ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
[TLP:WHITE] แจ้งเตือนช่องโหว่หลายรายการในผลิตภัณฑ์ของ Adobe Acrobat ที่อาจส่งผลให้ผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีเพื่อสั่งให้เครื่องเป้าหมาย execute คำสั่งหรือโค้ดต่าง ๆ ได้โดยไม่ได้รับอนุญาต (arbitrary code execution)
22 มี.ค.65
Executive Summary
ศูนย์ TTC-CERT พบการรายงานช่องโหว่หลายจุดในผลิตภัณฑ์ของ Adobe Acrobat ซึ่งช่องโหว่ที่มีระดับความรุนแรงที่สุดอาจส่งผลให้ผู้ไม่หวังดีจากระยะไกลใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีเพื่อสั่งให้เครื่องเป้าหมาย execute คำสั่งหรือโค้ดต่าง ๆ ได้โดยไม่ได้รับอนุญาต (arbitrary code execution) จากระยะไกล ซึ่งซอฟต์แวร์ของ Adobe Acrobat ที่ได้รับรายงานช่องโหว่มีดังนี้
- Acrobat DC และ Acrobat Reader DC
- Acrobat 2017 และ Acrobat Reader 2017
- Acrobat 2020 และ Acrobat Reader 2020
ศูนย์ TTC-CERT แนะนำให้องค์กรของสมาชิกตรวจสอบรายละเอียดการอัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ของ Adobe Acrobat เวอร์ชั่นที่ได้รับผลกระทบ ตลอดจนดำเนินการอัปเดตให้เป็นเวอร์ชั่นที่ได้รับการแก้ไขช่องโหว่ โดยมีรายละเอียดเพิ่มเติมที่หัวข้อ “วิธีแก้ปัญหา”
ช่องโหว่นี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ (unacceptable risk) ต่อองค์กรที่ใช้งานผลิตภัณฑ์ของ Adobe Acroba เวอร์ชั่นที่ได้รับผลกระทบและต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างเร่งด่วน ทั้งนี้ ในห้วงเวลาที่รายงานฉบับนี้ออก (22 มี.ค.65 เวลา 15.00 น.) ยังไม่พบ proof-of-concept code (PoC) สำหรับการโจมตีช่องโหว่ของผลิตภัณฑ์ของ Adobe เวอร์ชั่นที่ได้รับผลกระทบ และยังไม่พบการรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
ข้อมูลที่พบจาก threat intelligence
รายละเอียดโดยสรุปของช่องโหว่ผลิตภัณฑ์ของ Adobe เวอร์ชั่นที่ได้รับผลกระทบมีดังนี้
- ช่องโหว่ CVE-2022-24091[1] - Out-of-bounds Write (CVSS base score 7.8) และ ช่องโหว่ CVE-2022-24092[2] - Out-of-bounds Write (CVSS base score 7.8) ซึ่งช่องโหว่เหล่านี้อาจส่งผลให้ผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีเพื่อสั่งให้เครื่องเป้าหมาย execute คำสั่งหรือโค้ดต่าง ๆ ได้โดยไม่ได้รับอนุญาต (arbitrary code execution) โดยได้รับสิทธิ์ของผู้ใช้งานที่ถูกโจมตีในขณะนั้น ทั้งนี้ การโจมตีช่องโหว่นี้นี้จำเป็นต้องมีการโต้ตอบกับเหยื่อ โดยที่เหยื่อจะต้องเปิดไฟล์ pdf ที่เป็นอันตรายที่สร้างโดยผู้ไม่หวังดี
ในห้วงเวลาที่รายงานฉบับนี้ออก (22 มี.ค.65 เวลา 15.00 น.) ยังไม่พบ proof-of-concept code (PoC) สำหรับการโจมตีช่องโหว่ของผลิตภัณฑ์ของ Adobe เวอร์ชั่นที่ได้รับผลกระทบ และยังไม่พบการรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
ซอฟต์แวร์ที่ได้รับผลกระทบ
- Acrobat DC และ Acrobat Reader DC เวอร์ชั่น 21.007.20099 และเวอร์ชั่นก่อนหน้า สำหรับระบบปฏิบัติการ Windows และระบบปฏิบัติการ macOS
- Acrobat 2017 และ Acrobat Reader 2017 เวอร์ชั่น 17.011.30204 และเวอร์ชั่นก่อนหน้า สำหรับระบบปฏิบัติการ Windows และระบบปฏิบัติการ macOS
- Acrobat 2020 และ Acrobat Reader 2020 เวอร์ชั่น 20.004.30017 และเวอร์ชั่นก่อนหน้า สำหรับระบบปฏิบัติการ Windows และระบบปฏิบัติการ macOS
วิธีแก้ปัญหา
ศูนย์ TTC-CERT แนะนำให้องค์กรของสมาชิกหรือผู้ใช้งานทั่วไปที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ดำเนินการดังต่อไปนี้
- อัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบเป็นเวอร์ชันล่าสุดที่ออกโดยบริษัทเจ้าของผลิตภัณฑ์ (Adobe) ดังนี้
- อัปเดตให้เป็น Acrobat DC และ/หรือ Acrobat Reader DC เวอร์ชั่น 21.011.20039
- อัปเดตให้เป็น Acrobat 2017 และ/หรือ Acrobat Reader 2017 เวอร์ชั่น 17.011.30207
- อัปเดตให้เป็น Acrobat 2020 และ/หรือ Acrobat Reader 2020 เวอร์ชั่น 20.004.30020
- โดยมีรายละเอียดเพิ่มเติมที่ https://helpx.adobe.com/security/products/acrobat/apsb22-01.html
- ทั้งนี้ การแก้ไขเปลี่ยนแปลงใด ๆ กับระบบ ซอฟต์แวร์ หรือ Configuration ต่าง ๆ เพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว สมาชิกควรปฎิบัติตาม Change Management Policy และ/หรือ Risk Management Policy และ/หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
- กำหนดให้การทำงานของซอฟต์แวร์ทั้งหมดได้รับสิทธิ์แบบ non-privileged user (ซอฟต์แวร์ที่ไม่มีสิทธิ์ของผู้ดูแลระบบ (administrative privileges)) เพื่อลดผลกระทบจากการถูกโจมตี
- เตือนผู้ใช้งานว่าไม่ควรเข้าชมเว็บไซต์ที่ไม่น่าเชื่อถือหรือติดตามลิงก์ที่มาจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ
- แจ้งและให้ความรู้แก่ผู้ใช้งานเกี่ยวกับภัยคุกคามที่เกิดจาก Link ที่อยู่ในเนื้อความของอีเมลหรือไฟล์แนบ โดยเฉพาะจากแหล่งที่ไม่น่าเชื่อถือ
- ใช้หลักการ Principle of Least Privilege[3] กับระบบและบริการทั้งหมดในองค์กร
ข้อมูลอ้างอิง
- https://helpx.adobe.com/security/products/acrobat/apsb22-01.html
- https://www.zerodayinitiative.com/advisories/ZDI-22-512/
- https://www.zerodayinitiative.com/advisories/ZDI-22-513/
/
[1] "CVE-2022-24091." https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24091. Accessed 22 Mar. 2022.
[2] "CVE-2022-24092." https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24092. Accessed 22 Mar. 2022.
[3] "Least Privilege | CISA." 14 Sep. 2005, https://us-cert.cisa.gov/bsi/articles/knowledge/principles/least-privilege. Accessed 8 Dec. 2021.