ช่องโหว่ MonikerLink ทำให้ผู้ใช้ Outlook ถูกติดตั้งมัลแวร์และโดนขโมยข้อมูลได้

69/67 (IT) ประจำวันอังคารที่ 20 กุมภาพันธ์ 2567

Check Point Research (CPR) ได้ค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญใน Microsoft Outlook มีชื่อว่า  MonikerLink ซึ่งช่องโหว่ดังกล่าว ทำให้ผู้โจมตีสามารถรันโค้ดโดยอำเภอใจบนอุปกรณ์เป้าหมายของตนได้ มีหมายเลขช่องโหว่คือ CVE-2024-21413 คะแนน CVSS 9.8 ซึ่งหมายความว่าช่องโหว่นี้มีความรุนแรงระดับวิกฤต และสามารถถูกนำไปใช้โจมตีได้ และอาจทำให้ผู้โจมตีสามารถโจมตีระบบโดยมีการโต้ตอบกับผู้ใช้น้อยที่สุด ซึ่งอาจนำไปสู่การบุกรุกเข้าถึงระบบได้โดยสมบูรณ์ การถูกโจมตีแบบ denial of service และการถูกละเมิดข้อมูลได้อีกด้วย นอกจากนี้ ผู้โจมตียังสามารถรันโค้ดโดยอำเภอใจเพื่อทำการขโมยข้อมูล และติดตั้งมัลแวร์     

โดยปัญหานี้เกิดขึ้นเนื่องจากวิธีที่ Outlook ประมวลผลไฮเปอร์ลิงก์ “file://” ซึ่งนำไปสู่ผลกระทบด้านความปลอดภัยที่รุนแรง ผู้โจมตีสามารถรันโค้ดที่ไม่ได้รับอนุญาตบนอุปกรณ์เป้าหมายได้ ซึ่งการวิจัยของ CPR เผยให้เห็นว่าช่องโหว่  MonikerLink ใช้งาน Component Object Model ( COM ) บน Windows ในทางที่ผิด ส่งผลให้มีการเรียกใช้โค้ดโดยไม่ได้รับอนุญาตและการรั่วไหลของข้อมูลรับรอง NTLM ในเครื่อง โดยช่องโหว่นี้จะใช้ประโยชน์จากข้อมูลประจำตัว NTLM ของผู้ใช้ เพื่อเปิดใช้งานการเรียกใช้โค้ดโดยอำเภอใจผ่าน COM ใน Windows เมื่อผู้ใช้คลิกที่ไฮเปอร์ลิงก์ที่เป็นอันตราย ระบบจะเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลที่ควบคุมโดยผู้โจมตี ส่งผลให้รายละเอียดการรับรองความถูกต้องเสียหาย และอาจนำไปสู่การเรียกใช้โค้ด และรันโค้ดบนเครื่องของเหยื่อจากระยะไกล โดยข้ามโหมดมุมมองที่ได้รับการป้องกันในแอปพลิเคชัน Office ช่องโหว่นี้ก่อให้เกิดความเสี่ยงที่สำคัญต่อความปลอดภัยขององค์กร ทั้งของตัวผู้ใช้งานและองค์กร ดังนั้น จึงควรเร่งทำการแพตช์ ดำเนินการปฏิบัติตามแนวทางปฏิบัติด้านการรักษาความปลอดภัย และควรระมัดระวังอีเมลที่น่าสงสัยด้วย

แหล่งข่าว https://www.hackread.com/monikerlink-bug-microsoft-outlook-data-malware/