วิธีป้องกันการโจมตีแบบ Password Spray Attack ที่เกิดขึ้นกับ Netscaler

    Citrix Netscaler ได้กลายเป็นเป้าหมายล่าสุดของการโจมตีในรูปแบบ Password Spray ในปีนี้ โดยมุ่งเป้าไปที่อุปกรณ์ edge networking และ cloud platform เพื่อโจมตีเครือข่ายขององค์กร

    ในเดือนมีนาคม 2024 ทาง Cisco รายงานว่าพบ Hacker กำลังทำการโจมตีแบบ Password Spray บนอุปกรณ์ VPN ของ Cisco ซึ่งบางครั้งการโจมตีดังกล่าวทำให้เกิด Denial-of-Service ทำให้ Cisco ค้นพบช่องโหว่ DDoS ซึ่งได้ทำการแก้ไขไปแล้วในเดือนตุลาคม 2024

    ในเดือนตุลาคม 2024 ทาง Microsoft ได้แจ้งเตือนว่า Quad7 Botnet กำลังมุ่งเป้าโจมตีอุปกรณ์เครือข่าย เช่น TP-Link, Asus, Ruckus, Axentra และ Zyxel เพื่อโจมตีแบบ Password Spray ผ่าน cloud services

    รวมถึงหน่วยงานความปลอดภัยทางไซเบอร์ของเยอรมนี (BSI) ได้แจ้งเตือนถึงรายงานจำนวนมากที่ระบุว่าอุปกรณ์ Citrix Netscaler ตกเป็นเป้าหมายของการโจมตีด้วยวิธีการ Password Spray ในลักษณะที่คล้ายกัน เพื่อขโมยข้อมูล login credentials เพื่อเข้าสู่เครือข่าย

    ข่าวการโจมตี Citrix Netscaler ดังกล่าวได้รับการรายงานครั้งแรกโดย Born City เมื่อสัปดาห์ที่แล้ว โดยผู้ใช้งานระบุว่าพวกเขาเริ่มประสบกับการโจมตีแบบ Brute Force Attacks บนอุปกรณ์ Citrix Netscaler ของพวกเขามาตั้งแต่เดือนพฤศจิกายน 2024 และต่อเนื่องถึงเดือนธันวาคม 2024

    ผู้ใช้งานบางรายระบุว่า ได้ถูกโจมตีเพื่อเข้าถึงข้อมูล account credentials โดยใช้ชื่อผู้ใช้ทั่วไปหลากหลายประเภทระหว่าง 20,000 ถึง 1 ล้านครั้ง โดยมีรายละเอียดดังนี้:

test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales รวมไปถึง การโจมตีแบบ Password Spray ได้แก่ ชื่อ, ชื่อ-นามสกุล และที่อยู่อีเมล

Citrix ออกคำแนะนำการป้องกัน

    Citrix ได้ออกเอกสารแจ้งเตือนด้านความปลอดภัยเกี่ยวกับการโจมตีด้วยวิธีการ Password Spray ที่กำลังเพิ่มมากขึ้นในอุปกรณ์ Netscaler และได้ให้แนวทางแก้ไขเกี่ยวกับวิธีลดผลกระทบจากการโจมตีดังกล่าว

    Citrix ระบุว่าการโจมตีด้วยวิธีการ Password Spray นั้นมีต้นทางจาก IP addresses ที่หลากหลาย ทำให้ยากต่อการบล็อก IP หรือการทำ rate limiting รวมถึงการพยายาม authentication จำนวนมากที่เกิดขึ้นอย่างกะทันหันอาจทำให้อุปกรณ์ Citrix Netscaler ที่กำหนดค่าไว้ให้ใช้ normal login volume เกิดการบันทึกข้อมูล log ที่มากขึ้น และทำให้ไม่สามารถใช้อุปกรณ์ได้ หรือมีปัญหาด้านประสิทธิภาพการทำงาน

ทั้งนี้การโจมตีที่ถูกพบ authentication requests จะมุ่งเป้าไปที่ pre-nFactor endpoints ซึ่งเป็น historical authentication URL ที่ใช้เพื่อความเข้ากันได้กับ legacy configurations

Citrix ได้เผยแพร่แนวทางลดผลกระทบจากการโจมตี ได้แก่:

    เปิดใช้งาน multi-factor authentication (MFA) ก่อน LDAP factor เนื่องจากการโจมตีมุ่งเป้าไปที่ IP addresses ทาง Citrix แนะนำให้สร้าง Policy เพื่อให้ authentication requests ถูกยกเลิก ยกเว้นจะพยายาม authentication กับชื่อโดเมนที่ระบุไว้

    บล็อก Netscaler endpoints ที่เกี่ยวข้องกับ pre-nFactor authentication requests เว้นแต่จะจำเป็นต้องใช้สำหรับ environment ขององค์กร

    ใช้ Web application firewall (WAF) เพื่อบล็อกที่ IP addresses ที่มีความเสี่ยง ที่เกิดจากพฤติกรรมอันตรายก่อนหน้า

    Citrix ระบุว่าลูกค้าที่ใช้บริการ Gateway ไม่จำเป็นต้องใช้แนวทางลดผลกระทบเหล่านี้ เนื่องจากแนวทางเหล่านี้ใช้กับอุปกรณ์ NetScaler/NetScaler Gateway ที่ติดตั้งภายใน On premise หรือ On cloud เท่านั้น ซึ่งจะส่งผลกระทบเฉพาะ NetScaler firmware versions ที่สูงกว่า หรือเท่ากับ 13.0 เท่านั้น

สามารถตรวจสอบคำแนะนำโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการใช้แนวทางลดผลกระทบเหล่านี้ได้ใน Citrix advisory

Ref : bleepingcomputer.com

พบมัลแวร์ Rootkit ตัวใหม่ ‘Pumakit’ ซ่อนตัวอยู่บนระบบ Linux

    พบมัลแวร์ rootkit ตัวใหม่บนระบบ Linux ชื่อ 'Pumakit' ซึ่งใช้เทคนิคการซ่อนตัว และการยกระดับสิทธิ์ขั้นสูงเพื่อปกปิดการมีอยู่ในระบบ

    มัลแวร์ดังกล่าวเป็นชุดซอฟต์แวร์หลายส่วน ประกอบไปด้วย Dropper, ไฟล์ปฏิบัติการที่ทำงานในหน่วยความจำ, kernel module rootkit และ shared object (SO) userland rootkit

    Pumakit ถูกพบโดย Elastic Security ในไฟล์ไบนารีชื่อ 'cron' ที่ถูกอัปโหลดไว้บน VirusTotal เมื่อวันที่ 4 กันยายน 2024 โดยทางทีมงานได้ระบุว่า ยังไม่ทราบอย่างแน่ชัดว่าใครเป็นผู้ใช้งาน
    หรือเป้าหมายของมัลแวร์คืออะไร โดยปกติ เครื่องมือเหล่านี้จะถูกใช้โดยผู้ไม่หวังดีที่มีความเชี่ยวชาญสูง ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ และระบบขององค์กร เพื่อขโมยข้อมูล, ข้อมูลทางการเงิน และก่อให้เกิดการหยุดชะงักของระบบ

The Pumakit

    Pumakit ใช้การโจมตีแบบหลายขั้นตอน โดยเริ่มจาก dropper ที่ชื่อ 'cron' ซึ่งจะดำเนินการดาวน์โหลด Payload ที่ฝังอยู่ใน ('/memfd:tgt' และ '/memfd:wpn') ทั้งหมดจากหน่วยความจำ

    Payload '/memfd:wpn' ทำงานใน child process โดยจะดำเนินการตรวจสอบสภาพแวดล้อม และแก้ไข kernel image ก่อนที่จะติดตั้งโมดูล LKM rootkit ('puma.ko') ลงในเคอร์เนลของระบบ

    สิ่งที่ฝังอยู่ภายใน LKM rootkit คือ Kitsune SO ('lib64/libs.so') ซึ่งทำหน้าที่เป็น userland rootkit โดยจะแทรกเข้าไปใน process ต่าง ๆ โดยใช้ 'LD_PRELOAD' เพื่อดักจับการเรียกใช้คำสั่งระบบในระดับผู้ใช้งาน (user level)

การยกระดับสิทธิ์อย่างลับ ๆ

    Rootkit ทำงานตามเงื่อนไข โดยตรวจสอบลักษณะเคอร์เนล, สถานะ Secure Boot และเงื่อนไขอื่น ๆ ก่อนเริ่มการทำงาน

    Elastic ระบุว่า Pumakit ใช้ฟังก์ชัน 'kallsyms_lookup_name()' เพื่อปรับเปลี่ยนการทำงานของระบบ ซึ่งแสดงให้เห็นว่า rootkit ถูกออกแบบมาเพื่อโจมตี Linux kernels เวอร์ชันก่อน 5.7 โดยเฉพาะ เนื่องจากเวอร์ชันที่ใหม่กว่าจะไม่มีฟังก์ชันดังกล่าวอีกต่อไป และไม่สามารถถูกใช้งานโดยโมดูล kernel อื่น ๆ ได้

    นักวิจัยของ Elastic Remco Sprooten และ Ruben Groenewoud อธิบายว่า "ความสามารถของ LKM rootkit ในการปรับเปลี่ยนพฤติกรรมของระบบ เริ่มต้นจากการใช้ syscall table และการใช้ kallsyms_lookup_name() เพื่อแก้ไขสัญลักษณ์"

    ต่างจาก rootkit เวอร์ชันใหม่ที่มุ่งเป้าไปที่เคอร์เนลเวอร์ชัน 5.7 ขึ้นไป rootkit นี้ไม่ได้ใช้ kprobes ซึ่งแสดงให้เห็นถึงการออกแบบมาสำหรับเคอร์เนลเวอร์ชันเก่าโดยเฉพาะ

    Puma ดำเนินการ hook syscalls จำนวน 18 รายการ และฟังก์ชันเคอร์เนลหลายรายการ โดยใช้ 'ftrace' เพื่อยกระดับสิทธิ์, ดำเนินการคำสั่ง และซ่อนกระบวนการทำงานต่าง ๆ

    ฟังก์ชันเคอร์เนล 'prepare_creds' และ 'commit_creds' ถูกนำมาใช้เพื่อแก้ไข process credentials โดยให้สิทธิ์ root กับ process ที่กำหนด

    Rootkit สามารถซ่อนการมีอยู่ของตัวเองจาก kernel logs, เครื่องมือระบบ และโปรแกรมป้องกันมัลแวร์ รวมถึงสามารถซ่อนไฟล์ในไดเรกทอรี และ objects จาก process lists ได้

    หาก hook ถูกขัดจังหวะ rootkit จะทำการตั้งค่าใหม่ทันที เพื่อให้แน่ใจว่าการเปลี่ยนแปลงที่เป็นอันตรายจะไม่ถูกเปลี่ยนกลับ และไม่สามารถยกเลิกการโหลดโมดูลได้

    Userland rootkit 'Kitsune SO' สามารถทำงานร่วมกับ Puma ได้อย่างมีประสิทธิภาพ โดยช่วยเพิ่มกลไกการซ่อนตัว และการควบคุม รวมไปถึงการโต้ตอบกับผู้ใช้งาน

    มันจะดักจับการเรียกใช้คำสั่งระบบในระดับผู้ใช้งาน (user-level) และปรับเปลี่ยนพฤติกรรมของคำสั่งต่าง ๆ เช่น ls, ps, netstat, top, htop, และ cat เพื่อซ่อนไฟล์, processes และการเชื่อมต่อเครือข่ายที่เกี่ยวข้องกับ rootkit

    นอกจากนี้ยังสามารถซ่อนไฟล์ และไดเรกทอรีอื่น ๆ ได้ตามเงื่อนไขที่ผู้ไม่หวังดีกำหนด และทำให้ผู้ใช้งาน และผู้ดูแลระบบไม่สามารถตรวจสอบไฟล์ของมัลแวร์ทั้งหมดได้

    Kitsune SO ยังจัดการการเชื่อมต่อทั้งหมดกับ C2 Server โดยการส่งคำสั่งไปยัง LKM rootkit และส่งข้อมูลการตั้งค่าระบบ และข้อมูลระบบกลับไปยังผู้ไม่หวังดี

    นอกจาก hashes ไฟล์แล้ว Elastic Security ยังได้เผยแพร่ YARA rule เพื่อช่วยให้ผู้ดูแลระบบ Linux สามารถตรวจจับการโจมตีจาก Pumakit ได้

Ref : bleepingcomputer.com

Veeam แจ้งเตือนช่องโหว่ RCE ระดับ Critical ใน Service Provider Console

    Veeam ได้ปล่อยอัปเดตแพตช์ด้านความปลอดภัยในวันนี้ (3 ธันวาคม 2024) เพื่อแก้ไขช่องโหว่สองรายการใน Service Provider Console (VSPC) รวมถึงช่องโหว่ Remote code execution (RCE) ระดับ Critical ที่พบระหว่างการทดสอบภายใน

    VSPC ซึ่งบริษัทได้อธิบายว่าเป็น Remote managed BaaS (Backend as a Service) และ DRaaS (Disaster Recovery as a Service) ถูกใช้งานโดยผู้ให้บริการเพื่อตรวจสอบความสมบูรณ์ และความปลอดภัยของการสำรองข้อมูลของลูกค้า รวมถึงการจัดการ workload ที่ได้รับการป้องกันโดย Veeam ในระบบ Veeam-protected virtual, Microsoft 365 และ public cloud workloads

    ช่องโหว่ด้านความปลอดภัยตัวแรกที่ได้รับการแก้ไขในวันนี้ (CVE-2024-42448 มีคะแนน CVSS 9.9/10) ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ที่ไม่ได้รับการอัปเดตจากเครื่อง VSPC management agent ได้

    Veeam ยังได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง (CVE-2024-42449) ที่ทำให้ผู้โจมตีสามารถขโมย NTLM hash ของบัญชี service account ของเซิร์ฟเวอร์ VSPC และใช้การเข้าถึงที่ได้ เพื่อลบไฟล์บนเซิร์ฟเวอร์ VSPC ได้

    อย่างไรก็ตาม ตามที่บริษัทได้อธิบายไว้ในคำแนะนำด้านความปลอดภัยที่เผยแพร่ในวันนี้ ช่องโหว่ทั้งสองรายการจะถูกโจมตีได้สำเร็จเฉพาะกรณีที่ management agent ได้รับการอนุญาตบนเซิร์ฟเวอร์เป้าหมายเท่านั้น

    ช่องโหว่นี้ส่งผลกระทบต่อ VSPC เวอร์ชัน 8.1.0.21377 และเวอร์ชันก่อนหน้าทั้งหมด รวมถึงรุ่น 8 และ 7 แต่เวอร์ชันของผลิตภัณฑ์ที่ไม่ได้รับการสนับสนุนแล้ว ก็มีแนวโน้มที่จะได้รับผลกระทบเช่นกัน และควรถือว่ามีช่องโหว่แม้ว่าจะยังไม่ได้รับการทดสอบก็ตาม

    Veeam ระบุว่า "ขอแนะนำให้ผู้ให้บริการที่ใช้ Veeam Service Provider Console เวอร์ชันที่ยังได้รับการสนับสนุน (เวอร์ชัน 7 และ 8) อัปเดตเป็น cumulative patch เวอร์ชันล่าสุด"

"ขอแนะนำให้ผู้ให้บริการที่ใช้เวอร์ชันที่ไม่ได้รับการสนับสนุนแล้วอัปเกรดเป็นเวอร์ชันล่าสุดของ Veeam Service Provider Console"

    การโจมตีที่เกิดขึ้นกับช่องโหว่ของ Veeam ในช่วงที่ผ่านมาแสดงให้เห็นถึงความสำคัญของการติดตั้งแพตช์บนเซิร์ฟเวอร์ที่มีช่องโหว่โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

