นักวิจัยพบช่องโหว่ ! ยึดคอมผ่าน Microsoft Word ได้ แม้ผู้ใช้ไม่เปิดไฟล์มัลแวร์ขึ้นมา

เมื่อวันที่ 27 พฤษภาคม พ.ศ. 2565 (ค.ศ. 2022) มีผู้ใช้ทวิตเตอร์ @nao_sec ได้โพสต์ถึง Maldoc (Malicious Office documents) หรือมัลแวร์บนไฟล์เอกสารใหม่ ที่ใช้ช่องโหว่ของ Microsoft Word เพื่อยึดและทำการรีโมทคอมพิวเตอร์เครื่องนั้น ๆ ได้

Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt

— nao_sec (@nao_sec) May 27, 2022

ช่องโหว่ Maldoc นี้ ถูกนักวิจัยที่ค้นพบ ตั้งชื่อว่า "Follina" โดยกระบวนการนั้น Follina จะอาศัยช่องโหว่จากฟีเจอร์ Templates ใน MS Word ที่อนุญาตให้โปรแกรมสามารถโหลดและรันโค้ดจากแหล่งภายนอกได้ เปิดลิ้งเพื่อโหลด HTML และรันคำสั่งเป็นชุดผ่าน PowerShell เพื่อเปิดใช้เครื่องมือ MSDT (Microsoft Support Diagnostic Tool) และใช้ในการควบคุมเครื่องคอมพิวเตอร์อีกที

จริง ๆ แล้ว เครื่องมือ MSDT (Microsoft Support Diagnostic Tool) เป็นเครื่องมือของทาง Microsoft เอง ที่ใช้สำหรับการ ดีบัค (Debug) ปัญหาต่าง ๆ ที่ผู้ใช้พบเจอ แต่ในกรณีนี้ กลายมาเป็นช่องโหว่สำหรับการแฮกคอมพิวเตอร์ซะงั้น

ในกรณีที่พบนี้ ไฟล์ที่มีช่องโหว่เป็นไฟล์สกุล .RTF (Rich Text Format) แต่ไฟล์อื่น ๆ ที่สามารถใช้งานกับ MS Word ได้ ก็มีความเสี่ยงเช่นกัน แต่ที่น่ากลัวก็คือ แต่เราเปิดดูใน File Explorer ไฟล์ดังกล่าวสามารถรันด้วยตัวเองได้ แม้เราจะไม่ได้เปิดไฟล์ขึ้นมา ทีนี้แฮกเกอร์จะทำอะไรกับคอมของเราก็ได้ ไม่ว่าจะ โหลดโปรแกรมมัลแวร์ โหลดไฟล์ต่าง ๆ ขโมยข้อมูล และอะไรก็ตามที่สามารถทำได้

อย่างไรก็ตาม ความน่าสนใจอยู่ตรงที่ช่องโหว่นี้ถูกโพสต์ไปเมื่อวันที่ 27 พฤษภาคม แต่ทาง Microsoft ก็ไม่มีการอัปเดต Patch เพื่อแก้ช่องโหว่ในทันที มีเพียงแต่วิธีการปิดใช้งาน MSDT ชั่วคราวเพื่อแก้ปัญหาเท่านั้นในวันที่ 30 พฤษภาคม
(สามารถดูได้ที่ https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/)

ทีนี้ระหว่างการรออัปเดตเพื่อแก้ไขปัญหานี้ ผู้ใช้อย่างเราทำอะไรได้บ้าง ? ก่อนอื่นเลย ดูว่า Microsoft Office รุ่นไหนที่ได้รับผลกระทบบ้าง โดยมีดังนี้

• Microsoft Office 2013
• Microsoft Office 2016
• Microsoft Office 2019
• Microsoft Office 2021
• Microsoft Office ProPlus
• Microsoft Office 365

สำหรับผู้ที่ใช้งานเวอร์ชันก่อนหน้า ถ้ายังไม่วางใจ ก็อาจจะลองสลับไปใช้งานโปรแกรมเอกสารบนคลาวด์ทางเลือกอย่าง Google Docs ก็เป็นความคิดที่ดี ดาวน์โหลดไฟล์จากแหล่งที่เชื่อถือได้ รวมทั้งการหลีกเลี่ยงไฟล์ทั้ง .DOC, .DOCX และ .RTF ไปก่อน (ซึ่งยากเหลือเกิน)