Thitirath Kinaret
Microsoft ออกอัปเดตฉุกเฉิน เพื่ออุดช่องโหว่ Zero-Day ที่ถูกใช้โจมตีจริงบน Microsoft Office ส่งผลกระทบต่อ Office 2016–2024 และ Microsoft 365 Apps
Microsoft ออกอัปเดตฉุกเฉิน อุดช่องโหว่ Zero-Day บน Office
Microsoft ได้ออกอัปเดตความปลอดภัยแบบฉุกเฉิน เพื่อแก้ไขช่องโหว่ Zero-Day บน Microsoft Office มีรหัสติดตามว่า CVE-2026-21509 ซึ่งกำลังถูกใช้ในการโจมตีจริง
ช่องโหว่ตัวนี้เป็นช่องโหว่ด้านการหลีกเลี่ยงฟีเจอร์ความปลอดภัยของ Office ส่งผลกระทบต่อ Office หลายเวอร์ชัน ได้แก่ Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 และ Microsoft 365 Apps for Enterprise
Microsoft ระบุว่า “การเปิดไฟล์ข้อมูลที่ไม่น่าเชื่อถือใน Microsoft Office อาจเปิดช่องให้ผู้โจมตี สามารถหลีกเลี่ยงฟีเจอร์ความปลอดภัยได้จากเครื่องของผู้ใช้โดยตรงได้, โดยผู้โจมตีจะต้องส่งไฟล์ Office ที่มีโค้ดอันตรายให้เหยื่อเปิดใช้งานก่อน จึงจะโจมตีได้”
อัปเดตดังกล่าวมีขึ้นเพื่อแก้ไขจุดบกพร่องที่ช่วยให้การป้องกัน OLE บน Microsoft 365 และ Office ถูกข้ามผ่านได้ ที่ทำให้ผู้ใช้เสี่ยงต่อการถูกโจมตีผ่านคอนโทรล COM/OLE ที่มีช่องโหว่
Microsoft ยืนยันว่า Office Preview Pane ไม่ได้รับผลกระทบจากช่องโหว่นี้ และไม่สามารถใช้เป็นช่องทางโจมตีได้ อย่างไรก็ตาม Microsoft ไม่ได้เปิดเผยรายละเอียดด้านเทคนิคของการโจมตีที่พบเจอ
Microsoft กำลังดำเนินการแก้ไขช่องโหว่บน Office 2016 และ 2019 โดยระบุว่าจะปล่อยอัปเดตความปลอดภัยให้เร็วที่สุด
Microsoft ได้แนะนำแนวทางลดความเสี่ยงสำหรับเวอร์ชันที่ยังไม่มีแพตช์แก้ไข โดย Office 2021 ขึ้นไปจะได้รับการป้องกันโดยอัตโนมัติผ่านการแก้ไขจากฝั่งเซิร์ฟเวอร์เมื่อผู้ใช้รีสตาร์ตแอป
ส่วน Office 2016 และ 2019 จะต้องติดตั้งอัปเดตความปลอดภัยเมื่อพร้อมใช้งาน หรือดำเนินการแก้ไขด้วยตนเองผ่านการตั้งค่า Registry เพื่อปิดการใช้งาน COM/OLE controls ที่มีความเสี่ยง
กระบวนการนี้ต้องเพิ่มคีย์ Registry ชื่อ COM Compatibility และตั้งค่า DWORD ชื่อ Compatibility Flags ผู้ใช้ควรสำรองข้อมูล Registry ก่อนทำการเปลี่ยนแปลงและรีสตาร์ต Office เพื่อให้การป้องกันมีผล
ที่มา: securityaffairs