    ในเดือนที่ผ่านมา ทีมตอบสนองต่อเหตุการณ์ของ Sophos X-Ops เปิดเผยว่า ช่องโหว่ RCE (CVE-2024-40711) ในซอฟต์แวร์ Backup & Replication (VBR) ของ Veeam ในเดือนกันยายน ขณะนี้กำลังถูกใช้โจมตีเพื่อแพร่กระจาย Frag ransomware

    ช่องโหว่เดียวกันนี้ยังถูกใช้เพื่อรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ VBR ที่มีช่องโหว่ในการโจมตีด้วย Akira และ Fog ransomware ด้วยเช่นกัน

Ref : bleepingcomputer.com

CISCO switches หลายร้อยตัวได้รับผลกระทบจากช่องโหว่ใน Bootloader

    ช่องโหว่ใน Bootloader ของ Cisco NX-OS ส่งผลกระทบต่อสวิตช์มากกว่า 100 ตัว ทำให้ผู้โจมตีสามารถ bypass การตรวจสอบ image signature ของระบบได้

    โดย Cisco ได้ปล่อยแพตช์ความปลอดภัยสำหรับช่องโหว่ CVE-2024-20397 (คะแนน CVSS 5.2) ใน Bootloader ของซอฟต์แวร์ NX-OS ซึ่งผู้โจมตีอาจใช้ประโยชน์เพื่อ bypass image signature ของระบบได้

ช่องโหว่ใน Bootloader ของ Cisco NX-OS Software อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนซึ่งเข้าถึงระบบได้ในระดับ physical หรือผู้โจมตีในระบบที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถ bypass image signature ของระบบ NX-OS ได้

    สาเหตุของช่องโหว่นี้มาจากการตั้งค่า Bootloader ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถใช้คำสั่ง Bootloader หลายคำสั่งเพื่อทริกเกอร์ให้เกิดช่องโหว่ได้

การโจมตีที่ประสบความสำเร็จอาจทำให้ผู้โจมตี bypass image signature ของระบบ NX-OS และโหลดซอฟต์แวร์ที่ไม่ผ่านการตรวจสอบได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ Cisco ต่อไปนี้ที่ใช้ NX-OS Software กับเวอร์ชัน BIOS ที่มีช่องโหว่ โดยไม่คำนึงถึงการตั้งค่าการใช้งาน

• UCS 6500 Series Fabric Interconnects (CSCwj35846)
• MDS 9000 Series Multilayer Switches (CSCwh76163)
• Nexus 3000 Series Switches (CSCwm47438)
• Nexus 7000 Series Switches (CSCwh76166)
• Nexus 9000 Series Fabric Switches ในโหมด ACI (CSCwn11901)
• Nexus 9000 Series Switches ในโหมด NX-OS แบบ Standalone (CSCwm47438)
• UCS 6400 Series Fabric Interconnects (CSCwj35846)

        Cisco ระบุว่า ไม่มีวิธีการอื่นในการลดผลกระทบจากช่องโหว่ บริษัท PSIRT ระบุว่า ยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2024-20397 โดย Cisco จะไม่แก้ไขช่องโหว่สำหรับ Nexus 92160YC-X ที่หมดระยะเวลาการสนับสนุนด้านความปลอดภัย และช่องโหว่แล้ว

Ref : securityaffairs.com

Microsoft December 2024 Patch Tuesday แก้ไขช่องโหว่ Zero-Day ที่ถูกใช้งานแล้ว 1 รายการ และช่องโหว่อีก 71 รายการ

    Patch Tuesday ของ Microsoft ประจำเดือนธันวาคม 2024 ซึ่งรวมการอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ทั้งหมด 71 รายการ รวมถึงช่องโหว่ Zero-Day ที่ถูกใช้งานแล้ว 1 รายการ ในครั้งนี้ มีการแก้ไขช่องโหว่ระดับวิกฤติ 16 รายการ ซึ่งทั้งหมดเป็นช่องโหว่ประเภทการเรียกใช้โค้ดจากระยะไกล (Remote Code Execution)

จำนวนช่องโหว่ที่แก้ไขในแต่ละประเภทมีดังนี้:

• 27 ช่องโหว่ยกระดับสิทธิ์ (Elevation of Privilege Vulnerabilities)
• 30 ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution Vulnerabilities)
• 7 ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure Vulnerabilities)
• 5 ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service Vulnerabilities)
• 1 ช่องโหว่การปลอมแปลง (Spoofing Vulnerabilities)

    จำนวนนี้ไม่รวมช่องโหว่ 2 รายการใน Microsoft Edge ที่ได้แก้ไขไปก่อนหน้านี้แล้วเมื่อวันที่ 5 และ 6 ธันวาคม สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตที่ไม่เกี่ยวข้องกับความปลอดภัยในวันนี้ สามารถดูได้ในบทความเฉพาะสำหรับการอัปเดต

• Windows 10 KB5048652 (Link)
• Windows 11 KB5048667 และ KB5048685 (Link)

ช่องโหว่ Zero-Day ที่กำลังถูกใช้งานในอัปเดตวันนี้คือ:

• CVE-2024-49138 - Windows Common Log File System Driver Elevation of Privilege Vulnerability Microsoft ได้แก้ไขช่องโหว่ Zero-Day ที่ถูกใช้งาน ซึ่งช่วยให้นักโจมตีสามารถยกระดับสิทธิ์เป็น SYSTEM บนอุปกรณ์ Windows ได้ ยังไม่มีข้อมูลที่เผยแพร่เกี่ยวกับวิธีที่ช่องโหว่นี้ถูกนำไปใช้งานในการโจมตี

    อย่างไรก็ตาม เนื่องจากช่องโหว่นี้ถูกค้นพบโดย Advanced Research Team ของ CrowdStrike จึงมีความเป็นไปได้ที่เราจะได้เห็นรายงานเกี่ยวกับการนำช่องโหว่นี้ไปใช้งานในอนาคต ทาง BleepingComputer ได้ติดต่อ CrowdStrike เพื่อขอข้อมูลเพิ่มเติม แต่ยังไม่ได้รับการตอบกลับในขณะนี้

การอัปเดตล่าสุดจากบริษัทอื่นในเดือนธันวาคม 2024

บริษัทอื่นที่ได้ออกอัปเดตหรือคำแนะนำด้านความปลอดภัยในเดือนนี้ประกอบด้วย:

• Adobe: ออกอัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ เช่น Photoshop, Commerce, Illustrator, InDesign, After Effects, Bridge และอื่นๆ (Link)
• CISA: ออกคำแนะนำเกี่ยวกับช่องโหว่ในระบบควบคุมอุตสาหกรรมใน MOBATIME, Schneider Electric, National Instruments, Horner Automation, Rockwell Automation และ Ruijie (Link)
• Cleo: พบช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีเพื่อขโมยข้อมูลในระบบการโอนถ่ายไฟล์ที่ปลอดภัย (Link)
• Cisco: ออกอัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ เช่น Cisco NX-OS และ Cisco ASA (Link)
• IO-Data: พบช่องโหว่ Zero-Day ในเราเตอร์ที่ถูกนำไปใช้ในการโจมตีเพื่อยึดอุปกรณ์ (Link)
• 0patch: ออกแพตช์ที่ไม่ได้เป็นทางการสำหรับช่องโหว่ Zero-Day ใน Windows ที่ช่วยให้นักโจมตีสามารถดักจับข้อมูลรับรอง NTLM ได้ (Link)
• OpenWrt: ออกอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Sysupgrade ที่ทำให้นักโจมตีสามารถแจกจ่ายเฟิร์มแวร์ที่เป็นอันตรายได้ (Link)
• SAP: ออกอัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการในช่วง December Patch Day (Link)
• Veeam: ออกอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ RCE ระดับวิกฤติใน Service Provider Console (Link)

การอัปเดตด้านความปลอดภัยใน Patch Tuesday เดือนธันวาคม 2024

ด้านล่างนี้เป็นรายการช่องโหว่ที่ได้รับการแก้ไขทั้งหมดใน Patch Tuesday เดือนธันวาคม 2024 Full Report

Ref : bleepingcomputer.com

ช่องโหว่ใน JavaScriptCore ของ Apple Safari ที่ทำให้สามารถโจมตีแบบ RCE ได้ กำลังถูกนำไปใช้ในการโจมตีจริง

    ช่องโหว่ระดับ Critical หมายเลข CVE-2024-44308 กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง โดยกระทบกับ Apple Safari หลายเวอร์ชันบนแพลตฟอร์ม iOS, visionOS และ macOS

    ช่องโหว่ดังกล่าวอยู่ภายในคอมไพเลอร์ DFG JIT ของ WebKit ทำให้เกิดการโจมตีในรูปแบบการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE)

ตารางสรุปซอฟต์แวร์ และเวอร์ชันที่ได้รับผลกระทบสำหรับช่องโหว่ CVE-2024-44308

    Apple ได้แก้ไขช่องโหว่นี้ไปแล้วในแพตซ์อัปเดตล่าสุด ได้แก่ iOS 17.7.2, 18.1.1, visionOS 2.1.1 และ macOS Sequoia 15.1.1

การค้นพบ และการวิเคราะห์

• ช่องโหว่นี้ได้รับการรายงานโดย Clément Lecigne และ Benoît Sevens จากกลุ่มวิเคราะห์ภัยคุกคามของ Google (Threat Analysis Group) และได้รับการวิเคราะห์เพิ่มเติมโดย Dohyun Lee จาก USELab, Korea University
• ช่องโหว่นี้เกิดจากปัญหา register corruption ใน JavaScriptCore เนื่องจากการ allocation timing ของ scratch2GPR register ที่ไม่ถูกต้องภายในกระบวนการคอมไพล์ Speculative JIT
• ช่องโหว่นี้ส่งผลกระทบต่อไฟล์ DFGSpeculativeJIT.cpp ใน WebKit โดยเฉพาะในวิธีการจัดการกับอาร์เรย์ที่มีชนิดข้อมูลเป็นจำนวนเต็ม (integer-typed arrays)
• ช่องโหว่นี้จะเกิดขึ้นเมื่อ scratch2GPR register ถูก allocated หลังจากการเรียกฟังก์ชัน getIntTypedArrayStoreOperand() ซึ่งอาจทำให้เกิดการ register allocation ที่ไม่จำเป็นหากมีการเลือก slow path

    การ allocated ที่ผิดพลาดนี้ สามารถสร้างสถานะ register ที่ไม่สอดคล้องกัน ซึ่งอาจก่อให้เกิดความเสี่ยงทางด้านความปลอดภัย

    แพตช์ที่ได้รับการแก้ไข มีการปรับลำดับของการทำงานให้ถูกต้อง เพื่อให้มั่นใจว่า scratch2GPR register ถูกจัดการอย่างเหมาะสม และรักษาความสมบูรณ์ของสถานะ register เมื่อมีการใช้ slow path

การทำงานของโค้ดที่ทำให้เกิดช่องโหว่นี้ สามารถสรุปได้ดังนี้

• เรียกใช้ฟังก์ชัน getIntTypedArrayStoreOperand(): ฟังก์ชันนี้ถูกเรียกใช้เพื่อจัดการ store operations ใน typed arrays
• เพิ่ม Slow Path: อาจมีการใช้ Slow Path ซึ่งต้องมีการจัดการ registers อย่างรอบคอบ
• การ Allocation ที่ไม่ถูกต้อง: scratch2GPR ถูก allocated อย่างไม่ถูกต้องหลัง Slow Path ซึ่งไม่ได้ถูกใช้ ทำให้เกิดความไม่สอดคล้องของสถานะที่อาจเกิดขึ้นได้

Proof-of-Concept (PoC)

    PoC แม้จะยังไม่สมบูรณ์ แต่ก็ให้ข้อมูลเชิงลึกเกี่ยวกับการทริกเกอร์ช่องโหว่ โดยเกี่ยวข้องกับการจัดการกับ JavaScript objects และ arrays เพื่อเข้าถึงฟังก์ชันที่มีช่องโหว่

    ขอแนะนำให้ผู้ใช้งานอัปเดตอุปกรณ์ของตนเป็นซอฟต์แวร์เวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่เกิดจากช่องโหว่นี้ เหตุการณ์นี้แสดงให้เห็นถึงความสำคัญของการอัปเดตซอฟต์แวร์อย่างทันท่วงที และการตรวจสอบช่องโหว่ด้านความปลอดภัยอย่างต่อเนื่อง

    การตอบสนองของ Apple ในการจัดการกับช่องโหว่นี้อย่างรวดเร็ว แสดงให้เห็นถึงความพยายามอย่างต่อเนื่องในการรักษาความปลอดภัยแพลตฟอร์มของตนจากภัยคุกคามที่เกิดขึ้นใหม่

Ref : gbhackers.com

Microsoft ออกแพตซ์อัปเดต Exchange อีกครั้ง ภายหลังจากการแก้ไขปัญหาการส่งอีเมล

    Microsoft ออกแพตช์อัปเดตของเดือนพฤศจิกายน 2024 สำหรับ Exchange Server อีกครั้ง หลังจากถอนการอัปเดตดังกล่าวออกมาเมื่อต้นเดือนนี้ เนื่องจากเกิดปัญหาการส่งอีเมลบนเซิร์ฟเวอร์ที่ใช้รูปแบบการจัดการอีเมลแบบ Custom

    บริษัทประกาศว่าได้ถอนการอัปเดตเหล่านี้ออกจาก Download Center และ Windows Update หลังจากได้รับรายงานจำนวนมากจากผู้ดูแลระบบว่าอีเมลไม่สามารถส่งได้

    ปัญหานี้ส่งผลกระทบต่อผู้ใช้ที่ใช้ transport (mail flow) rules หรือ data loss protection (DLP) rules ซึ่งจะหยุดการทำงานเป็นระยะ ๆ หลังจากติดตั้งอัปเดตด้านความปลอดภัยสำหรับ Exchange Server 2016 และ Exchange Server 2019 ในเดือนพฤศจิกายน

    วันนี้ (27 พฤศจิกายน 2024) ทีมงาน Exchange ได้แนะนำผู้ดูแลระบบที่ติดตั้งการอัปเดตด้านความปลอดภัยเวอร์ชันแรกของเดือนพฤศจิกายน 2024 (Nov 2024 SUv1) ให้ติดตั้งการอัปเดตที่ออกใหม่อีกครั้งในเดือนพฤศจิกายน 2024 (Nov 2024 SUv2) ซึ่งมีการแก้ไขปัญหาการส่งอีเมลใน environments ที่ได้รับผลกระทบแล้ว

    ทั้งนี้ บริษัทได้แชร์ตารางดังต่อไปนี้ ซึ่งให้ข้อมูลโดยละเอียดเกี่ยวกับการดำเนินการที่ผู้ดูแลระบบต้องทำตามใน environment ของตนเอง

    Microsoft ยังแนะนำให้ผู้ดูแลระบบเรียกใช้สคริปต์ Exchange Health Checker หลังจากติดตั้งการอัปเดตด้านความปลอดภัย เพื่อช่วยตรวจสอบปัญหาการกำหนดค่า ซึ่งอาจส่งผลต่อประสิทธิภาพ และตรวจสอบว่ามีขั้นตอนเพิ่มเติมที่จำเป็นหรือไม่

    Microsoft ระบุเพิ่มเติมเมื่อวันอังคารว่า "เซิร์ฟเวอร์ที่ได้รับการอัปเดตอัตโนมัติจาก Windows Update จะพบแพตซ์ Nov 2024 SUv2 ของเดือนพฤศจิกายน 2024 ให้ใช้งาน"

    Microsoft ระบุเพิ่มเติมว่า "เราได้เลื่อนการปล่อย Nov 2024 SUv2 บน Microsoft / Windows Update ออกไปจนถึงเดือนธันวาคม เพื่อป้องกันไม่ให้เซิร์ฟเวอร์ติดตั้ง Nov 2024 SUv2 อัตโนมัติในช่วงวันหยุด Thanksgiving ของสหรัฐอเมริกา"

