปยัง Virus Total จาก IP Address ในเบลารุส พบไฟล์ที่ใช้ประโยชน์จากช่องโหว่ CVE-2021-40444 จากนั้นก็พบไฟล์รูปแบบ ms-msdt ผู้ไม่ประสงค์ดีใช้ลิงก์ภายนอกของ Word เพื่อโหลด HTML แล้วใช้รูปแบบ ‘ms-msdt’ เพื่อรันโค้ด PowerShell 

รูปที่ 1 ภาพจาก Virus Total   

Obfuscated code used in Follina vulnerability exploitation attacks

รูปที่ 2 รหัสเพย์โหลด  

นักวิจัยด้านความปลอดภัย Kevin Beaumont ได้ถอดรหัสซอร์สโค้ดพบว่ามันเป็น command-line string  

Follina payload unobfuscated

รูปที่ 3 เพย์โหลดที่ถูกถอดรหัสแล้ว 

นักวิจัยด้านความปลอดภัยหลายคนวิเคราะห์เอกสารอันตรายที่แชร์โดย nao_sec แล้วใช้ประโยชน์จาก Microsoft Office หลายเวอร์ชันได้สำเร็จ นักวิจัยได้ยืนยันว่ามีช่องโหว่ใน Microsoft Office 2013, 2016, Office Pro Plus ตั้งแต่เดือนเมษายน และ Office 2021 เวอร์ชันแพตช์:  

คลิปวิดีโอที่ได้ทำการรันไฟล์บน Sandbox สามารถดูเพิ่มเติมได้ที่

Ref: https://www.bleepingcomputer.com/news/security/new-microsoft-office-zero-day-used-in-attacks-to-execute-powershell/ 

Share