พบช่องโหว่ XXE Injection ใน Windows System Information และ Windows Event Viewer

พบช่องโหว่ XXE(XML External Entity) Injection (ย่อสั้นๆคือเป็นช่องโหว่ที่ทำให้ Attacker ที่สามารถอ้างอิง object อื่นได้ ทำให้ Hacker สามารถอ่านไฟล์ในเครื่องของเป้าหมายได้) ใน Windows System Information และ Windows Event Viewer

โดยรุ่นที่ได้รับผลกระทบคือ

• Windows System Information version 6.1.7601
• Windows Event Viewer version 1.0

แต่การโจมตีนั้นต้องเป็นการกระทำของ User จริงๆ ไม่ว่าจะเป็นการใช้งานคำสั่ง Import Custom View หรือ msinfo32 ในการเปิดไฟล์ดังกล่าวครับ ดังนั้นการโจมตีให้สำเร็จก็เป็นไปได้ยากครับ

ทาง Microsoft ออกมากล่าวว่า “not meet the bar for security servicing” ดังนั้นน่าจะไม่มี patch อะไรออกมานะครับ

ปล. เผื่อคนสนใจ XXE เพิ่มเติมครับ https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing

Source::

• https://dl.packetstormsecurity.net/1612-exploits/MICROSOFT-EVENT-VIEWER-XXE-FILE-EXFILTRATION.txt
• https://dl.packetstormsecurity.net/1612-exploits/MICROSOFT-MSINFO32-XXE-FILE-EXFILTRATION.txt