    โดยแพ็กเกจ Nov 2024 SUv2 ได้เพิ่มการตรวจสอบที่ละเอียดมากขึ้นในการตรวจจับ P2 FROM header ที่ไม่เป็นไปตามมาตรฐาน RFC ซึ่งถูกออกแบบมาเพื่อแจ้งเตือนอีเมลที่เป็นอันตราย ที่ต้องสงสัยว่ามีการโจมตีผ่านช่องโหว่ Exchange Server (CVE-2024-49040) ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถปลอมแปลงผู้ส่งให้ดูมีความน่าเชื่อถือเพื่อทำให้อีเมลที่อันตรายมีประสิทธิภาพมากขึ้น

    Microsoft ระบุว่าการตรวจจับการโจมตีจากช่องโหว่ CVE-2024-49040 และการแจ้งเตือนทางอีเมลจะถูกเปิดใช้งานเป็นค่า default ในเซิร์ฟเวอร์ทั้งหมดที่ผู้ดูแลระบบเปิดการตั้งค่าแบบ secure by default

Ref : bleepingcomputer.com

ช่องโหว่ Zero-days ใน Firefox และ Windows กำลังถูกโจมตีจากกลุ่มผู้ไม่ประสงค์ดี RomCom จากรัสเซีย

    กลุ่มอาชญากรรมทางไซเบอร์ RomCom จากรัสเซีย กำลังใช้ช่องโหว่แบบ Zero-Days 2 รายการในการโจมตีครั้งล่าสุด โดยมุ่งเป้าไปที่ผู้ใช้งาน Firefox และ Tor Browser ในยุโรป และอเมริกาเหนือ

• ช่องโหว่ที่ 1 CVE-2024-9680: เป็นช่องโหว่แบบ use-after-free ในฟีเจอร์ animation timeline ของ Firefox ซึ่งช่วยให้สามารถเรียกใช้โค้ดใน sandbox ของเว็บเบราว์เซอร์ ได้ โดย Mozilla ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อวันที่ 9 ตุลาคม 2024 เพียงหนึ่งวันหลังจากที่ ESET รายงานปัญหานี้
• ช่องโหว่ที่ 2 CVE-2024-49039: ช่องโหว่การยกระดับสิทธิ์ ใน Windows Task Scheduler service ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้โค้ดนอก sandbox ของ Firefox ได้ Microsoft ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อต้นเดือนที่ผ่านมา เมื่อวันที่ 12 พฤศจิกายน 2024

    RomCom ใช้ช่องโหว่ทั้ง 2 รายการในการโจมตีแบบ Zero-Days ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน เป้าหมายของพวกเขาเพียงแค่ให้ผู้ใช้งานเข้าชมเว็บไซต์ที่ถูกควบคุม และปรับแต่งโดยผู้ไม่ประสงค์ดีก็เพียงพอที่จะทำให้มีการดาวน์โหลด และรันแบ็คดอร์ RomCom บนระบบของเหยื่อ

    จากชื่อของหนึ่งใน JavaScript ที่ใช้ในการโจมตี (main-tor.js) แสดงให้เห็นว่าผู้ไม่ประสงค์ดีได้มุ่งเป้าไปที่ผู้ใช้งาน Tor Browser ด้วย (เวอร์ชัน 12 และ 13 ตามการวิเคราะห์ของ ESET)

    Damien Schaeffer นักวิจัยจาก ESET ระบุว่า "กระบวนการโจมตีประกอบด้วยเว็บไซต์ปลอมที่จะเปลี่ยนเส้นทางของเหยื่อไปยังเซิร์ฟเวอร์ที่มีโค้ดสำหรับการโจมตี และหากการโจมตีสำเร็จ shell code จะถูกรันเพื่อดาวน์โหลด และรันแบ็คดอร์ RomCom"

    "แม้เราไม่ทราบว่าลิงก์ไปยังเว็บไซต์ปลอมนั้นถูกเผยแพร่ได้อย่างไร แต่หากมีการเข้าถึงหน้าเว็บด้วยเบราว์เซอร์ที่มีช่องโหว่ เพย์โหลดจะถูกดาวน์โหลด และรันบนคอมพิวเตอร์ของเหยื่อโดยไม่ต้องมีการโต้ตอบใด ๆ จากผู้ใช้"

    เมื่อมัลแวร์ถูกติดตั้งบนอุปกรณ์ของเหยื่อแล้ว ผู้ไม่ประสงค์ดีสามารถรันคำสั่ง และติดตั้งเพย์โหลดอื่นเพิ่มเติมได้

    ESET ระบุเพิ่มเติมว่า "การเชื่อมโยงช่องโหว่ Zero-Day 2 รายการเข้าด้วยกันช่วยให้ RomCom มีโค้ดโจมตีที่ไม่ต้องการการโต้ตอบจากผู้ใช้ ความซับซ้อนในระดับนี้แสดงให้เห็นถึงความตั้งใจ และความสามารถของผู้ไม่ประสงค์ดีในการพัฒนาความสามารถที่มากขึ้น"

    นอกจากนี้ จำนวนความพยายามโจมตีที่ประสบความสำเร็จของแบ็คดอร์ RomCom บนอุปกรณ์ของเหยื่อ ทำให้ ESET เชื่อว่านี่เป็นแคมเปญการโจมตีในวงกว้าง ESET ระบุว่า "จำนวนเป้าหมายที่อาจได้รับผลกระทบมีตั้งแต่เหยื่อเพียงรายเดียวต่อประเทศไปจนถึงสูงสุดถึง 250 ราย ตามข้อมูลจากระบบ telemetry ของ ESET"

    เหตุการณ์นี้ไม่ใช่ครั้งแรกที่ RomCom ใช้ช่องโหว่ Zero-Day ในการโจมตี โดยในเดือนกรกฎาคม 2023 ผู้ไม่ประสงค์ดีได้ใช้ช่องโหว่ Zero-Day (CVE-2023-36884) ในผลิตภัณฑ์หลายตัวของ Windows และ Office เพื่อโจมตีองค์กรที่เข้าร่วมการประชุม NATO Summit ที่เมืองวิลนีอุส ประเทศลิทัวเนีย

    RomCom (ซึ่งยังถูกติดตามในชื่อ Storm-0978, Tropical Scorpius หรือ UNC2596) โดยเชื่อมโยงกับแคมเปญที่มีแรงจูงใจทางการเงิน, การโจมตีด้วยแรนซัมแวร์ และการขู่กรรโชก รวมถึงการขโมยข้อมูล credential (ซึ่งน่าจะมีเป้าหมายในการสนับสนุนการดำเนินการด้านข่าวกรอง)

    กลุ่มผู้ไม่ประสงค์ดียังถูกเชื่อมโยงกับการโจมตีด้วยแรนซัมแวร์ Industrial Spy ซึ่งหลังจากนั้นได้เปลี่ยนไปใช้แรนซัมแวร์ Underground

ตามรายงานของ ESET ตอนนี้ RomCom กำลังมุ่งเป้าไปที่องค์กรในยูเครน ยุโรป และอเมริกาเหนือ สำหรับการโจมตีเพื่อจารกรรมข้อมูลในหลากหลายอุตสาหกรรม ซึ่งรวมถึงหน่วยงานรัฐบาล, กลาโหม, พลังงาน, ยา และประกันภัย

Ref : bleepingcomputer.com

พบช่องโหว่ระดับ Critical ในปลั๊กอินป้องกันสแปมของ WordPress เว็บไซต์กว่า 200,000+ แห่งอาจถูกโจมตี

    VMware ได้เปิดเผยช่องโหว่ระดับ Critical หลายรายการในผลิตภัณฑ์ Aria Operations โดยช่องโหว่ที่อันตรายที่สุดเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้คำแนะนำเกี่ยวกับช่องโหว่นี้มีหมายเลข VMSA-2024-0022 ถูกเผยแพร่เมื่อวันที่ 26 พฤศจิกายน 2024 โดยมีช่องโหว่ 5 รายการ ดังนี้

