TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ใน Patch รอบล่าสุดของ Microsoft สำหรับเดือนพฤศจิกายนนี้ มีช่องโหว่หนึ่งที่เหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยออกมาพูดถึงกันค่อนข้างเยอะ คือช่องโหว่ Remote Code Execution (RCE) อายุ 17 ปีบน Microsoft Equation Editor ที่สามารถถูกโจมตีผ่าน Microsoft Office ได้ และกระทบกับ Windows ทุกรุ่น
Microsoft จัดระดับของช่องโหว่นี้เอาไว้ที่ Important แต่นักวิจัยด้านความมั่นคงปลอดภัยจาก Embedi ที่เป็นผู้ค้นพบช่องโหว่นี้ได้ออกมาระบุว่ามันเป็นช่องโหว่ที่อันตรายร้ายแรงสูงสุด เนื่องจากตัว EQNEDT32.EXE นั้นนอกจากจะเป็นซอฟต์แวร์เก่าที่ไม่ได้รับการอัปเดตมานาน แต่ก็ยังจำเป็นต้องมีอยู่บน Windows ทุกรุ่นเพื่อให้เปิดและแสดงผลและแก้ไขข้อมูลที่เป็นสมการคณิตศาสตร์บนเอกสาร Microsoft Office รุ่นเก่าๆ ให้ได้อย่างถูกต้อง อีกทั้งมันยังถูกออกแบบให้ทำงานแยกต่างหากจาก Microsoft Office ทำให้มันไม่ถูกปกป้องจากฟีเจอร์ด้านความมั่นคงปลอดภัยใหม่ๆ ที่ Microsoft พัฒนาขึ้นมาเท่าที่ควร
Embedi พบช่องโหว่บน Equation Editor นี้จากการใช้เครื่องมือ BinScope ซึ่งเป็นเครื่องมือของ Microsoft เองในการตรวจสอบ และได้ทำการทดลองโจมตีด้วยการทำ Buffer Overflow จนประสบความสำเร็จ และ Execute คำสั่งต่างๆ ได้ตามต้องการ
Microsoft ระบุว่าช่องโหว่นี้เป็นช่องโหว่ Microsoft Office Memory Corruption Vulnerability พร้อมรหัส CVE-2017-11882 และออก Patch มาเรียบร้อยแล้ว โดยนอกจากการ Patch ในครั้งนี้แล้ว ทาง Embedi ยังแนะนำให้เหล่าองค์กรทำการปิดการใช้งาน EQNEDT32.EXE ใน Windows Registry ด้วย เพื่อป้องกันช่องโหว่อื่นๆ ที่อาจปรากฎขึ้นมาอีกในอนาคต
ส่วนด้านล่างนี้เป็นคลิปแสดงวิธีการโจมตีจาก Embedi ครับ
ที่มา: https://threatpost.com/microsoft-patches-17-year-old-office-bug/128904/
