แก้ไขข้อผิดพลาด Nasty Office ด้วย Patch Tuesday ประจำเดือนกันยายน 2021

การอัปเดตตามปกติของบริษัท Redmond ถือเป็นสิ่งสำคัญที่สุดในเดือนนี้ เนื่องจากบริษัทได้เผยแพร่การแก้ไขข้อบกพร่องระดับร้ายแรง

ขณะนี้มีการอ้างถึงโดยการอ้างอิงการกำหนดช่องโหว่ CVE-2021-40444

เรายังทราบด้วยว่าขณะนี้มีการใช้ประโยชน์ในเอกสาร Office ตลอดจนโปรแกรมแก้ไขที่สำคัญสำหรับผลิตภัณฑ์ Microsoft และบริการระบบคลาวด์

Microsoft แก้ไขการละเมิดความปลอดภัยผ่าน Patch Tuesday

ในช่วงกิจกรรม Patch Tuesday ของเดือนนี้ Microsoft ได้เผยแพร่การแก้ไขทั้งหมด 67 รายการสำหรับผลิตภัณฑ์จำนวนมาก

การแก้ไขจำนวนมากที่สุดคือ 27 ครั้ง เพื่อแก้ไขปัญหาที่ผู้โจมตีอาจใช้เพื่อยกระดับสิทธิ์ของตนเองในคอมพิวเตอร์

หากคุณสงสัยเกี่ยวกับตัวเลขที่ใหญ่เป็นอันดับสอง ซึ่งในกรณีนี้คือ 14 ให้ระบุถึงความสามารถของผู้โจมตีในการรันโค้ดโดยอำเภอใจบนคอมพิวเตอร์ของเหยื่อ

สิ่งสำคัญคือต้องรู้ว่าช่องโหว่ที่สำคัญทั้งหมดยกเว้นช่องโหว่ที่สำคัญอยู่ในหมวด Remote Code Execution

ซึ่งรวมถึงข้อบกพร่อง -40444 ซึ่งมีชื่อเล่นว่า ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft MSHTML.

ช่องโหว่ที่สำคัญที่ไม่ใช่ RCE เป็นข้อบกพร่องในการเปิดเผยข้อมูลที่ส่งผลกระทบต่อ Azure Sphere (CVE-2021-36956) ซึ่งเป็นแพลตฟอร์มที่ Microsoft สร้างขึ้นซึ่งมีจุดประสงค์เพื่อเพิ่มชั้นความปลอดภัยให้กับอุปกรณ์ Internet-of-Things (IoT)

บั๊กที่น่ารังเกียจบางตัวที่ส่งผลต่อเบราว์เซอร์ Edge บนทั้งแพลตฟอร์ม Android และ iOS นั้นได้รับการแก้ไขโดยยักษ์ใหญ่ด้านเทคโนโลยีเช่นกัน

ผู้ใช้เบราว์เซอร์นั้นบนอุปกรณ์เหล่านั้นจำเป็นต้องได้รับเวอร์ชันคงที่จาก App Store ที่เกี่ยวข้องสำหรับอุปกรณ์ของตน ซึ่งทั้งสองอย่างนี้อยู่ภายใต้ช่องโหว่ที่ Microsoft อธิบายว่า การปลอมแปลง

ช่องโหว่ที่สำคัญที่ส่งผลต่อ Windows เอง (CVE-2021-36965 และ CVE-2021-26435) นำไปใช้กับส่วนประกอบที่เรียกว่า WLAN AutoConfig Service

หากคุณไม่ทราบ นี่เป็นส่วนหนึ่งของกลไกที่ Windows 10 ใช้เพื่อเลือกเครือข่ายไร้สายที่คอมพิวเตอร์จะเชื่อมต่อและกับ Windows Scripting Engine ตามลำดับ

Microsoft ไม่ได้ให้ข้อมูลเพิ่มเติมก่อนกำหนดวางจำหน่าย Patch Tuesday เกี่ยวกับกลไกที่บั๊กเหล่านี้รันโค้ดบนระบบ

นักพัฒนา Redmond จัดการกับจุดบกพร่อง Office ขนาดใหญ่ในเดือนนี้

หลังจากค้นพบจุดบกพร่องนี้และกลายเป็นความรู้สาธารณะในวันที่ 7 กันยายน นักวิจัยด้านความปลอดภัยและนักวิเคราะห์ได้เริ่มแลกเปลี่ยนตัวอย่างการพิสูจน์แนวคิดว่าผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่นี้ได้อย่างไร

น่าเสียดายที่รายละเอียดสูงของข้อผิดพลาดนี้หมายความว่าผู้โจมตีจะสังเกตเห็นและมีแนวโน้มที่จะเริ่มใช้ประโยชน์จากช่องโหว่นี้

ข้อบกพร่องที่น่ารังเกียจนี้เกี่ยวข้องกับองค์ประกอบ MSHTML ของ Microsoft Office ซึ่งสามารถแสดงหน้าเบราว์เซอร์ในบริบทของเอกสาร Office

ในการหาประโยชน์จากบั๊ก ผู้โจมตีจะสร้างการควบคุม ActiveX ที่ออกแบบมาเพื่อประสงค์ร้ายและจากนั้น ฝังโค้ดลงในเอกสาร Office ที่เรียกใช้ตัวควบคุม ActiveX เมื่อเปิดเอกสารหรือ แสดงตัวอย่าง

ขั้นตอนของการโจมตีโดยทั่วไปคือ:

1. Target ได้รับเอกสาร .docx หรือ .rtf Office แล้วเปิดขึ้นมา
2. เอกสารจะดึง HTML ระยะไกลจากที่อยู่เว็บที่เป็นอันตราย
3. เว็บไซต์ที่เป็นอันตรายส่งไฟล์เก็บถาวร .CAB ไปยังคอมพิวเตอร์ของเป้าหมาย
4. ช่องโหว่นี้เปิดใช้ไฟล์เรียกทำงานจากภายใน .CAB (ปกติจะตั้งชื่อด้วยนามสกุล .INF)

สคริปต์ที่เป็นอันตรายใช้ตัวจัดการในตัวสำหรับ .cpl ไฟล์ (แผงควบคุมของ Windows) เพื่อเรียกใช้ไฟล์ที่มีนามสกุล .inf (ซึ่งจริงๆ แล้วเป็น .dll ที่เป็นอันตราย) ที่แยกออกมาจากไฟล์ .cab

ผู้คนจำนวนมากไม่เพียงแต่สร้างการหาประโยชน์จาก Proof-of-Concept (PoC) ที่ใช้งานได้ แต่มีเพียงไม่กี่คนที่ได้สร้างและเผยแพร่เครื่องมือตัวสร้างที่ทุกคนสามารถใช้เพื่อสร้างอาวุธให้กับเอกสาร Office

เวอร์ชันดั้งเดิมของช่องโหว่นี้ใช้ Microsoft Word .docx เอกสาร แต่เราพบแล้วบางเวอร์ชันที่ใช้ .rtf นามสกุลไฟล์.

ผู้โจมตีใช้เทคนิคนี้ไม่เพียงแต่เปิดไฟล์ .exe เท่านั้น แต่ยังรวมถึงไฟล์ .dll ที่เป็นอันตรายด้วย โดยใช้ rundll32 ไม่มีเหตุผลที่จะเชื่อได้ว่าการหาประโยชน์ดังกล่าวจะไม่ขยายขอบเขตไปยังเอกสาร Office ประเภทอื่นๆ เช่นกัน

เป็นเรื่องดีที่รู้ว่าเจ้าหน้าที่ของ Redmond พยายามอย่างเต็มที่เพื่อให้เราปลอดภัย แต่ทั้งหมดนี้เป็นเพียงความพยายามร่วมกัน ดังนั้นเราจึงต้องทำหน้าที่ของเราด้วย

คุณคิดอย่างไรกับการอัปเดต Patch Tuesday ของเดือนนี้ แบ่งปันความคิดเห็นของคุณกับเราในส่วนความคิดเห็นด้านล่าง