🚨 แจ้งเตือนภัยไซเบอร์: พบการใช้ช่องโหว่ระดับวิกฤตบน Microsoft Office เพื่อจารกรรมข้อมูล (CVE-2026-21509)

เมื่อไม่นานมานี้ นักวิจัยด้านความปลอดภัยตรวจพบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อนสูง โดยมุ่งเป้าไปที่การจารกรรมข้อมูลผ่านช่องโหว่ที่เพิ่งถูกเปิดเผยในโปรแกรม Microsoft Office ซึ่งส่งผลกระทบต่อผู้ใช้งานในวงกว้าง ทางบริษัทฯ จึงขอแจ้งเตือนและสรุปข้อมูลสำคัญเพื่อให้ท่านเตรียมรับมือและป้องกันระบบขององค์กรอย่างทันท่วงที

ช่องโหว่ CVE-2026-21509 คืออะไร?

ช่องโหว่นี้คือ Security Feature Bypass ใน Microsoft Office ซึ่งช่วยให้ผู้ไม่หวังดีสามารถส่งไฟล์เอกสารที่สร้างขึ้นเป็นพิเศษเพื่อข้ามระบบป้องกันความปลอดภัย และรันคำสั่งอันตรายในเครื่องของเหยื่อได้ทันทีที่เปิดไฟล์

รูปแบบการโจมตีที่น่ากังวล (Attack Vector)

การโจมตีนี้มีความโดดเด่นและตรวจจับได้ยากจากการผสมผสานเทคนิคหลายรูปแบบ ดังนี้:
    1.    ไฟล์เอกสารล่อลวง (Phishing Documents): ผู้โจมตีจะส่งไฟล์ประเภท RTF หรือ Word ที่ดูเหมือนเอกสารราชการหรือธุรกิจทั่วไปผ่านทางอีเมล
    2.    การซ่อนรหัสอันตรายในรูปภาพ (Steganography): มีการนำเทคนิคขั้นสูงมาใช้โดยการฝังรหัสอันตรายไว้ในไฟล์ภาพ PNG ซึ่งทำให้ซอฟต์แวร์แอนตี้ไวรัสแบบเดิมตรวจจับได้ยาก
    3.    มัลแวร์จารกรรมข้อมูล (MiniDoor & Grunt): เมื่อเหยื่อเปิดไฟล์ ระบบจะถูกติดตั้งมัลแวร์ขโมยอีเมลจาก Outlook และเข้าควบคุมระบบจากระยะไกลเพื่อดึงข้อมูลสำคัญออกไป

🛡️ 3 ขั้นตอนตรวจสอบด่วนเพื่อความปลอดภัย (Rapid Check)

หากท่านกังวลว่าระบบอาจมีความเสี่ยง หรือต้องการตรวจสอบความปลอดภัยเบื้องต้น แนะนำให้ดำเนินการตาม 3 ขั้นตอนนี้ทันที:
    1.    ตรวจสอบสถานะการอัปเดตซอฟต์แวร์ (Update Check):
        o    ไปที่ File > Office Account > Update Options ในโปรแกรม Word หรือ Excel แล้วกด Update Now
        o    ตรวจสอบให้แน่ใจว่าระบบติดตั้งแพตช์ความปลอดภัยสำหรับ CVE-2026-21509 เรียบร้อยแล้ว (อ้างอิงตามประกาศของ Microsoft เดือนมกราคม 2026)
    2.    เฝ้าระวังพฤติกรรมผิดปกติของระบบ (Behavioral Monitoring):
        o    ตรวจสอบการเชื่อมต่อเครือข่ายที่ผิดปกติผ่านโปรโตคอล WebDAV ไปยังทรัพยากรภายนอกที่ไม่ได้ระบุชื่อ
        o    เฝ้าสังเกตโปรเซสพื้นฐาน เช่น explorer.exe ว่ามีการเรียกใช้งานไฟล์ DLL แปลกปลอมหรือมีการใช้งาน CPU สูงผิดปกติในช่วงเวลาที่มีการเปิดไฟล์เอกสารใหม่
    3.    คัดกรองไฟล์แนบและอีเมลต้องสงสัย (Email Screening):
        o    ตรวจสอบประวัติการรับอีเมลที่มีไฟล์แนบนามสกุล .rtf หรือไฟล์ภาพ .png ที่มาจากบุคคลภายนอกที่ไม่รู้จัก
        o    กำชับพนักงานให้ระมัดระวังเอกสารที่มีการขอให้เปิดใช้งานเนื้อหา (Enable Content) หรือการเข้าถึงลิงก์ภายนอกผ่าน WebDAV

✅ แนวทางป้องกันในระยะยาว
    •    ใช้ระบบตรวจจับพฤติกรรม (EDR/XDR): เพื่อดักจับการทำงานของมัลแวร์ที่หลบซ่อนในไฟล์ภาพ
    •    สร้างความตระหนักรู้ (Awareness): ให้ความรู้แก่พนักงานเรื่องเทคนิคการซ่อนมัลแวร์ในรูปแบบใหม่ๆ ที่ไม่ใช่แค่ไฟล์ .exe อีกต่อไป

Technical References:

• Vulnerability ID: CVE-2026-21509 (MITRE)

• Official Advisory: Microsoft Security Update Guide

• Threat Analysis: Zscaler ThreatLabz Research