Microsoft บล็อกไฟล์ .SettingContent-ms ที่ฝังในเอกสาร 0ffice 365

Microsoft ได้เพิ่มอัปเดตลิสต์ไฟล์อันตรายภายในเอกสาร Office 365 สำหรับไฟล์ ‘.SettingContent-ms’ ซึ่งพบว่าผู้ร้ายสามารถนำไปใช้เพื่อทำให้เกิด Remote Code Execution ได้และก่อนหน้านี้เคยมีการประยุกต์ใช้งานวิธีการนี้ไปบ้างแล้ว

credit : Bleepingcomputer.com

อันที่จริงแล้วไฟล์นี้คือไฟล์ XML ที่อนุญาตให้ผู้ใช้สร้าง Shortcut ไปยังหน้าตั้งค่าของ Windows 10 เช่น สร้าง Shortcut ไปเปิด Control Panel ได้แต่สิ่งที่ผิดพลาดคือภายในไฟล์ .SettingContent-ms นั้นมีแท็ก <Deeplink> ที่เปิดช่องให้แฮ็กเกอร์สามารถแก้ไขให้ชี้ไปยังไบนารี่ไฟล์ได้ เช่น cmd.exe หรือ PowerShell.exe เป็นต้น (ดูภาพตัวอย่างได้ตามด้านบน) ซึ่งผู้คนพบช่องโหว่นี้คือ Matt Nelson จาก SpecterOps นั่นเอง

ด้วยสาเหตุข้างต้น Microsoft จึงตัดสินใจอัปเดตรายชื่อใน Packager Activation หรือลิสต์ไฟล์อันตรายที่ทาง Microsoft ใช้บล็อกไฟล์ที่ฝังในเอกสาร Office ผ่านฟีเจอร์ OLE (Object Linking and Embedding) ทำให้ตอนนี้ลิสต์ของรายชื่อกลายเป็น 108 Extensions เรียบร้อยแล้วซึ่งนอกจาก .SettingContent แล้วยังมีไฟล์พวก CHM, EXE, HTA, JS, MSI, VBS, WSF และอื่นๆ โดยหากผู้ใช้งานมีความพยายามรันไฟล์ที่อยู่ในลิสต์จะเกิดแจ้งผิดพลาดตามภาพด้านล่าง

credfit : Bleepingcomputer.com

ข่าวดีก็คือ Outlook ก็ใช้ลิสต์รายชื่อเดียวกันดังนั้น SettingContent-ms ที่ผ่านมาทางนี้ก็ไม่สามารถใช้ได้แต่ข่าวร้ายคือคนร้ายก็มักส่งไฟล์ที่บีบอัดมา 2 ชั้นหรือใส่รหัสผ่านกับไฟล์ที่ถูกบีบอัดนั้นมาด้วย อย่างไรก็ตามผู้สนใจนำ Packager Activation List สำหรับ Office365 ไปใช้กับ Office เวอร์ชันเก่าระบบ Registry Key ก็สามารถศึกษาเพิ่มได้ที่นี่


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

นักวิจัยเผยพบช่องโหว่บน VPN ระดับองค์กรกระทบหลาย Vendor แนะควรอัปเดต

Orange Tsai และ Meh Chang นักวิจัยจาก Devcore ได้ออกมาเผยการค้นพบช่องโหว่หลายรายการบนโซลูชัน VPN ระดับองค์กร ซึ่งทำให้ผู้โจมตีสามารถแอบเข้าสู่เครือข่ายได้ ทั้งนี้ยังเผยว่าพบช่องโหว่กระทบกับโซลูชันของ Vendor หลายเจ้า เช่น …

Veritas ขอเชิญร่วมสัมมนาอัปเดต Backup Exec 20.4 พร้อมรับชมภาพยนตร์ Fast and Furious Presents: Hobbs and Shaw 15 ส.ค. 2019

Veritas ขอเชิญลูกค้าธุรกิจองค์กรที่กำลังใช้งานโซลูชันใดๆ ของ Veritas หรือเคยใช้งาน Veritas Backup Exec มาก่อน เข้าร่วมงานสัมมนาฟรี อัปเดตเทคโนโลยีล่าสุดกับ Veritas Backup Exec 20.4 พร้อมรับชมภาพยนตร์ Fast and Furious Presents: Hobbs and Shaw ต่อทันทีในวันที่ 15 สิงหาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีๆ ดังนี้