• CVE-2024-38830 (คะแนน CVSS v3 7.8/10): เป็นช่องโหว่การยกระดับสิทธิ์แบบ local
• CVE-2024-38831 (คะแนน CVSS v3 7.8/10): เป็นช่องโหว่การยกระดับสิทธิ์แบบ local อีกหนึ่งรายการ
• CVE-2024-38832 (คะแนน CVSS v3 7.1/10): เป็นช่องโหว่ Stored Cross-Site Scripting (XSS)
• CVE-2024-38833 (คะแนน CVSS v3 6.8/10): เป็นช่องโหว่ Stored XSS

    ช่องโหว่การยกระดับสิทธิ์แบบ local ทั้งสองรายการ (CVE-2024-38830 และ CVE-2024-38831) ถือเป็นช่องโหว่ที่น่ากังวลเป็นพิเศษ

    ช่องโหว่การยกระดับสิทธิ์แบบ local ดังกล่าว สามารถทำให้ผู้โจมตีที่มีสิทธิ์การเข้าถึงในระดับผู้ดูแลระบบ สามารถยกระดับสิทธิ์เป็นผู้ใช้ root บนอุปกรณ์ที่รัน VMware Aria Operations ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบที่ได้รับผลกระทบทั้งหมดได้

    ช่องโหว่ Stored XSS (CVE-2024-38832, CVE-2024-38833, และ CVE-2024-38834) สามารถทำให้ผู้โจมตีที่มีสิทธิ์ในการแก้ไข components ต่าง ๆ (เช่น มุมมอง, เทมเพลตอีเมล และการตั้งค่าผู้ให้บริการคลาวด์) สามารถ inject สคริปต์ที่เป็นอันตรายได้ โดยสคริปต์เหล่านี้อาจถูกเรียกใช้เมื่อมีผู้ใช้รายอื่นเข้าถึงพื้นที่ที่ได้รับผลกระทบของแอปพลิเคชัน

    ช่องโหว่เหล่านี้ส่งผลกระทบต่อ VMware Aria Operations เวอร์ชัน 8.x ถึง 8.18.1 และ VMware Cloud Foundation เวอร์ชัน 4.x, 5.x

Patches Released

    VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่เหล่านี้แล้ว โดยผู้ใช้งานควรรีบอัปเดตเป็น VMware Aria Operations เวอร์ชัน 8.18.2 ซึ่งจะแก้ไขช่องโหว่ทั้ง 5 รายการข้างต้น และปัจจุบันยังไม่มีวิธีการลดผลกระทบด้วยวิธีการอื่น ดังนั้นองค์กรควรจะต้องทำการอัปเดตแพตซ์โดยเร็วที่สุด

1. Update Immediately: องค์กรที่ใช้ VMware Aria Operations ควรทำการอัปเดตเป็นเวอร์ชัน 8.18.2
2. Access Control: ใช้การควบคุมการเข้าถึงที่เข้มงวดเพื่อจำกัดจำนวนผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบ
3. Monitor Systems: เฝ้าระวังระบบอย่างใกล้ชิด เพื่อตรวจสอบพฤติกรรมที่น่าสงสัย ซึ่งอาจบ่งชี้ถึงความพยายามในการโจมตี
4. Security Audits: ทำการตรวจสอบความปลอดภัยอย่างละเอียดเพื่อให้มั่นใจว่าไม่มีการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตในระบบ

    VMware ได้ให้เครดิตนักวิจัยด้านความปลอดภัยหลายราย รวมถึงกลุ่ม MoyunSec Vlab, Bing, และสมาชิกของทีม Michelin CERT ที่รายงานช่องโหว่เหล่านี้

Ref : thehackernews.com

การอัปเดตเฟิร์มแวร์ของ QNAP ทำให้ผู้ดูแลระบบ NAS ไม่สามารถเข้าถึงอุปกรณ์ได้

    การอัปเดตเฟิร์มแวร์ล่าสุดที่ถูกส่งไปยังอุปกรณ์ QNAP Network Attached Storage (NAS) ทำให้ผู้ดูแลระบบหลายรายไม่สามารถเข้าถึงระบบจัดเก็บข้อมูลของตนได้ ทาง QNAP ได้ถอนการอัปเดตเฟิร์มแวร์ และปล่อยเวอร์ชันที่ได้รับการแก้ไขแล้ว แต่การตอบสนองของบริษัททำให้บางผู้ใช้งานรู้สึกไม่มั่นใจในอุปกรณ์ที่ใช้เก็บข้อมูล

  ตามข้อมูลที่พบใน QNAP community thread และจากประกาศของ QNAP พบว่า ระบบปฏิบัติการ QNAP, QTS ได้รับการอัปเดตเวอร์ชัน 5.2.2.2950, build 20241114 ประมาณวันที่ 19 พฤศจิกายน 2024 หลังจากที่ QNAP "ได้รับแจ้งจากผู้ใช้งานบางรายที่รายงานปัญหาเกี่ยวกับการทำงานของอุปกรณ์หลังจากการติดตั้งแพตซ์" บริษัทระบุว่า ได้ถอนการอัปเดตที่มีปัญหาออก เพื่อทำการตรวจสอบอย่างละเอียด และได้ปล่อยเวอร์ชันที่ได้รับการแก้ไขแล้วภายใน 24 ชั่วโมง

    จาก community thread พบว่า ผู้ใช้งานจากระบบต่าง ๆ ประสบปัญหามากกว่ารายชื่อที่ QNAP ได้ระบุไว้ เช่น รุ่น Limited ของซีรีส์ TS-x53D และซีรีส์ TS-x51 ปัญหาที่รายงานเพิ่มเติม ได้แก่ ผู้ดูแลระบบถูกปฏิเสธการเข้าสู่ระบบ, อุปกรณ์มีปัญหาในระหว่างการบูต และมีการแจ้งว่าไม่ได้ติดตั้ง Python เพื่อรันแอปพลิเคชัน และบริการบางอย่าง

    QNAP แจ้งว่า ผู้ใช้งานที่ได้รับผลกระทบ สามารถทำการดาวน์เกรดอุปกรณ์ของตนเองได้ (คาดว่าจะต้องดาวน์เกรดอุปกรณ์ก่อน แล้วจึงอัปเกรดอีกครั้งไปยังเวอร์ชันที่ได้รับการแก้ไข) หรือติดต่อฝ่าย support เพื่อขอความช่วยเหลือ อย่างไรก็ตาม การตอบสนองจากฝ่าย support ของ QNAP ตามที่ผู้ใช้รายงานในฟอรั่ม และโซเชียลมีเดียยังไม่สอดคล้องกับระดับความรุนแรงของการไม่สามารถเข้าถึงระบบสำรองข้อมูลทั้งหมด

    การอัปเดตเฟิร์มแวร์ของ QNAP มีจุดประสงค์ เพื่อปิดช่องโหว่ด้านความปลอดภัยล่าสุดในอุปกรณ์ของพวกเขา โดยอุปกรณ์ของ QNAP ตกเป็นเป้าหมาย และถูกโจมตีอย่างต่อเนื่องจากกลุ่มผู้ไม่หวังดี ช่องโหว่ระดับ Critical ที่พบในเดือนกุมภาพันธ์ 2023 ทำให้เกิดการโจมตีแบบ SQL injections และอาจนำไปสู่การถูกเข้าควบคุมระบบของอุปกรณ์ ส่งผลกระทบกับอุปกรณ์เกือบ 30,000 เครื่องที่พบจากการสแกนเครือข่าย ซึ่งเป็นผลมาจากการโจมตีของ DeadBolt ซึ่งเป็นกลุ่ม Ransomware ที่แพร่กระจายมัลแวร์ไปยังอุปกรณ์ QNAP หลายพันเครื่อง และทำให้ QNAP ต้องดำเนินการอัปเดตฉุกเฉินโดยอัตโนมัติ แม้แต่ลูกค้าที่ปิดการอัปเดตอัตโนมัติก็ตาม

