Microsoft แอบออกแพตช์อุดช่องโหว่ไฟล์ LNK

Microsoft แอบออกแพตช์อุดช่องโหว่ไฟล์ LNK

ที่แฮกเกอร์ใช้ส่งมัลแวร์มาอย่างยาวนาน

ไฟล์ประเภทหนึ่งที่มักตกเป็นข่าวในด้านการนำเอามาใช้งานในการส่งมัลแวร์เข้าเครื่อง คงจะหนีไม่พ้นไฟล์ประเภท .LNK หรือไฟล์ Internet Shortcut ซึ่งทั้งหมดก็มาจากช่องโหว่ของตัว Windows เอง หลังจากที่ช่องโหว่ได้ถูกปล่อยเฉยมาอย่างยาวนาน ตอนนี้ก็ถึงคราวถูกแก้ไขแล้ว

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการที่ทางไมโครซอฟท์ ได้ทำการปล่อยอัปเดตในช่วงเดือนพฤศจิกายนเพื่อออกมาอุดช่องโหว่รหัส CVE-2025-9491 ที่มีคะแนนความร้ายแรง หรือ CVSS Score ที่สูงถึง 7.8 โดยช่องโหว่ดังกล่าวเป็นช่องโหว่การแปล User Interface (UI) ของไฟล์ LNK ที่ผิดพลาด (UI Misinterpretation) ส่งผลให้แฮกเกอร์สามารถใช้ประโยชน์จากไฟล์ดังกล่าวเพื่อยิงโคดจากระยะไกล (RCE หรือ Remote Code Execution) อันจะนำไปสู่การเข้าควบคุมระบบ หรือ ฝังมัลแวร์ลงเครื่องได้ ด้วยช่วงโหว่ดังกล่าว ทำให้แฮกเกอร์สามารถหลอกลวงเหยื่อด้วยวิธีการ Phishing หลอกให้เปิดไฟล์ดังกล่าว ซึ่งไฟล์ดังกล่าวนั้นแฮกเกอร์จะสามารถแอบซ่อนโค้ดในรูปแบบ “ช่องว่างสีขาว” (Whitespace Characters) ที่เหยื่อมองไม่เห็น แต่จะรันเมื่อเปิดไฟล์ดังกล่าวขึ้นมาได้

โดยช่องโหว่ดังกล่าวนั้นได้ถูกตรวจพบเป็นครั้งแรกในช่วงเดือนมีนาคมที่ผ่านมา โดยทีมวิจัยจาก Trend Micro บริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ ภายใต้โครงการค้นหาช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนาซอฟต์แวร์ หรือ Zero Day ที่มีชื่อโครงการว่า Zero Day Initiative (ZDI) ซึ่งในการตรวจพบนั้น พบว่า ตัวช่องโหว่ถูกใช้งานโดยกลุ่มแฮกเกอร์ที่ได้รับการสน้บสนุนจากทางรัฐมากถึง 11 กลุ่ม จากประเทศรัสเซีย, จีน, เกาหลีเหนือ และ อิหร่าน โดยได้นำเอาไปใช้ในการโจรกรรมข้อมูล, สอดแนม และการปล้นเงิน ซึ่งช่องโหว่ดังกล่าวมีการใช้งานมายาวนานตั้งแต่ปี ค.ศ. 2017 (พ.ศ. 2560) โดยการตรวจพบดังกล่าวนั้นได้ถูกบันทึกภายใต้รหัส ZDI-CAN-25373

หลังจากที่ทางไมโครซอฟท์ได้รับข้อมูลจากโครงการดังกล่าว กลับทำการตอบรับอย่างประหลาดว่า ช่องโหว่ดังกล่าวนั้นไม่ได้ตรงตามมาตรฐานขั้นต่ำสำหรับการเข้าแก้ไขอย่างเร่งด่วน ทั้งยังกล่าวว่า ไฟล์ LNK ได้ถูกบล็อกไม่ได้เปิดได้จากซอฟต์แวร์ของทางบริษัทอย่าง Outlook, Word, Excel, PowerPoint และ OneNote ไปเป็นที่เรียบร้อยแล้ว ทั้งยังมีการแจ้งเตือนทุกครั้งที่มีการเปิดไฟล์ประเภทดังกล่าวขึ้นมา

แต่ว่า หลังจากนั้นกลับมารายงานจากหลายแหล่งถึงการที่แฮกเกอร์ได้ใช้ประโยชน์จากช่องโหว่ดังกล่าว ไม่ว่าจะเป็นการที่กลุ่มแฮกเกอร์อย่าง XDSpy ใช้ในการปล่อยมัลแวร์ที่สร้างขึ้นบนพื้นฐานของภาษา Go อย่าง XDigo เพื่อมุ่งโจมตีเหยื่อในแถบยุโรปตะวันออก และล่าสุดในช่วงเดือนตุลาคมที่ผ่านมา ที่แฮกเกอร์จากจีนใช้ช่องโหว่ดังกล่าวเพื่อปล่อยมัลแวร์ PlugX เพื่อโจมตีองค์กรรัฐในทวีปยุโรป

ทว่าทางไมโครซอฟท์ก็ยังออกมายืนยันว่าช่องโหว่ดังกล่าวไม่นับว่าเป็นช่องโหว่ เนื่องมาจากทุกอย่างขึ้นอยู่กับการตัดสินใจของผู้ใช้งานเพราะว่าทุกซอฟต์แวร์ที่สามารถเปิดไฟล์นั้นได้นั้นมีแจ้งเตือนผู้ใช้งานแล้วว่า ไฟล์มาจากแหล่งที่ไม่น่าเชื่อถือ ดังนั้นทางไมโครซอฟต์จึงไม่ได้ทำการออกแพตช์มา ต่อมาในช่วงเดือนพฤศจิกายน ทางไมโครซอฟต์กลับทำการออกแพตช์เพื่ออุดช่องโหว่นั้นอย่างเงียบเชียบ ไม่มีการแจ้งเตือนล่วงหน้าแต่อย่างใด แม้กระทั่งแหล่งข่าวได้ทำการติดต่อเพื่อขอยืนยันว่าทางไมโครซอฟต์ได้ทำการอัปเดตเพื่ออุดช่องโหว่ดังกล่าวจริงหรือไม่ ทางตัวแทนของทางไมโครซอฟต์ก็ไม่ได้ทำการยืนยันการออกแพตช์แต่อย่างใด