เปิดมุมใหม่: ช่องโหว่ซ่อนเร้นใน ONLYOFFICE ที่อาจทำให้ข้อมูลไม่ปลอดภัย
ONLYOFFICE เป็นชุดโปรแกรมสำนักงานที่ได้รับความนิยมสูง มีฟังก์ชันการทำงานที่หลากหลาย
รองรับการทำงานร่วมกันแบบออนไลน์ ทำให้เป็นทางเลือกที่ดีสำหรับหลายองค์กรและบุคคลทั่วไป
แต่คุณเคยสงสัยไหมว่า แม้แต่ซอฟต์แวร์ที่เราเชื่อมั่น
ก็อาจมีจุดอ่อนที่มองไม่เห็นซ่อนอยู่ ซึ่งเราเรียกว่า “พื้นผิวโจมตี”
วันนี้จะมาพูดถึง “พื้นผิวโจมตี” รูปแบบใหม่ที่หลายคนอาจไม่เคยนึกถึง
ซึ่งเกี่ยวข้องกับวิธีการที่ ONLYOFFICE จัดการกับเอกสารที่มี มาโคร
ความเข้าใจผิดเรื่องมาโครและเอกสารสำนักงาน
เอกสารสำนักงานประเภท Word หรือ Excel ที่มี มาโคร ฝังอยู่
มักถูกมองว่าเป็นช่องทางสำคัญในการโจมตีทางไซเบอร์มาโดยตลอด
มาโคร คือชุดคำสั่งที่ช่วยให้งานบางอย่างทำงานโดยอัตโนมัติได้
แต่ในขณะเดียวกัน มันก็สามารถถูกใช้เพื่อรันโค้ดอันตรายเพื่อวัตถุประสงค์ที่ไม่พึงประสงค์ได้เช่นกัน
โดยทั่วไปแล้ว โปรแกรมประมวลผลเอกสารส่วนใหญ่
จะมีการออกแบบมาตรการป้องกันที่เข้มงวดเป็นพิเศษในการจัดการกับเอกสารเหล่านี้
บางโปรแกรมอาจจะบล็อกการทำงานของ มาโคร ทันที หรือเตือนให้ผู้ใช้เปิดใช้งานด้วยความระมัดระวังอย่างยิ่ง
เพื่อลดความเสี่ยงจากการโจมตีที่อาจเกิดขึ้นจากโค้ดที่ฝังมา
เบื้องหลังการทำงานที่ไม่คาดคิดใน ONLYOFFICE
สิ่งที่น่าสนใจและเป็นจุดเริ่มต้นของช่องโหว่นี้คือ กระบวนการแปลงเอกสารใน ONLYOFFICE
เมื่อเอกสารที่เปิดเป็นไฟล์ที่มี มาโคร (เช่น .docm, .xlsm)
จะถูกแปลงไปเป็นรูปแบบ OOXML ภายในของ ONLYOFFICE โดยอัตโนมัติ
ปกติแล้ว เราคาดหวังว่าการแปลงรูปแบบเอกสารนี้
ควรจะทำการลบโค้ด มาโคร ที่อาจเป็นอันตรายออกไปให้หมด เพื่อความปลอดภัยของผู้ใช้งาน
แต่กลับพบว่าโค้ด JavaScript ที่ถูกซ่อนอยู่ใน มาโคร
ไม่ได้ถูกลบออกไปทั้งหมดในกระบวนการแปลงนี้
กลายเป็น “มรดกตกทอด” ที่ยังคงฝังอยู่ในเอกสารที่ถูกแปลงแล้ว
นี่คือจุดเล็กๆ ที่นำไปสู่ปัญหาใหญ่ด้านความปลอดภัย
ผลลัพธ์อันตราย: เมื่อ JavaScript กลายเป็นภัยคุกคาม
เมื่อโค้ด JavaScript ไม่ถูกกำจัดออกไปอย่างสมบูรณ์ ผู้โจมตีจึงสามารถใช้ช่องทางนี้
เพื่อฝังโค้ด JavaScript ที่เป็นอันตรายลงในเอกสาร มาโคร ได้อย่างแนบเนียน
เมื่อมีผู้ใช้เปิดเอกสารที่ถูกโจมตีนี้ใน ONLYOFFICE
โค้ด JavaScript ที่ซ่อนอยู่นั้นสามารถถูก รันอัตโนมัติ ได้ทันทีโดยที่ผู้ใช้ไม่รู้ตัว
ผลกระทบที่ตามมานั้นร้ายแรงมากและหลากหลาย
ตั้งแต่การเข้าถึงข้อมูลส่วนตัวที่ละเอียดอ่อน
การติดตั้งมัลแวร์หรือสปายแวร์โดยไม่ได้รับอนุญาต
ไปจนถึงการควบคุมระบบคอมพิวเตอร์ทั้งหมดของผู้ใช้งานผ่านช่องโหว่ Remote Code Execution (RCE)
ซึ่งหมายความว่า ผู้โจมตีมีอำนาจในการสั่งการจากระยะไกล
ราวกับได้นั่งอยู่หน้าเครื่องคอมพิวเตอร์ของคุณเองเลยทีเดียว
การป้องกันและข้อควรระวัง
การป้องกันที่ดีที่สุดคือการตระหนักรู้ถึงภัยคุกคามและระมัดระวังอยู่เสมอ
- ตรวจสอบแหล่งที่มา: สิ่งสำคัญอันดับแรกคือ ไม่ควรเปิดเอกสารจากแหล่งที่ไม่น่าเชื่อถือ อีเมลแปลกปลอม หรือไฟล์ที่ได้รับจากบุคคลที่ไม่รู้จักเด็ดขาด เพราะอาจเป็นกับดักที่ผู้ไม่หวังดีส่งมา
- อัปเดตซอฟต์แวร์: ตรวจสอบให้แน่ใจว่า ONLYOFFICE และระบบปฏิบัติการของคุณมีการอัปเดตเป็นเวอร์ชันล่าสุดเสมอ เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ถูกค้นพบและแพตช์ไปแล้ว
- การกำหนดค่าความปลอดภัย: กำหนดค่าความปลอดภัยของโปรแกรมให้รัดกุมที่สุดเท่าที่จะทำได้ หากเป็นไปได้ ควรพิจารณาปิดการรันสคริปต์หรือ มาโคร โดยอัตโนมัติในทุกกรณี
สำหรับองค์กร ควรพิจารณาการใช้ ระบบป้องกันปลายทาง (EDR) หรือโซลูชันด้านความปลอดภัยอื่นๆ
ที่สามารถตรวจจับพฤติกรรมที่ผิดปกติของเอกสารและไฟล์ต่างๆ ได้อย่างมีประสิทธิภาพ
พื้นผิวโจมตีที่ซ่อนเร้นนี้ตอกย้ำความสำคัญของการมองหาช่องโหว่ในทุกซอกทุกมุมของระบบซอฟต์แวร์
การเข้าใจว่าภัยคุกคามสามารถมาในรูปแบบที่ไม่คาดคิด
และอาจใช้ประโยชน์จากคุณสมบัติที่เราคิดว่าปลอดภัยแล้วนั้น เป็นสิ่งสำคัญอย่างยิ่งสำหรับทุกคนที่ใช้งานเทคโนโลยีดิจิทัล
การระมัดระวังและปรับปรุงความรู้ด้านความปลอดภัยอยู่เสมอ
เป็นกุญแจสำคัญในการปกป้องข้อมูลและระบบของเราให้ปลอดภัยจากภัยคุกคามที่พัฒนาไปอย่างต่อเนื่อง