Microsoft ได้ออกอัปเดตความปลอดภัยฉุกเฉินนอกรอบเมื่อวันที่ 26 มกราคม 2026 เพื่อแก้ไขช่องโหว่ CVE-2026-21509 ซึ่งเป็นช่องโหว่ Zero-day ด้านการข้ามคุณสมบัติความปลอดภัย (security feature bypass) ใน Microsoft Office ที่ผู้โจมตีกำลังใช้ประโยชน์อย่างแข็งขัน ช่องโหว่นี้ถูกจัดระดับความรุนแรง ‘Important’ ด้วยคะแนน CVSS v3.1 base score ที่ 7.8 และช่วยให้ผู้โจมตีในพื้นที่สามารถหลีกเลี่ยงการป้องกันของ Office ได้หลังจากหลอกให้ผู้ใช้เปิดไฟล์ที่เป็นอันตรายผ่านการฟิชชิ่งหรือวิศวกรรมสังคม (social engineering) การโจมตีนี้มีความซับซ้อนต่ำ ไม่ต้องการสิทธิ์พิเศษ และต้องอาศัยการโต้ตอบจากผู้ใช้ แต่ส่งผลกระทบสูงต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน (C:H/I:H/A:H) ซึ่ง MSTIC ยืนยันว่าตรวจพบการโจมตีแล้ว นับเป็นช่องโหว่ Zero-day ที่สองที่ถูกแก้ไขในเดือนนี้หลังจาก Patch Tuesday
Severity: สูง
System Impact:
- Microsoft Office 2016 (64-bit และ 32-bit)
- Microsoft Office LTSC 2024 (64/32-bit)
- Microsoft Office LTSC 2021 (64/32-bit)
- M365 Apps Enterprise (64/32-bit)
- Microsoft Office 2019 (64/32-bit)
Technical Attack Steps:
- ช่องโหว่ใช้ประโยชน์จากการป้อนข้อมูลที่ไม่น่าเชื่อถือในการตัดสินใจด้านความปลอดภัย เพื่อหลีกเลี่ยงการลดความเสี่ยงของ OLE ที่ปกป้องการควบคุม COM/OLE ที่มีช่องโหว่
- ผู้โจมตีในพื้นที่หลอกล่อให้ผู้ใช้เปิดไฟล์ที่เป็นอันตรายผ่านการโจมตีแบบฟิชชิ่งหรือวิศวกรรมสังคม
- เมื่อเปิดไฟล์ที่เป็นอันตราย ผู้โจมตีสามารถข้ามการป้องกันของ Office ได้
- การโจมตีนี้ส่งผลกระทบสูงต่อการรักษาความลับของข้อมูล (Confidentiality), ความสมบูรณ์ของข้อมูล (Integrity) และความพร้อมใช้งานของระบบ (Availability)
Recommendations:
Short Term:
- ติดตั้งอัปเดตความปลอดภัยฉุกเฉินนอกรอบ (out-of-band security updates) ที่ออกเมื่อวันที่ 26 มกราคม 2026 สำหรับ CVE-2026-21509 โดยทันที
- สำหรับ Office 2016 และ 2019 ที่ไม่มีอัปเดตอัตโนมัติ ให้ทำการอัปเดตด้วยตนเองหรือใช้การปรับแต่ง Registry โดยเพิ่ม DWORD ‘Compatibility Flags’ (ค่า 400) ภายใต้ `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}` (ปรับเส้นทางตามสถาปัตยกรรม/Click-to-Run) และสำรอง Registry ก่อนทำการเปลี่ยนแปลง และรีสตาร์ทแอปพลิเคชันหลังการเปลี่ยนแปลง
- สำหรับผู้ใช้ Office 2021 ขึ้นไป ให้ตรวจสอบให้แน่ใจว่าระบบป้องกันฝั่งบริการ (service-side protection) ได้รับการเปิดใช้งานโดยอัตโนมัติหลังจากการรีสตาร์ท
- เฝ้าระวังตัวบ่งชี้การบุกรุก (IOCs) ของการฟิชชิ่ง เช่น ไฟล์แนบ Office ที่น่าสงสัย
Long Term:
- ให้ความสำคัญกับการแพตช์ระบบอย่างสม่ำเสมอและทันท่วงที
- เปิดใช้งานการอัปเดตอัตโนมัติสำหรับซอฟต์แวร์ทั้งหมด
- ใช้งาน EDR (Endpoint Detection and Response) เพื่อตรวจจับความผิดปกติที่เกี่ยวข้องกับ COM/OLE
- ติดตาม CISA KEV (Known Exploited Vulnerabilities) เพื่อรับทราบช่องโหว่ที่ถูกใช้ในการโจมตีใหม่ๆ
Source: https://cybersecuritynews.com/microsoft-office-zero-day-vulnerability-2/
Share this content: