การโจมตีผ่าน Microsoft Word (CVE-2023–21716)

สวัสดีครับคุณผู้อ่านทุกคน วันนี้ผมจะมาพูดถึงช่องโหว่ของ Microsoft Word ซึ่งเป็นโปรแกรมที่หลายคนรู้จักและถูกใช้งานอย่างแพร่หลาย ทั้งใช้งานที่บ้าน ที่โรงเรียน ที่มหาวิทยาลัย และที่สำนักงาน จนแทบจะเรียกได้เลยว่าเป็นโปรแกรมที่มีทุกเครื่องเลยจริง ๆ จนทำให้มีผู้ไม่ประสงค์ดีทำการ Remote Code Execution ได้ โดยช่องโหว่นี้จะน่ากลัวและอันตรายแค่ไหน เราไปดูกันเลยครับ

ก่อนอื่นผมจะพามารู้จัก CVE กันก่อน

CVE คืออะไร ?

CVE หรือ Common Vulnerabilities and Exposures เป็นโครงการรักษาความปลอดภัย ที่มีเป้าหมายสำคัญในการดูแลซอฟต์แวร์ที่เผยแพร่แบบสาธารณะ ซึ่งถูกกำกับดูแลโดยองค์กรไม่แสวงหาผลกำไร อย่างMITRE Corporation

CVE เป็นคำที่ใช้ในการเรียกช่องโหว่ต่าง ๆ ซึ่งใช้ระบบ Security Content Automation Protocol (SCAP) ในการรวบรวมข้อมูลช่องโหว่ความปลอดภัย แล้วจัดตั้งชื่อ ID เฉพาะตัวให้ช่องโหว่แต่ละรายการที่ถูกค้นพบ เพื่อเปิดเผยสู่สาธารณะต่อไป

ในการตั้งชื่อ ID ของรายการช่องโหว่บนฐานข้อมูล Common Vulnerabilities and Exposures (CVE) ทุกรายการจะได้ชื่อที่ไม่ซ้ำกันโดยมีสูตรในการตั้งชื่อ ID ดังนี้

CVE + ปี + หมายเลข

ตัวอย่างเช่น CVE-2020–28188

นอกเหนือไปจาก ชื่อไอดีเฉพาะตัวแล้ว ทาง MITRE Corporation ยังมีการระบุวันที่ของช่องโหว่ที่ถูกเพิ่มเข้าไปในฐานข้อมูล และคำอธิบายด้วยว่าช่องโหว่ดังกล่าวมีลักษณะเป็นอย่างไร และหากช่องโหว่ดังกล่าวได้รับรายงานมาจากแหล่งข้อมูลอื่น ก็จะมีการระบุลิงก์ที่มากลับไปยังผู้ที่รายงานช่องโหว่เป็นคนแรกให้ด้วย

โดย CVE ทุกรายการจะได้รับคะแนนประเมินจาก National Vulnerability Database (NVD) ด้วย โดยเรียกว่า Common Vulnerability Scoring System (CVSS) ระดับคะแนนนี้จะช่วยในการประเมินความรุนแรงของช่องโหว่ดังกล่าว

หลักเกณฑ์การให้คะแนน Common Vulnerability Scoring System (CVSS) จะพิจารณาจากตัวชี้วัดหลายอย่าง ประกอบไปด้วย ความยากง่ายในการโจมตี, ความซับซ้อน, ระดับความลับของช่องโหว่, เงื่อนไขในการโจมตี ฯลฯ โดยระบบคะแนน CVSS จะมีอยู่ 2 รูปแบบ คือ CVSS v2.0 สำหรับความรุนแรงระดับ “ต่ำ” และ CVSS v3.0 สำหรับความรุนแรงระดับ “สูง”

เมื่อรู้จักกับ CVE แล้วเรามาเข้าเรื่องกันเลยดีกว่าครับ กลับมาที่ช่องโหว่ของ Microsoft Word หรือ CVE-2023–21716

ช่องโหว่ Microsoft Word หรือ CVE-2023–21716 คืออะไร

Microsoft Word หรือ CVE-2023–21716 เป็นช่องโหว่ที่ถูกพบโดยผู้เชี่ยวชาญที่ชื่อ Joshua Drake เมื่อเดือนพฤศจิกายน 2022 โดยช่องโหว่ดังกล่าวมีพบกระทบต่อผลิตภัณฑ์ของ Microsoft หลายเวอร์ชั่น ซึ่งช่องโหว่ดังกล่าวเกิดจาก Heap Corruption หรือเรียกอีกอย่างหนึ่งว่า Buffer Overflow กล่าวคือ RTF parser ที่อยู่ในโปรแกรม Microsoft Word อาจเกิดปัญหาได้หากเจอกับตารางฟอนต์ที่มากเกินไป ทำให้ผู้ไม่ประสงค์ดีสามารถส่งไฟล์ RTF ที่สร้างขึ้นมาพิเศษสู่เหยื่อผ่านทางอีเมล และนำไปสู่การลักลอบการรันโค้ดอันตรายได้

