Microsoft ได้ออกอัปเดตความปลอดภัยฉุกเฉินแบบ Out-of-band เพื่อแก้ไขช่องโหว่ Zero-Day บน Microsoft Office ที่กำลังถูกนำไปใช้โจมตีจริงในขณะนี้ โดยช่องโหว่ดังกล่าวมีรหัส CVE-2026-21509 และถูกจัดอยู่ในระดับความรุนแรงสูง 7.8/10 คะแนน

ช่องโหว่นี้เป็นประเภท Security Feature Bypass เกิดจากการที่ Office เชื่อถือข้อมูลบางส่วนที่ไม่ควรเชื่อถือ ทำให้ผู้โจมตีสามารถหลบเลี่ยงกลไกป้องกัน OLE ที่ถูกออกแบบมาเพื่อป้องกันอันตรายจาก COM/OLE Controls ที่มีช่องโหว่ได้

ช่องโหว่นี้จะถูกโจมตีได้ก็ต่อเมื่อผู้ใช้เผลอเปิดไฟล์ Office ที่แฮกเกอร์ส่งมา เช่น ไฟล์ Word หรือ Excel ที่ถูกฝังโค้ดอันตรายไว้ ดังนั้นผู้โจมตีต้องใช้วิธีหลอกล่อให้เหยื่อเปิดไฟล์นั้นก่อน จึงจะสามารถโจมตีหรือฝังมัลแวร์ลงเครื่องได้

ช่องโหว่นี้ส่งผลกระทบต่อ Microsoft Office หลายเวอร์ชัน ได้แก่ Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 และ Microsoft 365 Apps for Enterprise

Microsoft ย้ำว่า ผู้ใช้จะไม่ถูกโจมตีเพียงแค่คลิกดูตัวอย่างไฟล์ในหน้าต่าง Explorer เพราะ Preview Pane ไม่ใช่ช่องทางที่ช่องโหว่นี้จะถูกใช้โจมตีได้

สำหรับผู้ใช้ Office 2021 ขึ้นไป รวมถึง Microsoft 365 ตอนนี้มีแพตช์ออกมาอุดช่องโหว่แล้ว โดยระบบอัปเดตให้อัตโนมัติ แต่ Office 2016 และ Office 2019 ยังไม่มีแพตช์ออกมาในทันที โดย Microsoft ระบุว่าจะปล่อยอัปเดตตามมาให้เร็วที่สุด

ในระหว่างนี้ผู้ดูแลระบบสามารถลดความเสี่ยงได้ด้วยการปรับค่า Windows Registry เพื่อปิดการทำงานของ COM Object ที่เกี่ยวข้องกับช่องโหว่ แม้ว่าวิธีดังกล่าวอาจกระทบต่อการทำงานของโปรแกรมบางส่วน และควรใช้เป็นเพียงมาตรการชั่วคราวเท่านั้น

Microsoft แนะนำให้ผู้ใช้งานหลีกเลี่ยงการเปิดไฟล์ Office จากแหล่งที่ไม่น่าเชื่อถือ และควรติดตั้งอัปเดตความปลอดภัยทันทีเมื่อพร้อมใช้งาน เพื่อป้องกันความเสี่ยงจากการโจมตีที่อาจเกิดขึ้น

ที่มา : bleepingcomputer