Zero-day ใหม่ของ Microsoft Office
นักวิจัยค้นพบช่องโหว่ Zero-day ใหม่ของ Microsoft Office ช่องโหว่ที่ยังไม่ได้รับรหัส CVE เรียกว่า ‘Follina’ ซึ่งช่องโหว่ดังกล่าวโจมตีโดยการรันคำสั่ง PowerShell ที่อันตรายผ่าน Microsoft Diagnostic Tool (MSDT) เพียงแค่เปิดเอกสาร Word เวกเตอร์จะถูกรันด้วยโปรแกรม Microsoft Office เนื่องจากสามารถหลีกเลี่ยงการตรวจจับของ Windows Defender และไม่จำเป็นต้องมีโค้ดมาโครเพื่อเรียกใช้ไบนารีหรือสคริปต์
เมื่อวันศุกร์ที่ผ่านมา นักวิจัยด้านความปลอดภัย nao_sec พบเอกสาร Word ที่เป็นอันตรายที่ถูก Upload ไปยัง Virus Total จาก IP Address ในเบลารุส พบไฟล์ที่ใช้ประโยชน์จากช่องโหว่ CVE-2021-40444 จากนั้นก็พบไฟล์รูปแบบ ms-msdt ผู้ไม่ประสงค์ดีใช้ลิงก์ภายนอกของ Word เพื่อโหลด HTML แล้วใช้รูปแบบ ‘ms-msdt’ เพื่อรันโค้ด PowerShell
รูปที่ 1 ภาพจาก Virus Total
รูปที่ 2 รหัสเพย์โหลด
นักวิจัยด้านความปลอดภัย Kevin Beaumont ได้ถอดรหัสซอร์สโค้ดพบว่ามันเป็น command-line string
รูปที่ 3 เพย์โหลดที่ถูกถอดรหัสแล้ว
นักวิจัยด้านความปลอดภัยหลายคนวิเคราะห์เอกสารอันตรายที่แชร์โดย nao_sec แล้วใช้ประโยชน์จาก Microsoft Office หลายเวอร์ชันได้สำเร็จ นักวิจัยได้ยืนยันว่ามีช่องโหว่ใน Microsoft Office 2013, 2016, Office Pro Plus ตั้งแต่เดือนเมษายน และ Office 2021 เวอร์ชันแพตช์:
คลิปวิดีโอที่ได้ทำการรันไฟล์บน Sandbox สามารถดูเพิ่มเติมได้ที่
Ref: https://www.bleepingcomputer.com/news/security/new-microsoft-office-zero-day-used-in-attacks-to-execute-powershell/