ค้นพบช่องโหว่ 0-Click Outlook Triggered RCE เมื่อเปิดอีเมล

สรุปข้อมูล 

พบช่องโหว่ร้ายแรงใน Microsoft Outlook ซึ่งถูกระบุว่าเป็น CVE-2024-30103 ช่องโหว่นี้สามารถรันโค้ดที่เป็นอันตรายได้ทันทีเมื่อเปิดอีเมล โดยการใช้ความสามารถรันโค้ดจากระยะไกล (Remote Code Execution) ด้วยวิธีการ injection Code ในแบบฟอร์ม Outlook สาเหตุเกิดจากข้อบกพร่องในกลไกการอนุญาตรายการที่ไม่สามารถตรวจสอบคุณสมบัติของเซิร์ฟเวอร์ฟอร์มได้อย่างเพียงพอ ทำให้สามารถสร้างฟอร์มแบบกำหนดเองได้โดยไม่ได้รับอนุญาต

รายละเอียดเชิงเทคนิค 

ผู้โจมตีสร้างอีเมล โดยภายในเนื้อหามีการแฝงโค้ดอันตรายที่สร้างขึ้นเป็นพิเศษ จากนั้นอีเมลที่เป็นอันตรายจะถูกส่งไปยัง Microsoft Outlook ของเป้าหมาย โค้ดที่เป็นอันตรายที่ฝังอยู่ในเนื้อหาอีเมลจะถูกเรียกใช้งานโดยอัตโนมัติ

1. ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องในอัลกอริทึมการอนุญาตรายการ ซึ่งไม่สามารถจัดการกับตัวอักษรเฉพาะในเส้นทางของ registry ได้ ด้วยการเรียกใช้โปรแกรมเซิร์ฟเวอร์ฟอร์มที่เป็นอันตรายโดยใช้ตัวอักษรพิเศษ เช่น เครื่องหมาย backslash
2. โดยฟังก์ชัน API ของ Windows ที่ชื่อว่า RegCreateKeyExA ฟังก์ชันนี้จะลบเครื่องหมาย backslash ที่ท้ายของชื่อคีย์ออกทำให้สามารถสร้างคีย์ซ้อนกันได้ ยกตัวอย่าง InprocServer32 จะถูกมองว่าเป็น InprocServer32 ความแตกต่างนี้สามารถถูกนำมาใช้ในการหลีกเลี่ยงอัลกอริทึมการจับคู่แบบตรงกัน เนื่องจากอัลกอริทึมมองว่าสองสิ่งนี้แตกต่างกัน แต่รีจิสทรีกลับมองว่าเหมือนกัน พฤติกรรมนี้สามารถถูกใช้ในการโหลดโปรแกรมเซิร์ฟเวอร์ฟอร์มที่เป็นอันตรายได้ โดยการวางโปรแกรมดังกล่าวในโฟลเดอร์ Forms ที่อยู่ใน AppData เมื่อมีการส่งข้อความที่มีคลาสข้อความเฉพาะไปยังเหยื่อ มันจะเรียกใช้เซิร์ฟเวอร์ฟอร์มโดยอัตโนมัติ
3. ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายภายในบริบทของแอปพลิเคชัน Outlook ได้ โค้ดที่เป็นอันตราย เช่น ไฟล์ DLL อาจถูกโหลดและรัน ซึ่งอาจนำไปสู่การเข้าถึงข้อมูลที่สำคัญ การเข้าถึงที่ไม่ได้รับอนุญาตและการกระทำที่เป็นอันตรายอื่น ๆ

ผลกระทบจากการโจมตี 

การโจมตีเริ่มจากการส่ง Phishing email ไปยังเหยื่อ เมื่อเหยื่อทำการเปิดเมล ฟังก์ชัน API ของ Windows ที่ชื่อว่า RegCreateKeyExA ฟังก์ชันนี้จะลบเครื่องหมาย backslash ที่ท้ายของชื่อคีย์ออก ทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายหรือดำเนินการรัน DLL โปรแกรมที่เป็นอันตรายภายใน Outlook ส่งผลให้ผู้โจมตีเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาตและกิจกรรมที่เป็นอันตรายอื่น ๆ

คำแนะนำ

• อัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด
  
• ใช้ระบบการกรองอีเมลและซอฟต์แวร์รักษาความปลอดภัยที่สามารถตรวจจับและบล็อกเนื้อหาที่เป็นอันตราย
• ให้ความรู้และการฝึกอบรมเกี่ยวกับความปลอดภัยในโลกไซเบอร์แก่พนักงาน โดยเน้นการรับรู้ถึงการโจมตีที่อาจเกิดขึ้นและวิธีการป้องกัน

แหล่งอ้างอิง 
hxxps[:]//cybersecuritynews[.]com/0-click-outlook-vulnerability/ (Aug 13, 2024)