อ้างอิงจาก Twitter โดยโค้ดสาธิตการโจมตีช่องโหว่ดังกล่าวของ Joshua ที่ปล่อยออกมานั้น เป็นเพียงโค้ดสั้น ๆ ไม่กี่บรรทัด ซึ่งปัจจุบันยังไม่มีรายงานการโจมตีแต่ด้วยความง่ายของการใช้งาน จึงมีแนวโน้มผู้ไม่ประสงค์ดีอาจนำไปต่อยอดสู่แคมเปญการโจมตีในวงกว้างในอนาคตได้

ผู้อ่านสามารถเข้าไปอ่านรายงานฉบับเต็มของ Joshua Drake ได้ที่ https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md

ระดับความรุนแรงของช่องโหว่ของ Microsoft Word หรือ CVE-2023–21716

อ้างอิงจาก NIST ช่องโหว่นี้คะแนนความรุนแรงอยู่ที่ 9.8/10 หรือระดับ Critical กันเลยทีเดียว เนื่องจากเหยื่อไม่จำเป็นต้องเปิดโปรแกรม Microsoft Word ก็มีความเสี่ยงต่อการถูกโจมตีได้ เพียงแค่เกิดการโหลดในส่วน Preview ของไฟล์เอกสาร ก็ทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตีได้แล้ว

Microsoft เวอร์ชั่นใดบ้างที่ได้รับผลกระทบจากช่องโหว่นี้

อ้างอิงจาก PICUS มีหลายเวอร์ชันที่ได้รับผลกระทบจากช่องโหว่ CVE-2023–21716 และผู้ใช้ควรทำการอัปเดตแพตซ์ของโปรแกรมที่มีช่องโหว่โดยเร็วที่สุด

โปรแกรมที่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

• Microsoft 365 Apps for Enterprise 32-bit and 64-bit editions
• Microsoft Office 2019 for Mac 32-bit, and 64-bit editions
• Microsoft Office LTSC 2021 for Mac 2021 32-bit and 64-bit systems
• Microsoft Office Online Server
• Microsoft Office Web Apps Server 2013 Service Pack 1
• Microsoft Word 2013 for RT SP1, SP1 32-bit and SP1 64-bit editions
• Microsoft Word 2016 for 32-bit and 64-bit editions
• Microsoft SharePoint Enterprise Server 2013 Service Pack 1
• Microsoft SharePoint Enterprise Server 2016
• Microsoft SharePoint Foundation 2013 Service Pack 1
• Microsoft SharePoint Server 2019
• Microsoft SharePoint Server Subscription Edition
• Microsoft SharePoint Server Subscription Edition Language Pack

วิธีการป้องกันการโจมตีจากช่องโหว่ Microsoft Word หรือ CVE-2023–21716

เมื่อเดือนกุมภาพันธ์ 2023 ที่ผ่านมาทาง Microsoft ได้ปล่อยแพตซ์อัปเดตช่องโหว่ CVE-2023–21716 ออกมาให้ดาวน์โหลดแล้ว ซึ่งผู้อ่านสามารถเข้าไปดาวน์โหลดได้ที่ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716

หากยังไม่มีแพตช์ให้ทำการอัปเดตในบางเวอร์ชัน สามารถป้องกันได้ด้วยวิธีดังนี้

• ทำการตั้งค่า Microsoft Outlook ให้ทำการเปิดอ่านอีเมลในรูปแบบ plaintext โดยผู้อ่านสามารถเข้าไปอ่านวิธีตั้งค่าได้ที่ Read email messages in plain text
• ใช้งาน Microsoft Office File Block ในการป้องกัน Microsoft เปิดไฟล์เอกสาร RTF จากแหล่งที่มาที่ไม่น่าเชื่อถือ โดยเข้าไปตั้งค่าที่ Registry เปลี่ยนค่า RtfFiles DWORD ให้เป็น 2 และเปลี่ยนค่า OpenInProtectedView DWORD ให้เป็น 0
  - Office 2013: HKCU\Software\Microsoft\Office\15.0\Word\Security\FileBlock
  - Office 2016, 2019, 2021: HKCU\Software\Microsoft\Office\16.0\Word\Security\FileBlock

เป็นอย่างไรกันบ้างครับ สำหรับบทความเกี่ยวกับช่องโหว่ของ Microsoft Word สำหรับผู้ที่สนใจบทความแบบนี้หรือบทความเกี่ยวกับ Cyber Security อย่าลืมติดตาม Datafarm ด้วยนะครับ สุดท้ายนี้กระผมขอให้ทุกท่านสนุกกับการอ่านและเจอกันใหม่ในหัวข้อถัดไปครับ

References

• https://www.antivirus.in.th/tips/1731.html
• https://www.techtalkthai.com/poc-of-cve-2023-21716-critical-vulnerability/
• https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md
• https://nvd.nist.gov/vuln/detail/CVE-2023-21716
• https://www.picussecurity.com/resource/blog/cve-2023-21716-microsoft-word-remote-code-execution-exploit-explained
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716
• https://support.microsoft.com/en-us/office/read-email-messages-in-plain-text-16dfe54a-fadc-4261-b2ce-19ad072ed7e3