ไมโครซอฟท์ยอมรับ พบช่องโหว่แบบ XSS มากกว่า 900 ตัว ในหลายผลิตภัณฑ์ ตั้งแต่ร้ายแรงต่ำจนถึง Zero-Click

ช่องโหว่ความปลอดภัยนั้นเรียกได้ว่ามีมากมายหลากประเภท ซึ่งก็มีอยู่ประเภทหนึ่งที่เป็นที่นิยมมาตั้งแต่อดีต นั่นคือ ช่องโหว่แบบ XSS (Cross-Site Scripting) ซึ่งเป็นช่องโหว่ที่เปิดช่องให้แฮกเกอร์สามารถฝังสคริปท์อันตรายลงไปบนหน้าเว็บไซต์ที่มีช่องโหว่ ทำให้แฮกเกอร์สามารถโจมตีเหยื่อที่เข้าเยี่ยมชม และโหลดหน้าเพจดังนั้น ซึ่งในคราวนี้ทางไมโครซอฟท์ได้ออกมายืนยันถึงการมีอยู่ของช่องโหว่ดังกล่าวมากกว่า 900 ตัว

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการที่ทาง Microsoft Security Response Center (MSRC) ซึ่งเป็นหน่วยงานย่อยที่ทำงานเกี่ยวกับด้านความปลอดภัยระบบของทางไมโครซอฟท์นั้นรายงานถึงการมีอยู่ของช่องโหว่แบบ XSS ซึ่งจัดได้ว่าเป็นช่องโหว่ที่เก่าแก่ ซึ่งทางทีมได้ทำการจัดการกับเคสการใช้งานช่องโหว่ XSS ไปมากกว่า 970 เคส นับตั้งแต่เดือนมกราคม ค.ศ. 2024 (พ.ศ. 2567) ซ้ำยังได้กล่าวอีกว่า ช่องโหว่ตัวนี้ถึงแม้จะมีมานาน แต่ก็ไม่ได้จำกัดการมีอยู่แค่ในระบบเก่าแก่ (Legacy System) เท่านั้น แต่ยังครอบคลุมไปถึงระบบยุคใหม่ ๆ อย่างเช่น ระบบคลาวด์ อีกด้วย และถึงแม้จะใช้งานระบบรักษาความปลอดภัยบนเว็บไซต์ยุคปัจจุบันที่มีความสามารถระดับสูง เช่น การจัดการแบบ Library ต่อ Library และ ระบบควบคุมนโยบายความปลอดภัยคอนเทนต์ (Content Security Policies หรือ CSP) ก็ยากที่จะต่อกรกับการใช้งานช่องโหว่ในรูปแบบนี้

ทางทีมวิจัยยังได้เผยสถิติการทำงานตั้งแต่เดือน กรกฎาคม ค.ศ. 2024 (พ.ศ. 2567) ถึง เดือนกรกฎาคม ปีนี้ อีกว่า ในหมู่ช่องโหว่ทั้งหมดที่ทางทีมด้านความปลอดภัยได้เข้าไปจัดการมานั้น ช่องโหว่ที่ถูกจัดระดับว่า มีความสำคัญ (Important) และ ร้ายแรง (Critical) นั้น ช่องโหว่แบบ XSS มีจำนวนมากถึง 15% ของช่องโหว่ทั้งหมด ในช่องโหว่ XSS ทั้งหมด 265 เคสที่ถูกพบในช่วงเดือนดังกล่าวนั้น 263 เคสถูกจัดลำดับเป็น Important และ อีก 2 เคสถูกจัดลำดับเป็น Critical โดยทางไมโครซอฟท์ได้ทำจ่ายเงินรางวัลให้กับนักวิจัยที่ค้นพบ และรายงานช่องโหว่ XSS ทั้งหมดนี้เป็นจำนวนรวมแล้วมากถึง 912,300 ดอลลาร์สหรัฐ (29,487,360.14 บาท) โดยเงินรางวัลสูงสุดในรางวัลเดียวที่ทางนักวิจัยอิสระได้รับไปนั้น เป็นจำนวนเงินที่มากถึง 20,000 ดอลลาร์สหรัฐ (646,559.95 บาท) เพื่อตอบแทนในการค้นพบช่องโหว่ XSS ที่มีความร้ายแรงสูง เนื่องมาจากแฮกเกอร์สามารถใช้งานช่องโหว่นี้จัดการกับเหยื่อในรูปแบบ Zero-Click (เทคนิคการใช้งานช่องโหว่เพื่อปล่อยมัลแวร์หรือแฮกเข้าระบบ โดยที่เหยื่อไม่ต้องทำการคลิ๊ก หรือมีปฎิสัมพันธ์ใด ๆ กับแฮกเกอร์)

ภาพจาก : https://cybersecuritynews.com/microsoft-confirms-900-xss-vulnerabilities/

นอกจากนั้น ทางทีมความปลอดภัยยังได้เปิดเผยอีกว่า แม้แต่ผลิตภัณฑ์ของทางไมโครซอฟท์เองนั้น ช่องโหว่แบบ XSS ก็ถูกตรวจพบในแทบทุกผลิตภัณฑ์ ไม่ว่าจะเป็น Microsoft Copilot, Microsoft 365, Dynamics 365, Microsoft Identity, Microsoft Azure, หรือแม้แต่วิดีโอเกมคอนโซลอย่าง Xbox เอง ต่างก็ได้รับรายงานถึงการตรวจพบช่องโหว่แบบ XSS จากทั้งทางเหล่านักวิจัยด้านความปลอดภัยไซเบอร์ทั้งสิ้น โดยครอบคลุมการรายงานทั้งจากทางนักวิจัยของทางไมโครซอฟท์เอง และ นักวิจัยจากภายนอก

ทางทีม MSRC ยังได้ทำการจำแนกแจกแจงความร้ายแรงของช่องโหว่ XSS ไว้เป็น 3 ระดับด้วยกัน เพื่อให้เข้าใจง่ายอีกด้วย โดยความร้ายแรง 3 ระดับนั้น แบ่งออกเป็นดังนี้

• Critical (ร้ายแรงสูง) - ช่องโหว่ XSS ที่สามารถถูกใช้งานแบบ Zero-Click ด้วย ซึ่งความร้ายแรงนั้นหลังถูกใช้งาน อาจทำให้เหยื่อสูญเสียข้อมูลสำคัญอย่างเช่น Session Token และ ไฟล์ Cookie ให้กับแฮกเกอร์ที่ใช้งานได้
• Important (ต้องให้ความสำคัญ) - เป็นช่องโหว่ XSS ที่อาจต้องหลอกล่อให้เหยื่อทำการบางอย่างเพื่อให้ช่องโหว่ทำงานได้ ซึ่งจะส่งผลให้เหยื่ออาจสูญเสียข้อมูลสำคัญคล้ายกับในข้อแรก
• Moderate / Low (ปานกลาง - ต่ำ) - เป็นช่องโหว่ XSS ที่อยู่บนหน้าเพจทั่วไปโดยไม่มีการเข้าถึงข้อมูลสำคัญ หรือ เป็นช่องโหว่ที่มีแต่ผู้ใช้งานสามารถใช้เพื่อโจมตีตัวเองได้เท่านั้น (Self-XSS) ทำให้ช่องโหว่ในหมวดนี้ถูกจัดเป็นช่องโหว่ที่มีความร้ายแรงปานกลาง - ต่ำ