แฮกเกอร์รัสเซียใช้ช่องโหว่บน 7Zip ฝ่าระบบ MotW บน Windows ได้เรียบร้อยแล้ว ข่าวไอที

แฮกเกอร์รัสเซียใช้ช่องโหว่บน 7Zip ฝ่าระบบ MotW บน Windows ได้เรียบร้อยแล้ว

ภาพจาก : https://www.bleepingcomputer.com/news/security/7-zip-motw-bypass-exploited-in-zero-day-attacks-against-ukraine/

เมื่อ : 20 กุมภาพันธ์ 2568

| ผู้เข้าชม : 648

เขียนโดย : นักเขียน : Editor

Sarun_ss777

A- A+

แชร์หน้าเว็บนี้ :

ในหมู่ซอฟต์แวร์สำหรับการบีบอัดไฟล์นั้น 7Zip นับว่าเป็นตัวหนึ่งที่ทั้งได้รับความนิยม แต่เป็นประเด็นด้านความปลอดภัยมากที่สุด โดยประเด็นที่ผ่านมาก็มีทั้งข่าวลือ และเรื่องจริง สำหรับข่าวนี้อาจสร้างความกังวลใจให้กับผู้ใช้งานอีกครั้งหนึ่ง

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบแคมเปญการ Phishing แบบมุ่งเป้าหมายจำเพาะ (Spear Phishing) โดยกลุ่มแฮกเกอร์ชาวรัสเซีย เพื่อหลอกให้กลุ่มเหยื่อเป้าหมายเปิดไฟล์แฝงมัลแวร์ที่แนบไปบนอีเมล วิธีการดังกล่าวอ่านแล้วอาจคล้ายกับแคมเปญอื่น ๆ แต่ที่พิเศษคือ การโจมตีในแคมเปญนี้เป็นการใช้ช่องโหว่ของซอฟต์แวร์ 7Zip เพื่อฝ่าระบบป้องกันบน Windows

บทความเกี่ยวกับ Compression อื่นๆ

พบช่องโหว่ร้ายแรงบนซอฟต์แวร์ 7-Zip เปิดให้แฮกเกอร์สามารถรันโค้ดตามใจชอบได้

ซึ่งช่องโหว่ดังกล่าวนั้นมีชื่อว่า CVE-2025-0411 เป็นช่องโหว่ที่อยู่บนซอฟต์แวร์ 7Zip ที่เปิดช่องให้แฮกเกอร์สามารถฝ่าระบบป้องกัน Mark-on-The-Web หรือ MoTW ซึ่งเป็นกลไกป้องกันภัยของ Windows สำหรับการป้องกันการรันไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ตในทันทีถ้าไม่ได้รับการตรวจสอบจากระบบ Microsoft Defender SmartScreen เสียก่อน ซึ่งช่องโหว่ดังกล่าวนั้นอยู่บนซอฟต์แวร์ 7Zip รุ่นก่อนหน้า 24.09 ทุกรุ่น โดยช่องโหว่นี้เกิดมาจากการที่ 7Zip ไม่สามารถเปิดการใช้งาน MoTW ได้อย่างถูกต้อง นำมาสู่ปัญหาดังกล่าว

จากที่กล่าวมาข้างต้น ไฟล์ที่แฮกเกอร์แนบไปกับอีเมลจึงเป็นไฟล์บีบอัดที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยมีการฝังสคริปท์สำหรับการทำ Homoglyph Attack (การโจมตีโดยอาศัยตัวแปร Sting ที่สามารถเขียนซ้ำ ๆ ได้) ที่ถูกบรรจุอยู่ในไฟล์บีบอัดในรูปแบบไฟล์ของ Microsoft Word อันนำมาสู่การเปิดใช้งานช่องโหว่ดังกล่าว โดยการโจมตีด้วยการใช้ช่องโหว่ดังกล่าวนั้นเกิดขึ้นครั้งแรกในยูเครนช่วง ค.ศ. 2024 (พ.ศ. 2567) ที่ผ่านมา ซึ่งคาดว่าอาจเป็นส่วนหนึ่งของสงครามรัสเซีย-ยูเครน ในไฟล์บีบอัดนี้เอง ยังมีการตรวจพบไฟล์ Internet Shortcut นามสกุล .URL ซึ่งคาดว่าเป็นกลไกสำหรับการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) และยังมีการตรวจพบว่าไฟล์บีบอัดตัวใหม่ ๆ ยังมีการสอดแทรกไฟล์มัลแวร์นกต่อชื่อ SmokeLoader ปลอมตัวอยู่ในครบไฟล์สกุล .PDF อีกด้วย

สำหรับการป้องกันนั้นเรียกได้ว่าไม่ยาก เพียงแค่ผู้ใช้งาน 7Zip ทำการอัปเดตตัวซอฟต์แวร์เป็นเวอร์ชันล่าสุด นอกจากนั้นก็ใช้มาตรการด้านความปลอดภัยตามปกติ อย่างเช่น การไม่เปิดไฟล์ที่ได้รับจากผู้ส่งที่ไม่น่าไว้วางใจ เป็นต้น

ที่มา : thehackernews.com