Microsoft บล็อกไฟล์ .SettingContent-ms ที่ฝังในเอกสาร 0ffice 365

Microsoft ได้เพิ่มอัปเดตลิสต์ไฟล์อันตรายภายในเอกสาร Office 365 สำหรับไฟล์ ‘.SettingContent-ms’ ซึ่งพบว่าผู้ร้ายสามารถนำไปใช้เพื่อทำให้เกิด Remote Code Execution ได้และก่อนหน้านี้เคยมีการประยุกต์ใช้งานวิธีการนี้ไปบ้างแล้ว

credit : Bleepingcomputer.com

อันที่จริงแล้วไฟล์นี้คือไฟล์ XML ที่อนุญาตให้ผู้ใช้สร้าง Shortcut ไปยังหน้าตั้งค่าของ Windows 10 เช่น สร้าง Shortcut ไปเปิด Control Panel ได้แต่สิ่งที่ผิดพลาดคือภายในไฟล์ .SettingContent-ms นั้นมีแท็ก <Deeplink> ที่เปิดช่องให้แฮ็กเกอร์สามารถแก้ไขให้ชี้ไปยังไบนารี่ไฟล์ได้ เช่น cmd.exe หรือ PowerShell.exe เป็นต้น (ดูภาพตัวอย่างได้ตามด้านบน) ซึ่งผู้คนพบช่องโหว่นี้คือ Matt Nelson จาก SpecterOps นั่นเอง

ด้วยสาเหตุข้างต้น Microsoft จึงตัดสินใจอัปเดตรายชื่อใน Packager Activation หรือลิสต์ไฟล์อันตรายที่ทาง Microsoft ใช้บล็อกไฟล์ที่ฝังในเอกสาร Office ผ่านฟีเจอร์ OLE (Object Linking and Embedding) ทำให้ตอนนี้ลิสต์ของรายชื่อกลายเป็น 108 Extensions เรียบร้อยแล้วซึ่งนอกจาก .SettingContent แล้วยังมีไฟล์พวก CHM, EXE, HTA, JS, MSI, VBS, WSF และอื่นๆ โดยหากผู้ใช้งานมีความพยายามรันไฟล์ที่อยู่ในลิสต์จะเกิดแจ้งผิดพลาดตามภาพด้านล่าง

credfit : Bleepingcomputer.com

ข่าวดีก็คือ Outlook ก็ใช้ลิสต์รายชื่อเดียวกันดังนั้น SettingContent-ms ที่ผ่านมาทางนี้ก็ไม่สามารถใช้ได้แต่ข่าวร้ายคือคนร้ายก็มักส่งไฟล์ที่บีบอัดมา 2 ชั้นหรือใส่รหัสผ่านกับไฟล์ที่ถูกบีบอัดนั้นมาด้วย อย่างไรก็ตามผู้สนใจนำ Packager Activation List สำหรับ Office365 ไปใช้กับ Office เวอร์ชันเก่าระบบ Registry Key ก็สามารถศึกษาเพิ่มได้ที่นี่




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

นักวิจัยสามารถทำการโจมตีแบบ GPS Spoofing ได้สำเร็จกับระบบนำทาง

นักวิจัยจากมหาวิทยาลัย Virginia Tech, มหาวิทยาลัย Electronic Science และ Technology of China และทีมวิจัยของ Microsoft ได้ร่วมกันค้นพบวิธีการโจมตีแบบ GPS Spoofing …

AWS ออก Lifecycle Management สำหรับ EBS Snapshot

AWS ออก Lifecycle Management สำหรับ EBS ซึ่งจะช่วยในการบริการจัดการ การสร้างและลบ Retention ของ Snapshot ได้อย่างอัตโนมัติ แทนที่แบบเดิมต้องทำเองหรือใช้เครื่องมือพิเศษต่างหาก