ระบบย่อย Win32k หรือ ไดรเวอร์เคอร์เนล Win32k.sys มีหน้าที่เป็น Window Manager, Screen Output Input, และกราฟิกของระบบปฏิบัติการ และทำหน้าที่เป็นส่วนต่อประสานระหว่างฮาร์ดแวร์ Input ประเภทต่าง ๆ ดังนั้น การใช้ประโยชน์จากช่องโหว่ประเภทนี้จึงมีแนวโน้ม ที่จะให้สิทธิ์ขั้นสูงหรือการดำเนินการโค้ด
ช่องโหว่ CVE-2023-29336 ถูกกำหนดระดับความรุนแรงของ CVSS v3.1 ที่ 7.8 เนื่องจากอนุญาตให้ผู้ใช้ที่มีสิทธิ์ต่ำ ได้รับสิทธิ์ระบบ Windows ซึ่งเป็นสิทธิ์โหมดผู้ใช้สูงสุดใน Windows
Avast เผยว่าค้นพบช่องโหว่นี้หลังจากถูกโจมตีแบบซีโร่เดย์ แต่ทางบริษัทได้ปฏิเสธที่จะเปิดเผยรายละเอียดเพิ่มเติมกับ BleepingComputer ดังนั้นจึงไม่มีความชัดเจนว่าถูกโจมตีอย่างไรเพื่อสร้างความตระหนักรู้เกี่ยวกับช่องโหว่ที่ถูกโจมตีอย่างต่อเนื่อง และความจำเป็นในการใช้การอัปเดตความปลอดภัยของ Windows CISA ยังได้เผยแพร่การแจ้งเตือนและเพิ่มลงในแคตตาล็อก “Known Exploited Vulnerabilities”
และต่อมา หนึ่งเดือนหลังจากอัปเดตแพตช์พร้อมใช้งาน นักวิเคราะห์ของบริษัท Numen ได้เปิดเผยรายละเอียดทางเทคนิคทั้งหมดเกี่ยวกับ ช่องโหว่ CVE-2023-29336 และช่องโหว่ PoC สำหรับ Windows Server 2016
Microsoft เผยว่าช่องโหว่นี้จะส่งผลกระทบต่อ Windows รุ่นเก่าเท่านั้น รวมถึง Windows 10 รุ่นเก่า, Windows Server และ Windows 8 และไม่ส่งผลกระทบต่อ Windows 11 ซึ่งจากการวิเคราะห์ช่องโหว่บน Windows Server 2016 นักวิจัยของ Numen พบว่า Win32k ล็อกเฉพาะ Window Object แต่ไม่สามารถล็อก Menu Object ได้ เนื่องจากเป็นผลจากการคัดลอกโค้ดที่ล้าสมัยไปยัง Win32k เวอร์ชันใหม่ทำให้ Menu Object เสี่ยงต่อการถูกดัดแปลงหรือ Hijacks หากแฮกเกอร์แก้ไขที่อยู่เฉพาะในหน่วยความจำระบบ
การควบคุม Menu Object หมายถึงการได้รับสิทธิ์การเข้าถึงระดับเดียวกับโปรแกรมที่เปิดใช้งานแต่แม้ว่าขั้นตอนแรกจะไม่ได้รับสิทธิ์ระดับผู้ดูแลระบบของแฮกเกอร์ แต่ก็เป็น SpringBoard ที่มีประสิทธิภาพที่จะช่วยให้บรรลุเป้าหมายนี้ผ่านขั้นตอนต่อ ๆ ไปนักวิจัยได้ทดลองด้วยวิธีการจัดการผังหน่วยความจำแบบต่าง ๆ, การใช้ Exploit Triggers และฟังก์ชัน Memory Read/Write และพัฒนา PoC ที่ใช้งานได้ซึ่งจะสร้างการยกระดับความน่าเชื่อถือให้กับสิทธิ์ SYSTEM ได้อย่างน่าเชื่อถือ แต่สำหรับช่องโหว่ประเภทนี้ต้องอาศัยการรั่วไหลของ desktop heap handle addresses […] และถ้าปัญหานี้ไม่ได้รับการแก้ไขอย่างละเอียด ก็ยังคงมีความเสี่ยงด้านความปลอดภัยสำหรับระบบเก่า Numen แนะนำว่าผู้ดูแลระบบควรมองหาการอ่านและเขียน Offset ที่ผิดปกติในหน่วยความจำหรือที่เกี่ยวข้องกับ Window Object ซึ่งอาจบ่งชี้ถึงการใช้ประโยชน์จาก CVE-2023-29336 สำหรับการยกระดับสิทธิ์เฉพาะที่ และ ขอแนะนำให้ผู้ใช้ Windows ทุกคนใช้แพตช์เดือนพฤษภาคม 2023 ซึ่งนอกเหนือจากช่องโหว่ดังกล่าวแล้ว ยังแก้ไขช่องโหว่ Zero-day อีก 2 รายการที่แฮกเกอร์ใช้โจมตี
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น