TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Kevin Beaumont นักวิจัยด้านความปลอดภัยได้ออกมาเปิดเผยช่องโหว่บน OLE Packager ซึ่งเป็นฟีเจอร์ที่ช่วยให้สามารถฝัง Content ลงบนไฟล์เอกสาร Office ส่งผลให้ผู้ไม่ประสงค์ดีอาจฝังมัลแวร์บนไฟล์เอกสารผ่านช่องทางดังกล่าว เพื่อเข้ามารันในเครื่องของเหยื่อโดยที่โปรแกรมแอนตี้ไวรัสหรือซอฟต์แวร์รักษาความปลอดภัยไม่สามารถตรวจจับได้
มัลแวร์อาจถูกฝังผ่านฟีเจอร์ของ OLE Packager
OLE Packager เป็นฟีเจอร์สำคัญของ MS Office ที่ใช้งานมาตั้งแต่ช่วงปี 90 จนถึงปัจจุบัน (รวมถึง Office 2013 x64 บน Windows 10 x64 ด้วยเช่นกัน) ฟีเจอร์นี้ช่วยให้ผู้ใช้งานสามารถฝังไฟล์ต่างๆลงบนไฟล์เอกสารได้ เช่น ฝังไฟล์ Excel ลงบน Powerpoint ซึ่งจุดนี้เองที่แฮ็คเกอร์สามารถแอบฝังไฟล์มัลแวร์ เช่น .exe หรือ .js ลงบนไฟล์เอกสารได้เช่นเดียวกัน เมื่อผู้ใช้งานเปิดไฟล์เอกสารดังกล่าว มัลแวร์ก็จะรันโดยอัตโนมัติทันที
โปรแกรมแอนตี้ไวรัสและซอฟต์แวร์รักษาความปลอดภัยตรวจจับไม่ได้
Beaumont ได้ทำการทดสอบช่องโหว่ดังกล่าวกับโปรแกรมรักษาความปลอดภัยหลากหลายประเภท เช่น MessageLabs ระบบรักษาควาปลอดภัยบนคลาวด์ของ Symantec, Cuckoo Sandbox, Palo Alto WildFire Sandbox และ Malwarebytes Anti-Exploit ผลปรากฏว่าไม่มีโปรแกรมใดที่สามารถตรวจจับไฟล์เอกสารที่แอบฝังมัลแวร์มาได้เลย
Microsoft ทราบเรื่อง ระบุ “มันเป็นฟีเจอร์”
Beaumont ได้แจ้งเรื่องช่องโหว่บน OLE Packager ไปยัง Microsoft เมื่อเดือนมีนาคมที่ผ่านมาพร้อมหลักฐาน POC ต่างๆ แต่ทาง Microsoft ตอบกลับมาว่า ให้ช่วยปิดเรื่องดังกล่าวไว้เป็นความลับ เนื่องจาก Microsoft ไม่ได้มองช่องโหว่นี้เป็นปัญหา และเชื่อว่ามันเป็นฟีเจอร์ของ MS Office อย่างไรก็ตาม ท้ายที่สุด Beaumont ก็ตัดสินใจเปิดเผยปัญหานี้สู่สาธารณะ
ในอดีตทาง Microsoft เองเคยพยายามแก้ไขประเด็นดังกล่าวโดยการทำ Pop-up ข้อความแจ้งเตือนเมื่อผู้ใช้งานเปิดไฟล์ที่มีความเสี่ยง แต่ก็ไม่ได้มีการอัพเดทมานานมากแล้ว นอกจากนี้ ผู้ใช้งานสามารถคลิ๊กผ่านข้อความแจ้งเตือนนั้นเพื่อเปิดไฟล์ได้ทันที ซึ่งคนส่วนใหญ่คงทำแบบนั้นโดยไม่สนใจว่าไฟล์จะมีมัลแวร์แฝงอยู่แต่อย่างใด
