Microsoft ได้แก้ไขช่องโหว่ ‘remote code execution’ (RCE) ใน Windows 11 Notepad ที่ทำให้ผู้โจมตีสามารถเรียกใช้โปรแกรมภายในเครื่องหรือระยะไกลได้ โดยการหลอกให้ผู้ใช้คลิกลิงก์ Markdown ที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งจะทำงานโดยไม่มีการแสดงคำเตือนด้านความปลอดภัยของ Windows ใด ๆ
Severity: สูง
System Impact:
- Windows 11 Notepad (เวอร์ชัน 11.2510 และก่อนหน้า)
Technical Attack Steps:
- ผู้โจมตีสร้างไฟล์ Markdown ที่มีโครงสร้างพิเศษ (เช่น test.md)
- ไฟล์ Markdown ดังกล่าวจะฝังลิงก์ประเภท file:// ที่ชี้ไปยังไฟล์ปฏิบัติการ หรือ URI พิเศษ เช่น ms-appinstaller://
- ผู้โจมตีหลอกล่อให้ผู้ใช้เปิดไฟล์ Markdown นี้ใน Windows 11 Notepad
- เมื่อผู้ใช้ Ctrl+คลิกลิงก์ที่เป็นอันตราย Notepad จะดำเนินการเรียกใช้โปรแกรมที่ลิงก์ไว้โดยไม่มีการแจ้งเตือนด้านความปลอดภัยของ Windows
- ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเรียกใช้ไฟล์จาก SMB share ระยะไกลได้โดยไม่มีการเตือน
Recommendations:
Short Term:
- ติดตั้งการอัปเดต Patch Tuesday เดือนกุมภาพันธ์ 2026 ของ Microsoft ซึ่งรวมถึงการแก้ไขช่องโหว่ CVE-2026-20841
- ตรวจสอบให้แน่ใจว่าแอป Notepad บน Windows 11 ได้รับการอัปเดตอัตโนมัติผ่าน Microsoft Store แล้ว เนื่องจาก Microsoft ได้เพิ่มคำเตือนเมื่อคลิกลิงก์ที่ไม่ใช่ http:// หรือ https://
Long Term:
- เพิ่มความระมัดระวังเป็นพิเศษในการคลิกลิงก์ในไฟล์ที่มาจากแหล่งที่ไม่น่าเชื่อถือ แม้จะเป็นแอปพลิเคชันแก้ไขข้อความง่าย ๆ
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับกลยุทธ์ Social Engineering เนื่องจากแม้จะมีคำเตือน ผู้ใช้ก็ยังสามารถถูกหลอกให้คลิก ‘Yes’ เพื่อดำเนินการต่อได้
- อัปเดตซอฟต์แวร์ทั้งหมดเป็นประจำ ไม่เฉพาะแต่ระบบปฏิบัติการ เพื่อลดความเสี่ยงจากช่องโหว่ต่าง ๆ
Share this content: