จากการดำเนินการสืบค้นข้อมูลข่าวการโจมตีพบว่าเมื่อวันที่ 7 เมษายน 2567 ทาง EXPMON ได้มีการรายงานถึงตัวอย่างการตรวจจับเหตุการณ์ที่อาจกลายเป็นการโจมตีแบบ Zero-Day โดยอาศัยไฟล์เอกสารตัวอย่าง den.pdf ทำการทดสอบในสภาพแวดล้อมตัวอย่าง (Tested Environment) พบว่ามีตัวบ่งชี้ (Indicators) เป็นกระบวนการที่น่าสงสัยที่สร้างขึ้นโดยกระบวนการหลัก จากสภาพแวดล้อมที่มีชื่อว่า

win7sp1(update20180524)_foxitreader(2023.2.0.21408)[foxitreader] และ winx64(update20230925)_reader(2023.006.20320)[acrobatreader]

‍

จากในรูปภาพหมายความว่าระบบตรวจพบกระบวนการที่น่าสงสัยที่สร้างขึ้นจากกระบวนการหลัก (กระบวนการ Foxit Reader) เป็นสภาพแวดล้อมที่รัน Foxit Reader เวอร์ชัน 2023.2.0.21408 บน Windows 7 แต่ตัวอย่างข้างล่างนี้เป็นตัวอย่างผลมาจากการเปิดไฟล์จากโปรแกรม Foxit Reader เวอร์ชันล่าสุด เมื่อทำการเปิดไฟล์ PDF ด้วย Foxit Reader จะปรากฎกล่องโต้ตอบคำเตือนด้านความปลอดภัยดังต่อไปนี้

‍

หากลองพิจารณาอย่างละเอียด คุณจะพบว่า *ตัวเลือกเริ่มต้น* ชี้ไปที่ข้อความโต้ตอบที่บอกว่า “เชื่อถือเอกสารนี้เพียงครั้งเดียวเท่านั้น (Trust this document one time only) - ตกลง (OK)”

นั่นหมายความว่าผู้ใช้ที่ไม่ระมัดระวังจะคลิกปุ่ม "ตกลง" (หรือเพียงกดปุ่ม "Enter") ไม่ทันได้ระวังกลายเป็นพลาดคำเตือนด้านความปลอดภัย

‍

มีการออกแบบ UI ที่ไม่ดีเช่นกัน -  *ตัวเลือกเริ่มต้น (default option)*ขี้ไปที่ข้อความโต้ตอบที่บอกว่า "เปิด(Open)" แทนที่จะเป็น "อย่าเปิด(Do Not Open)" นั่นหมายความว่าผู้ใช้ที่ไม่ระมัดระวังจะคลิกปุ่ม "เปิด(Open)" (หรือเพียงกดปุ่ม "Enter") และจะพลาดคำเตือนด้านความปลอดภัยนี้อีกครั้ง

‍

หลังจากที่ฉันคลิก "เปิด (Open)" ในกล่องโต้ตอบคำเตือนครั้งที่ 2 จะสังเกตเห็นว่ามีกระบวนการ "cmd.exe" ทำงานอยู่ โดยมีพารามิเตอร์ที่เป็นอันตราย เห็นได้ชัดว่ามันพยายามดาวน์โหลดไฟล์ .bat จากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่

‍

หากเราดูเนื้อหาของตัวอย่าง PDF เราก็สามารถยืนยันการวิเคราะห์แบบไดนามิกของเราได้ และพบว่านี่เป็นตัวอย่าง PDF ที่เรียบง่ายมาก (แต่เป็นอันตราย) มีอักขระ ':' จำนวนมากที่ตอนต้นของไฟล์ โดยเดาว่ามันเป็นการข้ามซอฟต์แวร์ป้องกันไวรัสที่วิเคราะห์แบบ static-analyzing บางยี่ห้อ

จากแหล่งข่าวถ้าอธิบายกันตามหลัก นี่เป็นการหาประโยชน์แบบ Zero-day ของ PDF อย่างแน่นอน เนื่องจากไฟล์ สามารถใช้งานได้บน Foxit Reader เวอร์ชั่นล่าสุด (เวอร์ชัน 2024.1.0.23997 ) ถึงแม้ช่องโหว่นี้นี่ค่อนข้างจะ "ใช้งานยาก" เนื่องจากผู้ใช้/เหยื่อจำเป็นต้อง "อนุญาต" สองครั้งเพื่อให้ดำเนินการตามเงื่อนไขได้สำเร็จ แต่จุดสำคัญคือตัวเลือกเริ่มต้นสำหรับกล่องโต้ตอบคำเตือนความปลอดภัยทั้งสองนี้ตั้งไว้สำหรับกด "อนุญาต" ซึ่งถ้าเป็นแบบนี้มันจะเพิ่มความเป็นไปที่การหาประโยชน์นี้จะทำสำเร็จได้ง่ายและอันตรายมากขึ้น (สำหรับผู้ใช้ที่ไม่ระมัดระวัง)

‍

ล่าสุดทาง Vendor ผู้จำหน่าย Foxit Software พวกเขารับทราบปัญหาแล้วและจะแก้ไขปัญหาดังกล่าว แต่ไม่มีการเผยแพร่คำแนะนำด้านความปลอดภัย

‍

ขอแนะนำให้ผู้ใช้ Foxit Reader ระมัดระวังเกี่ยวกับไฟล์ PDF ที่น่าสงสัยจนกว่าการแก้ไขอย่างเป็นทางการจะเสร็จสิ้น

แหล่งที่มา / ข้อมูลอ้างอิง (Refference)

• https://justhaifei1.blogspot.com/2024/04/expmon-detected-zero-day-pdf-sample.html?fbclid=IwZXh0bgNhZW0CMTEAAR2iyORTdO2XxNtOctRQUtYJFr3ORG-Y9Ha3dUKSLyABdA3TnTOHIvuT_iI_aem_AYZctkYCHFckDLzNmhMrtW_AU8n1BKy-3KfCgYYoHIiJu0ykAWxSF0lVOR0loEujhzdEnY-Hke22mXKQScc9jVuv
• https://pub.expmon.com/analysis/15986/

‍