หน้าแรก Vendors Microsoft วิธีรับมือการใช้ช่องโหว่ DDE บนเอาต์ลุค แบบฉบับ Sophos

วิธีรับมือการใช้ช่องโหว่ DDE บนเอาต์ลุค แบบฉบับ Sophos

แบ่งปัน

ช่วงสองสัปดาห์ก่อนหน้านี้ ทางทีมวิจัยของ Sophos ได้เฝ้าจับตาช่องโหว่ในโปรโตคอล Dynamic Data Exchange (DDE) ของไมโครซอฟท์ ที่ใช้ในการรับส่ง และแบ่งปันข้อมูลระหว่างแอพพลิเคชั่น จนเป็นเหตุให้ผู้โจมตีสามารถส่งมัลแวร์แฝงมากับไฟล์แนบออฟฟิศอย่างเวิร์ดหรือเอ็กเซลได้โดยไม่ต้องใช้มาโครเหมือนแต่ก่อน

แต่ล่าสุด มีรายงานพบว่า แฮ็กเกอร์สามารถใช้การโจมตีแบบ DDE นี้ผ่านเอาต์ลุคได้ด้วย โดยส่งผ่านอีเมล์และไฟล์เชิญการนัดหมายปฏิทินที่อยู่ในรูป Outlook Rich Text Format (RTF) โดยไม่จำเป็นต้องส่งไฟล์แนบไปกับอีเมล์อีก เพียงแค่ใส่โค้ดอันตรายเข้าไปในตัวข้อความอีเมล์โดยตรงเท่านั้น

ทั้งนี้ทาง Sophos ได้แนะวิธีป้องกันอย่างง่ายๆ เพียงแค่ให้ตอบ No ทุกครั้งที่มีข้อความแจ้งเตือนทั้งการเปิดไฟล์แนบ, อีเมล์, หรือ Calendar โดยหน้าต่างแจ้งเตือนนี้จะมีข้อความทำนองว่า This document contains links that may refer to other files. Do you want to update this document with the data from the linked files?

แต่ถ้าคุณเผลอคลิก Yes ก็จะมีข้อความแจ้งเตือนอันที่สองว่า จะมีการรันคำสั่งบางอย่าง เช่น The remote data (k powershell -w hidden -NoP -NoExit -) is not accessible. Do you want to start the application C:\windows\system32\cmd.exe? ซึ่งถ้าคุณตั้งสติแล้วตอบ No ทัน ก็จะยังสามารถยับยั้งการโจมตีนี้ได้อยู่ ส่วนลูกค้าที่ใช้ผลิตภัณฑ์ความปลอดภัยของ Sophos นั้น ได้มีการอัพเดตให้ป้องกันอันตรายแบบ DDE เหล่านี้ไว้หมดแล้ว

ที่มา : https://nakedsecurity.sophos.com/2017/10/22/office-dde-attack-works-in-outlook-too-heres-what-to-do