MS Word 2016 เสี่ยงแฮกเกอร์ฝังโค้ดเรียกใช้มัลแวร์ ผ่านช่องโหว่ ‘Online Video’

Published on November 2, 2018
MS Word 2016 เสี่ยงแฮกเกอร์ฝังโค้ดเรียกใช้มัลแวร์ ผ่านช่องโหว่  ‘Online Video’

นักวิจัยด้านความปลอดภัยของไซเบอร์ Cymulate ได้เปิดเผยช่องโหว่จากตัวเลือก ‘Online Video’ ในเอกสาร MS Word 2016 ลแะเวอร์ชันที่ต่ำกว่า ซึ่งช่องโหว่นี้อาจทำให้แฮกเกอร์สามารถฝังโค้ดที่เป็นอันตรายหรือมัลแวร์ลงไปในไฟล์เอกสาร เพื่อให้ผู้ใช้รันมัลแวร์ในคอมพิวเตอร์ของตัวเองได้โดยไม่รู้ตัว

 

‘Online Video’ เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถฝังวิดีโอออนไลน์ที่มี ลิงก์ไปยัง YouTube เมื่อมีการเพิ่มลิงก์วิดีโอออนไลน์ลงในเอกสาร MS Word ฟีเจอร์ ‘Online Video’ จะสร้างสคริปต์ HTML ฝังเข้าไปในไฟล์เอกสารโดยอัตโนมัติ โดยสคริปต์ดังกล่าวจะถูกรันเมื่อผู้ใช้คลิกรูป Thumbnail บนเอกสารเพื่อเล่นวิดีโอ

 

อย่างไรก็ตาม เนื่องจากไฟล์เอกสาร (.docx) แท้ที่จริงแล้วคือ Zip Package ที่ประกอบด้วยไฟล์มัลติมีเดียและไฟล์การตั้งค่าต่างๆ ที่สามารถเปิดและแก้ไขเนื้อหาข้างในได้ ส่งผลให้นักวิจัยสามารถเปิดไฟล์การตั้งค่าที่ชื่อว่า “document.xml” เพื่อแก้ไขสคริปต์วิดีโอที่ฟีเจอร์ Online Video สร้างขึ้นมา แล้วเปลี่ยนไปเป็นสคริปต์มัลแวร์แทน นั่นหมายความว่าเมื่อรูป Thumbnail บนไฟล์เอกสารถูกคลิก จะเป็นการรันมัลแวร์แทนที่จะดาวน์โหลดวิดีโอจาก YouTube มาเล่น และการกระทำนี้ไม่มีหน้าจอแจ้งเตือนเรื่องความมั่นคงปลอดภัยใดๆ เด้งขึ้นมาอีกด้วย

 

ผู้ที่สนใจสามารถดูวิดีโอ PoC การโจมตีได้ที่: https://bit.ly/2SvhNj8

 

Cymulate ได้รายงานช่องโหว่ไปยัง Microsoft ตั้งแต่เมื่อ 3 เดือนก่อน แต่ทาง Microsoft ปฏิเสธที่จะระบุว่าประเด็นนี้เป็นช่องโหว่ด้านความมั่นคงปลอดภัย เนื่องจากซอฟต์แวร์แปลความ HTML ได้อย่างที่ควรจะเป็นอยู่แล้ว ทีมนักวิจัยจึงตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะเพื่อแจ้งเตือนผู้ใช้ทั่วโลก ส่งผลให้ตอนนี้ยังไม่มีแพตช์สำหรับอุดช่องโหว่ดังกล่าว

 

รายละเอียดเชิงเทคนิค: https://blog.cymulate.com/abusing-microsoft-office-online-video

 

ที่มา: https://thehackernews.com/2018/10/microsoft-office-online-video.html , https://www.techtalkthai.com/ms-word-2016-vulnerability-allows-hacker-to-run-malware/

 

 

SAN is out SDS is in

วันนี้เราจะไปพาไปพบกับ คำถามที่ช่วงนี้ต้องบอกว่า พบเจอบ่อยมากๆ นั่นคือ การที่หลายๆ คนใช้งาน Storage Area Network หรือที่เรียกสั้นๆ...

Read more »

ข้อดีของการมีระบบจองที่พักหรือโรงแรมเป็นของตัวเอง

ประเทศไทยนั้นถือว่าจุดหมายปลายทางระดับโลกของนักท่องเที่ยว ที่มีแต่จะมากขึ้นทุกๆ ปีด้วยความโดดเด่นของไทยเองที่มีอยู่หลายด้าน เช่น อาหาร แหล่งท่องเที่ยว และ ความเป็นมิตรของผู้คน นั่นคือหนึ่งในสาเหตุของ การเพิ่มขึ้นของสถานประกอบการประเภทที่พัก...

Read more »

ระบบฐานข้อมูล และ การใช้งานประจำปี 2025

เราอาจจะพูดได้ว่า ระบบฐานข้อมูลนั้นได้กลายเป็นกระดูกสันหลังขององค์กรและแอปพลิเคชันยุคใหม่ไปแล้ว การเข้าใจว่า ฐานข้อมูลแต่ละชนิดและการนำไปใช้งานนั้นก็กลายเป็นเรื่องจำเป็นที่นักพัฒนา รวมถึงผู้ที่อยู่ในสายงานไอที ต้องเรียนรู้ ไม่ว่าคุณกำลังจะสร้างแอปสำหรับใช้งานส่วนตัวหรือสำหรับองค์กรขนาดใหญ่ การเข้าในฐานข้อมูลและเลือกใช้งานให้ถูกต้อง ถือเป็นส่วนที่จะต้องทำ อะไรคือฐานข้อมูล...

Read more »

Virtual Tape Library คืออะไรและมีประโยชน์อย่างไร

สำหรับ Tape Backup นั้นหลายๆ คนคงจะรู้จัก และใช้งานกันมานานพอสมควร แม้กระทั่งทุกวันนี้หลายๆ องค์กรก็ยังใช้งาน Tape อยู่...

Read more »

ทดสอบ IOPS ด้วย KDiskMark

หากพูดถึง CrystalDiskMark ก็ต้องบอกว่าเป็นที่รู้จักกันในโลกของ Windows กันมา พอสมควรแล้ว เพราะถูกใช้กันอย่างกว้างขวางในการทดสอบ IOPS บน Disk/SSD...

Read more »

GraphQL คืออะไร และ มันอาจจะเป็นสิ่งที่มาเปลี่ยน REST API

GraphQL คืออะไร ก่อนอื่นต้องบอกก่อน วิธีการสื่อสารระหว่าง client & server นั้นเราใช้วิธีการที่เรียกว่า REST API...

Read more »