Microsoft ได้ออกแพตช์ความปลอดภัยฉุกเฉินสำหรับช่องโหว่ Zero-Day ใน Microsoft Office (CVE-2026-21509) ที่มีความรุนแรงสูงและถูกใช้ในการโจมตีอยู่ในขณะนี้ ช่องโหว่นี้มีคะแนน CVSS ที่ 7.8/10.0 และถูกอธิบายว่าเป็นช่องโหว่การข้ามผ่านคุณสมบัติความปลอดภัยใน Microsoft Office ซึ่งเกี่ยวข้องกับการใช้งาน OLE ที่ไม่น่าเชื่อถือ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งไฟล์ Office ที่สร้างขึ้นมาเป็นพิเศษและหลอกให้ผู้รับเปิดไฟล์นั้น CISA ได้เพิ่มช่องโหว่นี้ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) และกำหนดให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องดำเนินการแก้ไขภายในวันที่ 16 กุมภาพันธ์ 2026
Severity: สูง (CVSS: 7.8/10.0)
System Impact:
- Microsoft Office
- Microsoft 365
- Microsoft Office 2021 และรุ่นใหม่กว่า
- Microsoft Office 2019
- Microsoft Office 2016
- Windows Registry
Technical Attack Steps:
- ผู้โจมตีส่งไฟล์ Microsoft Office ที่สร้างขึ้นมาเป็นพิเศษไปยังเป้าหมาย
- หลอกล่อให้ผู้รับเปิดไฟล์ Office ที่เป็นอันตราย (โดย Preview Pane ไม่ใช่วิธีการโจมตี)
- ช่องโหว่จะอาศัยการป้อนข้อมูลที่ไม่น่าเชื่อถือในการตัดสินใจด้านความปลอดภัยภายใน Microsoft Office เพื่อข้ามผ่านคุณสมบัติความปลอดภัยที่เกี่ยวข้องกับ OLE
- เมื่อคุณสมบัติความปลอดภัยของ OLE ถูกข้าม ผู้โจมตีสามารถดำเนินการโจมตีเพิ่มเติมได้
Recommendations:
Short Term:
- ติดตั้งแพตช์ความปลอดภัย Out-of-Band ที่ Microsoft ได้ออกให้โดยทันที
- สำหรับ Microsoft Office 2021 และรุ่นใหม่กว่า: แอปพลิเคชัน Office จะได้รับการป้องกันโดยอัตโนมัติผ่านการเปลี่ยนแปลงฝั่งบริการ (Service-side change) ผู้ใช้จำเป็นต้องรีสตาร์ทแอปพลิเคชัน Office เพื่อให้การเปลี่ยนแปลงมีผล
- สำหรับ Microsoft Office 2016 (32-bit/64-bit): ติดตั้งอัปเดตเวอร์ชัน 16.0.5539.1001
- สำหรับ Microsoft Office 2019 (32-bit/64-bit): ติดตั้งอัปเดตเวอร์ชัน 16.0.10417.20095
- ทำการแก้ไข Windows Registry โดยการเพิ่ม Subkey ‘{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}’ ภายใต้ COM Compatibility และเพิ่มค่า ‘REG_DWORD’ ที่ชื่อ ‘Compatibility Flags’ ด้วยค่า ‘400’
Long Term:
Source: https://thehackernews.com/2026/01/microsoft-issues-emergency-patch-for.html
Share this content: