Microsoft แอบออกแพตช์อุดช่องโหว่ไฟล์ LNK

Microsoft แอบออกแพตช์อุดช่องโหว่ไฟล์ LNK ที่แฮกเกอร์ใช้ส่งมัลแวร์มาอย่างยาวนาน

ไฟล์ประเภทหนึ่งที่มักตกเป็นข่าวในด้านการนำเอามาใช้งานในการส่งมัลแวร์เข้าเครื่อง คงจะหนีไม่พ้นไฟล์ประเภท .LNK หรือไฟล์ Internet Shortcut ซึ่งทั้งหมดก็มาจากช่องโหว่ของตัว Windows เอง หลังจากที่ช่องโหว่ได้ถูกปล่อยเฉยมาอย่างยาวนาน ตอนนี้ก็ถึงคราวถูกแก้ไขแล้ว

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการที่ทางไมโครซอฟท์ ได้ทำการปล่อยอัปเดตในช่วงเดือนพฤศจิกายนเพื่อออกมาอุดช่องโหว่รหัส CVE-2025-9491 ที่มีคะแนนความร้ายแรง หรือ CVSS Score ที่สูงถึง 7.8 โดยช่องโหว่ดังกล่าวเป็นช่องโหว่การแปล User Interface (UI) ของไฟล์ LNK ที่ผิดพลาด (UI Misinterpretation) ส่งผลให้แฮกเกอร์สามารถใช้ประโยชน์จากไฟล์ดังกล่าวเพื่อยิงโคดจากระยะไกล (RCE หรือ Remote Code Execution) อันจะนำไปสู่การเข้าควบคุมระบบ หรือ ฝังมัลแวร์ลงเครื่องได้ ด้วยช่วงโหว่ดังกล่าว ทำให้แฮกเกอร์สามารถหลอกลวงเหยื่อด้วยวิธีการ Phishing หลอกให้เปิดไฟล์ดังกล่าว ซึ่งไฟล์ดังกล่าวนั้นแฮกเกอร์จะสามารถแอบซ่อนโค้ดในรูปแบบ “ช่องว่างสีขาว” (Whitespace Characters) ที่เหยื่อมองไม่เห็น แต่จะรันเมื่อเปิดไฟล์ดังกล่าวขึ้นมาได้

โดยช่องโหว่ดังกล่าวนั้นได้ถูกตรวจพบเป็นครั้งแรกในช่วงเดือนมีนาคมที่ผ่านมา โดยทีมวิจัยจาก Trend Micro บริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ ภายใต้โครงการค้นหาช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนาซอฟต์แวร์ หรือ Zero Day ที่มีชื่อโครงการว่า Zero Day Initiative (ZDI) ซึ่งในการตรวจพบนั้น พบว่า ตัวช่องโหว่ถูกใช้งานโดยกลุ่มแฮกเกอร์ที่ได้รับการสน้บสนุนจากทางรัฐมากถึง 11 กลุ่ม จากประเทศรัสเซีย, จีน, เกาหลีเหนือ และ อิหร่าน โดยได้นำเอาไปใช้ในการโจรกรรมข้อมูล, สอดแนม และการปล้นเงิน ซึ่งช่องโหว่ดังกล่าวมีการใช้งานมายาวนานตั้งแต่ปี ค.ศ. 2017 (พ.ศ. 2560) โดยการตรวจพบดังกล่าวนั้นได้ถูกบันทึกภายใต้รหัส ZDI-CAN-25373

หลังจากที่ทางไมโครซอฟท์ได้รับข้อมูลจากโครงการดังกล่าว กลับทำการตอบรับอย่างประหลาดว่า ช่องโหว่ดังกล่าวนั้นไม่ได้ตรงตามมาตรฐานขั้นต่ำสำหรับการเข้าแก้ไขอย่างเร่งด่วน ทั้งยังกล่าวว่า ไฟล์ LNK ได้ถูกบล็อกไม่ได้เปิดได้จากซอฟต์แวร์ของทางบริษัทอย่าง Outlook, Word, Excel, PowerPoint และ OneNote ไปเป็นที่เรียบร้อยแล้ว ทั้งยังมีการแจ้งเตือนทุกครั้งที่มีการเปิดไฟล์ประเภทดังกล่าวขึ้นมา

แต่ว่า หลังจากนั้นกลับมารายงานจากหลายแหล่งถึงการที่แฮกเกอร์ได้ใช้ประโยชน์จากช่องโหว่ดังกล่าว ไม่ว่าจะเป็นการที่กลุ่มแฮกเกอร์อย่าง XDSpy ใช้ในการปล่อยมัลแวร์ที่สร้างขึ้นบนพื้นฐานของภาษา Go อย่าง XDigo เพื่อมุ่งโจมตีเหยื่อในแถบยุโรปตะวันออก และล่าสุดในช่วงเดือนตุลาคมที่ผ่านมา ที่แฮกเกอร์จากจีนใช้ช่องโหว่ดังกล่าวเพื่อปล่อยมัลแวร์ PlugX เพื่อโจมตีองค์กรรัฐในทวีปยุโรป

ทว่าทางไมโครซอฟท์ก็ยังออกมายืนยันว่าช่องโหว่ดังกล่าวไม่นับว่าเป็นช่องโหว่ เนื่องมาจากทุกอย่างขึ้นอยู่กับการตัดสินใจของผู้ใช้งานเพราะว่าทุกซอฟต์แวร์ที่สามารถเปิดไฟล์นั้นได้นั้นมีแจ้งเตือนผู้ใช้งานแล้วว่า ไฟล์มาจากแหล่งที่ไม่น่าเชื่อถือ ดังนั้นทางไมโครซอฟต์จึงไม่ได้ทำการออกแพตช์มา ต่อมาในช่วงเดือนพฤศจิกายน ทางไมโครซอฟต์กลับทำการออกแพตช์เพื่ออุดช่องโหว่นั้นอย่างเงียบเชียบ ไม่มีการแจ้งเตือนล่วงหน้าแต่อย่างใด แม้กระทั่งแหล่งข่าวได้ทำการติดต่อเพื่อขอยืนยันว่าทางไมโครซอฟต์ได้ทำการอัปเดตเพื่ออุดช่องโหว่ดังกล่าวจริงหรือไม่ ทางตัวแทนของทางไมโครซอฟต์ก็ไม่ได้ทำการยืนยันการออกแพตช์แต่อย่างใด

#รีแคป2025 #ดูแลตัวเอง #เปิดงบ #รวมเรื่องไอที #ติดเทรนด์

2025/12/28 แก้ไขเป็น

... อ่านเพิ่มเติมจากประสบการณ์การติดตามข่าวสารด้านความปลอดภัยไซเบอร์ พบว่าไฟล์ .LNK หรือ Internet Shortcut มักตกเป็นเป้าของแฮกเกอร์ในการใช้หลอกให้เปิดไฟล์เพื่อยิงโค้ดอันตรายเข้าสู่เครื่องคอมพิวเตอร์ได้โดยไม่รู้ตัว ช่องโหว่นี้เกี่ยวข้องกับการที่ไฟล์สามารถฝังโค้ดในรูปแบบช่องว่างสีขาว (Whitespace Characters) ซึ่งมองไม่เห็นด้วยตาเปล่า แต่จะถูกประมวลผลเมื่อเปิดไฟล์นั้น ๆ ขึ้นมา ในช่วงหลายปีที่ผ่านมา ช่องโหว่ประเภทนี้ถูกแฮกเกอร์หลากหลายกลุ่มจากประเทศรัสเซีย จีน เกาหลีเหนือ และอิหร่าน ใช้ในการโจมตีหลายรูปแบบ เช่น ปล่อยมัลแวร์ XDigo และ PlugX เพื่อขโมยข้อมูลและสอดแนม รวมถึงปล้นทรัพย์สินทางดิจิทัลขององค์กรและหน่วยงานรัฐต่างประเทศ นับตั้งแต่ปี 2017 เป็นต้นมา ถึงแม้ว่า Microsoft เคยไม่ให้ความสำคัญกับช่องโหว่นี้เพราะอ้างว่าซอฟต์แวร์ส่วนใหญ่แจ้งเตือนเมื่อเปิดไฟล์จากแหล่งไม่ปลอดภัย แต่ล่าสุดในเดือนพฤศจิกายน Microsoft ก็ออกแพตช์แก้ไขช่องโหว่นี้อย่างเงียบ ๆ เพื่อเพิ่มความปลอดภัยให้ผู้ใช้ Windows โดยไม่มีประกาศล่วงหน้า และไม่ได้มีการชี้แจงยืนยันชัดเจนจากทาง Microsoft ทำให้เกิดความสงสัยและความกังวลในวงการ ในฐานะผู้ใช้งาน Windows ควรทำการอัปเดตระบบอย่างสม่ำเสมอ และระมัดระวังการเปิดไฟล์ .LNK ที่ได้รับผ่านอีเมลหรือแหล่งที่ไม่น่าเชื่อถือ รวมถึงใช้งานเครื่องมือรักษาความปลอดภัยที่เชื่อถือได้เพื่อช่วยตรวจจับไฟล์ที่ผิดปกติ เพราะการหลอกลวงด้วยเทคนิคการซ่อนโค้ดในช่องว่างสีขาวนั้นถือเป็นกลยุทธ์ที่แยบยลและยากตรวจจับด้วยสายตา เหตุการณ์นี้ยังแสดงให้เห็นว่าช่องโหว่ที่ถูกมองข้ามนานๆ อาจถูกนำไปใช้โจมตีได้ในระยะยาว ดังนั้นการปรับปรุงระบบและความตระหนักในการใช้งานซอฟต์แวร์อย่างต่อเนื่องจึงเป็นสิ่งจำเป็นอย่างยิ่ง