    นักวิจัยด้านความปลอดภัยจาก WatchTowr พบช่องโหว่ 15 รายการในระบบปฏิบัติการ และบริการคลาวด์ของ QNAP และได้แจ้งบริษัทที่เกี่ยวข้องรับทราบ หลังจากที่ QNAP ล้มเหลวในการแก้ไขช่องโหว่บางส่วนเป็นเวลานานเกินกว่าเวลามาตรฐาน 90 วัน WatchTowr จึงจะเปิดเผยผลการวิจัยต่อสาธารณะ พร้อมตั้งชื่อรายงานนี้ว่า "QNAPping at the Wheel"

อุปกรณ์ QNAP เป็นอุปกรณ์จัดเก็บข้อมูลในเครือข่าย ไม่ควรเปิดให้เข้าถึงได้โดยตรงจากอินเทอร์เน็ต ควรเชื่อมต่อผ่าน VPN หรือมาตรการรักษาความปลอดภัยอื่น ๆ เท่านั้น

Ref : arstechnica.com

ผู้ไม่ประสงค์ดีชาวจีนใช้ช่องโหว่ Zero-Day ใน Fortinet VPN เพื่อขโมยข้อมูล Credentials

    พบผู้ไม่ประสงค์ดีชาวจีนใช้ชุดเครื่องมือ post-exploitation toolkit ในชื่อ "DeepData" เพื่อโจมตีช่องโหว่ Zero-Day ใน FortiClient Windows VPN client เพื่อโมยข้อมูล credentials

    โดยช่องโหว่ Zero-Day ดังกล่าว ทำให้ ผู้ไม่ประสงค์ดีสามารถ dump ข้อมูล credentials จากหน่วยความจำหลังจากที่ผู้ใช้งานผ่านการยืนยันตัวตนผ่านอุปกรณ์ VPN

    นักวิจัยของ Volexity รายงานว่า พวกเขาพบช่องโหว่นี้ในช่วงต้นฤดูร้อน และรายงานให้ Fortinet ทราบเมื่อวันที่ 18 กรกฎาคม 2024 และ Fortinet ยอมรับช่องโหว่ดังกล่าวเมื่อวันที่ 24 กรกฎาคม 2024 แต่ช่องโหว่ยังคงไม่ได้รับการแก้ไข และยังไม่มีการระบุหมายเลข CVE ให้กับช่องโหว่ดังกล่าว

การกำหนดเป้าหมายการโจมตีไปยังข้อมูลประจำตัว VPN

    การโจมตีที่ถูกดำเนินการโดย ผู้ไม่ประสงค์ดีชาวจีน ที่มีชื่อว่า "BrazenBamboo" ซึ่งเป็นที่รู้จักกันดีในการพัฒนา และใช้งานมัลแวร์ขั้นสูงที่โจมตีระบบ Windows, macOS, iOS และ Android

    Volexity อธิบายว่า ผู้ไม่ประสงค์ดีได้ใช้มัลแวร์จำนวนมากในการโจมตี รวมถึงมัลแวร์ LightSpy และ DeepPost

    LightSpy เป็นสปายแวร์ที่ทำงานได้หลายแพลตฟอร์ม สำหรับการรวบรวมข้อมูล keylogging การขโมยข้อมูล browser credential และการดักจับการเชื่อมต่อ

DeepPost เป็นมัลแวร์ที่ใช้เพื่อขโมยข้อมูลจากอุปกรณ์ที่ถูกโจมตี

    ทั้งนี้ รายงานของ Volexity ได้มุ่งเน้นไปที่ DeepData ซึ่งเป็นเครื่องมือ post-exploitation tool สำหรับ Windows ซึ่งใช้ plugins หลายตัวเพื่อขโมยข้อมูล

    โดย DeepData เวอร์ชันล่าสุด ที่พบเมื่อฤดูร้อน มี FortiClient plugin ที่ใช้โจมตีช่องโหว่ Zero-Day เพื่อขโมยข้อมูล credentials (ชื่อผู้ใช้ และรหัสผ่าน) และข้อมูล VPN server

ซึ่ง DeepData จะค้นหา และถอดรหัส JSON objects ในหน่วยความจำของ FortiClient process และขโมยข้อมูลเหล่านี้ส่งไปยัง C2 Server ของ ผู้ไม่ประสงค์ดีโดยใช้ DeepPost

    ในการโจมตีเพื่อเจาะ VPN accounts จะทำให้กลุ่ม BrazenBamboo สามารถเข้าถึงเครือข่ายองค์กรได้ จากนั้นจะทำการแพร่กระจายต่อไปในระบบ เพื่อเข้าถึงระบบที่มีความสำคัญ และขยายขอบเขตของแคมเปญการโจมตีออกไป

ช่องโหว่ Zero-Day ใน FortiClient

    Volexity พบว่า DeepData ใช้ช่องโหว่ Zero-Day ใน FortiClient เพื่อโจมตีเป้าหมายในช่วงกลางเดือนกรกฎาคม 2024 ซึ่งคล้ายกับช่องโหว่ในปี 2016 (ไม่มี CVE เช่นกัน) เป็นช่องโหว่ใน hardcoded memory ที่ทำให้ข้อมูลรั่วไหล

    อย่างไรก็ตาม ช่องโหว่ที่พบในปี 2024 ถือเป็นช่องโหว่ใหม่ และแยกจากช่องโหว่อื่น และใช้โจมตีได้เฉพาะกับเวอร์ชันที่เผยแพร่ล่าสุดเท่านั้น, รวมถึงเวอร์ชันล่าสุด, v7.4.0 ซึ่งแสดงให้เห็นว่าช่องโหว่นี้อาจเชื่อมโยงกับการเปลี่ยนแปลงล่าสุดของซอฟต์แวร์

    Volexity อธิบายว่า ช่องโหว่ดังกล่าวเกิดจากความผิดพลาดของ FortiClient ในการ clear ข้อมูลที่มีความสำคัญออกจากหน่วยความจำ รวมถึงชื่อผู้ใช้, รหัสผ่าน, VPN gateway และพอร์ต ซึ่งยังคงอยู่ใน JSON objects ในหน่วยความจำ

    จนกว่า Fortinet จะยืนยันช่องโหว่ และออกแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าว ทาง Fortinet ได้แนะนำให้ทำการจำกัดการเข้าถึง VPN และตรวจสอบพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ

Ref : bleepingcomputer.com

ช่องโหว่ RCE ระดับ Critical ใน VMware vCenter Server กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

    Broadcom ออกมาแจ้งเตือนว่าพบผู้ไม่ระสงค์ดีได้ใช้ช่องโหว่ VMware vCenter Server จำนวน 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical

• CVE-2024-38812 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Heap Overflow ในการใช้งาน DCE/RPC protocol ของ vCenter ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ที่มี vCenter รวมถึง VMware vSphere และ VMware Cloud Foundation ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest
• CVE-2024-38813 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Privilege Escalation ที่ทำให้สามารถยกระดับสิทธิ์ไปยังระดับ Root โดยใช้ network packet ที่สร้างขึ้นมาเป็นพิเศษได้ ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest

    Broadcom ได้ออกแพตซ์อัปเดตด้านความปลอดภัยในเดือนกันยายน 2024 เพื่อแก้ไขช่องโหว่ทั้ง 2 รายการ ต่อมา Broadcom ได้อัปเดตคำเตือนด้านความปลอดภัยที่ระบุว่าแพตช์ CVE-2024-38812 เดิมนั้น ไม่สามารถแก้ไขช่องโหว่ได้อย่างสมบูรณ์ และแนะนำอย่างยิ่งให้ผู้ดูแลระบบใช้แพตช์ตัวใหม่ เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว เนื่องจากไม่มีวิธีอื่นในการลดผลกระทบ

    รวมถึง Broadcom ยังได้ออกคำแนะนำพร้อมข้อมูลเพิ่มเติม เกี่ยวกับการอัปเดตด้านความปลอดภัยบนระบบที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบต่อระบบที่ได้อัปเกรดไปแล้ว

    ในเดือนมิถุนายน 2024 บริษัทได้แก้ไขช่องโหว่ vCenter Server RCE ที่คล้ายคลึงกัน (CVE-2024-37079) ซึ่งผู้ไม่ระสงค์ดีสามารถโจมตีได้ผ่าน network packet ที่สร้างขึ้นมาเป็นพิเศษเช่นเดียวกัน

