Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ 0-Day ในโปรแกรม Microsoft Word (CVE-2014-1761) โจมตีผ่านไฟล์ RTF

วันที่ประกาศ: 24 มีนาคม 2557
ปรับปรุงล่าสุด: 29 มีนาคม 2557
เรื่อง: ระวังภัย ช่องโหว่ 0-Day ในโปรแกรม Microsoft Word (CVE-2014-1761) โจมตีผ่านไฟล์ RTF

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 24 มีนาคม 2557 บริษัท Microsoft ได้แจ้งเตือนช่องโหว่ด้านความมั่นคงปลอดภัย (Security Advisory) หมายเลข 2953095 [1] เรื่องข้อผิดพลาดในการประมวลผลไฟล์ RTF ในโปรแกรม Microsoft Word ส่งผลให้ผู้ไม่หวังดีสามารถติดตั้งโปรแกรมไม่พึงประสงค์ลงในเครื่องของผู้ใช้ได้ ช่องโหว่นี้มีหมายเลข CVE-2014-1761 [2] โดย Microsoft แจ้งว่าพบการโจมตีด้วยช่องโหว่นี้แล้ว

วิธีการโจมตีผ่านช่องโหว่นี้ ผู้ไม่หวังดีจะส่งอีเมลโดยมีข้อความหลอกให้เหยื่อเปิดเอกสารแนบเป็นไฟล์ .rtf ที่ภายในเอกสารมีการฝังโค้ดโจมตีผ่านช่องโหว่นี้เอาไว้ เมื่อเปิดเอกสารนั้นขึ้นมาดูก็จะถูกติดตั้งโปรแกรมไม่พึงประสงค์ลงในเครื่อง

ผลกระทบ

ผู้ใช้ที่ใช้ Microsoft Word เปิดไฟล์เอกสารประเภท RTF ที่มีโค้ดอันตรายฝังอยู่ จะถูกติดตั้งโปรแกรมไม่พึงประสงค์ลงในเครื่อง ซึ่งอาจทำลายข้อมูลในเครื่องหรือเปิดโอกาสให้ผู้ไม่หวังดีเชื่อมต่อเข้ามาควบคุมเครื่องจากระยะไกลได้

ระบบที่ได้รับผลกระทบ

  • Microsoft Word 2003 Service Pack 3
  • Microsoft Word 2007 Service Pack 3
  • Microsoft Word 2010 Service Pack 1 และ Service Pack 2 ทั้งเวอร์ชัน 32 bit และ 64 bit
  • Microsoft Word 2013 ทั้งเวอร์ชัน 32 bit และ 64 bit
  • Microsoft Word 2013 RT
  • Microsoft Office for Mac 2011
  • Microsoft Word Viewer
  • Microsoft Office Compatibility Pack Service Pack 3
  • Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1 และ Service Pack 2
  • Word Automation Services on Microsoft SharePoint Server 2013
  • Microsoft Office Web Apps 2010 Service Pack 1 และ Service Pack 2
  • Microsoft Office Web Apps Server 2013

ข้อแนะนำในการป้องกันและแก้ไข

ปัจจุบันยังอยู่ระหว่างการตรวจสอบและวิเคราะห์สาเหตุ โดยในเบื้องต้น Microsoft ได้แนะนำให้ผู้ใช้ติดตั้งโปรแกรม Fix-it [3] เพื่อปิดการแสดงผลไฟล์ RTF เป็นการชั่วคราว อย่างไรก็ตาม Fix-it นี้เป็นเพียงวิธีการแก้ไขปัญหาเฉพาะหน้าเท่านั้น ผู้ใช้ควรติดตามข่าวสารอย่างสม่ำเสมอและรีบติดตั้งแพทช์จาก Microsoft ทันทีที่สามารถทำได้

การติดตั้ง Fix-it นี้อาจก่อให้เกิดปัญหากับโปรแกรมที่มีการเรียกใช้งานไฟล์ RTF หากจำเป็นต้องทำงานโดยใช้ไฟล์เอกสารรูปแบบดังกล่าว และไม่สามารถติดตั้ง Fix-it ได้ ทาง Microsoft ได้แนะนำวิธีการลดโอกาสเสี่ยงจากช่องโหว่ ดังนี้

  • ตั้งค่าโปรแกรม Microsoft Outlook ให้อ่านอีเมลในแบบ plaintext [4]
  • ตั้งค่าโปรแกรม Microsoft Office File Block Policy เพื่อบล็อคไม่ให้โปรแกรม Microsoft Word สามารถเปิดไฟล์ RTF ได้ [5]
  • ติดตั้งโปรแกรม EMET และตั้งค่าโปรแกรมให้คอยตรวจสอบการทำงานของโปรแกรม Microsoft Word เพื่อช่วยลดผลกระทบที่เกิดจากช่องโหว่นี้

และเนื่องจากปัจจุบันยังไม่มีแพทช์หรือ Fix-it สำหรับ Microsoft Office for Mac ออกมา ดังนั้นหากผู้ใช้โปรแกรมดังกล่าวต้องการจะเปิดไฟล์ RTF ให้หลีกเลี่ยงไปใช้โปรแกรมอื่น เช่น TextEdit ซึ่งเป็นโปรแกรมที่มาพร้อมกับระบบปฏิบัติการ OS X ซึ่งสามารถเปิดไฟล์ RTF ได้

ทาง Microsoft ได้ให้ข้อมูลเพิ่มเติมว่า โปรแกรม Wordpad ที่มากับ Windows ไม่ได้รับผลกระทบจากช่องโหว่นี้ ผู้ใช้ที่ยังจำเป็นต้องทำงานร่วมกับไฟล์ .rtf สามารถเปิดไฟล์ดังกล่าวโดยใช้โปรแกรม Wordpad ได้โดยการคลิกขวาที่ไฟล์ .rtf เลือกคำสั่ง Open with แล้วเลือกโปรแกรม Wordpad

อ้างอิง

  1. https://technet.microsoft.com/en-us/security/advisory/2953095
  2. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1761
  3. https://support.microsoft.com/kb/2953095
  4. http://office.microsoft.com/en-us/outlook-help/read-email-messages-in-plain-text-HA102748923.aspx
  5. http://technet.microsoft.com/library/cc179230
Clear