กลุ่ม Ransomware และกลุ่มผู้ไม่ระสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาล มักมุ่งเป้าหมายการโจมตีไปยังช่องโหว่ VMware vCenter ตัวอย่างเช่น ในเดือนมกราคม Broadcom เปิดเผยว่าผู้ไม่ระสงค์ดีของรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ของ vCenter Server (CVE-2023-34048) ในการโจมตีเป้าหมาย โดยเป็นช่องโหว่ Zero-Day ตั้งแต่ช่วงปลายปี 2021 เป็นอย่างน้อย

    กลุ่มผู้ไม่ระสงค์ดี(ถูกติดตามโดย Mandiant ในชื่อ UNC3886) ได้ใช้ช่องโหว่เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ผ่านทาง vSphere Installation Bundles (VIB) ที่สร้างขึ้น

Ref : bleepingcomputer.com

จับรถตู้ส่งข้อความ SMS หลอกลวงกว่า 1 ล้านข้อความ

    ตำรวจไทย (DSI) พบรถตู้และจับกุมคนขับที่ใช้เครื่อง SMS Blaster เพื่อส่งข้อความฟิชชิง (Phishing) มากกว่า 100,000 ข้อความต่อชั่วโมงไปยังผู้คนในกรุงเทพฯ

    โดยอุปกรณ์ดังกล่าวมีระยะการทำงานประมาณ 3 กิโลเมตร (10,000 ฟุต) และสามารถส่งข้อความได้ในอัตรา 100,000 ข้อความต่อชั่วโมง ในช่วงเวลา 3 วัน แก๊งมิจฉาชีพได้ส่งข้อความ SMS เกือบ 1 ล้านข้อความไปยังอุปกรณ์มือถือในรัศมี โดยเนื้อหาข้อความระบุว่า "คะแนนของคุณ 9,268 กำลังจะหมดอายุ! รีบแลกของขวัญของคุณตอนนี้เลย"

    ข้อความที่ส่งมีลิงก์ไปยังเว็บไซต์ฟิชชิงซึ่งมีคำว่า "aisthailand" ใน URL เพื่อแอบอ้างเป็นบริษัท แอดวานซ์ อินโฟร์ เซอร์วิส (AIS) ซึ่งเป็นผู้ให้บริการโทรศัพท์มือถือรายใหญ่ที่สุดในประเทศไทย

ผู้ใช้ที่คลิกลิงก์ฟิชชิงดังกล่าวจะถูกนำไปยังหน้าเว็บที่ขอข้อมูลบัตรเครดิต ซึ่งข้อมูลนี้จะถูกส่งไปยังมิจฉาชีพเพื่อใช้ทำธุรกรรมโดยไม่ได้รับอนุญาตในต่างประเทศ แก๊งมิจฉาชีพ ซึ่งมีทั้งสมาชิกในประเทศไทยและต่างประเทศ ร่วมกันประสานงานผ่านช่องทาง Telegram ส่วนตัว โดยใช้ช่องทางนี้ในการตัดสินใจเนื้อหาของข้อความที่ส่ง

    ตำรวจได้จับกุมชายชาวจีนอายุ 35 ปี ซึ่งเป็นคนขับรถตู้ที่ติดตั้งเครื่อง SMS Blaster และกำลังเร่งติดตามตัวผู้ต้องสงสัยอีกอย่างน้อย 2 คนที่เป็นสมาชิกของแก๊งนี้

    มีการรายงานว่า AIS ได้ให้ความช่วยเหลือตำรวจในการระบุตำแหน่งของเครื่องส่งข้อความ SMS Blaster อย่างไรก็ตาม AIS ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับวิธีการที่ใช้ในการติดตาม เพื่อป้องกันไม่ให้ผู้ส่งสแปมปรับเปลี่ยนกลยุทธ์ของพวกเขา

    แม้ว่าข้อความฟิชชิงเหล่านี้มักจะมีอัตราความสำเร็จต่ำ เนื่องจากประชาชนมีความตื่นตัวมากขึ้น แต่ด้วยปริมาณการส่งที่สูงและการมุ่งเป้าหมายในพื้นที่ที่มีประชากรหนาแน่น ก็สามารถสร้างรายได้มหาศาลให้กับผู้กระทำผิดได้

Ref : bleepingcomputer.com

อีเมลฟิชชิงเริ่มใช้ไฟล์แนบ SVG มากขึ้นเพื่อหลีกเลี่ยงการตรวจจับ

    ผู้ไม่ประสงค์ดีเริ่มใช้ไฟล์แนบ Scalable Vector Graphics (SVG) มากขึ้นเพื่อแสดงแบบฟอร์มฟิชชิง หรือแพร่กระจายมัลแวร์ และหลีกเลี่ยงการตรวจจับ

    ไฟล์รูปภาพส่วนใหญ่บนเว็บไซต์เป็นไฟล์ JPG หรือ PNG ซึ่งจะประกอบไปด้วยตารางของสี่เหลี่ยมเล็ก ๆ ที่เรียกว่า พิกเซล (pixel) โดยแต่ละพิกเซลมีค่าสีเฉพาะ และพิกเซลเหล่านี้จะรวมกันเป็นภาพทั้งหมด

SVG หรือ Scalable Vector Graphics จะแสดงรูปภาพในรูปแบบที่แตกต่างออกไป เนื่องจากแทนที่จะใช้พิกเซล ภาพจะถูกสร้างขึ้นด้วยเส้น, รูปร่าง และข้อความที่อธิบายไว้ในสูตรทางคณิตศาสตร์ในโค้ด

ตัวอย่างเช่น ข้อความต่อไปนี้จะสร้างสี่เหลี่ยมผืนผ้า, วงกลม, ลิงก์ และข้อความ

<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">

    <!-- A rectangle -->

    <rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />

    <!-- A circle -->

    <circle cx="160" cy="40" r="40" fill="red" />

    <!-- A line -->

    <line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />

    <!-- A text -->

    <text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>

</svg>

เมื่อเปิดไฟล์ในเบราว์เซอร์ ไฟล์จะสร้างกราฟิกที่อธิบายไว้ในข้อความข้างต้น

    เนื่องจากรูปภาพเหล่านี้เป็น vector images มันจะปรับขนาดได้โดยอัตโนมัติ โดยไม่สูญเสียคุณภาพของรูปภาพ หรือรูปทรง ทำให้เหมาะกับการใช้งานในแอปพลิเคชันเว็บที่อาจมีความละเอียดที่แตกต่างกัน

การใช้ไฟล์แนบ SVG เพื่อหลีกเลี่ยงการตรวจจับ

    การใช้ไฟล์แนบ SVG ในแคมเปญฟิชชิงไม่ใช่เรื่องใหม่ โดยผู้ไม่ระสงค์ดีเริ่มใช้ไฟล์ SVG ในแคมเปญฟิชชิงมากขึ้น ตามข้อมูลจากนักวิจัยด้านความปลอดภัย MalwareHunterTeam ซึ่งได้แชร์ตัวอย่างล่าสุดกับ BleepingComputer

    แคมเปญอื่น ๆ ใช้ไฟล์แนบ SVG และ JavaScript ที่ฝังไว้ เพื่อทำการเปลี่ยนเส้นทางเบราว์เซอร์ไปยังเว็บไซต์ที่มีแบบฟอร์มฟิชชิงเมื่อเปิดภาพ

    ปัญหาคือเนื่องจากไฟล์เหล่านี้ส่วนใหญ่เป็นแค่การแทนค่าภาพในรูปแบบข้อความ ทำให้ไม่ถูกตรวจจับโดยซอฟต์แวร์ด้านความปลอดภัย จากตัวอย่างที่พบโดย BleepingComputer และอัปโหลดไปยัง VirusTotal พบว่า อย่างมากที่สุดจะมีการตรวจจับแค่หนึ่ง หรือสองผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัย

    ด้วยเหตุนี้ การได้รับไฟล์แนบ SVG จึงไม่ใช่เรื่องปกติสำหรับการใช้งานอีเมล และควรพิจารณาว่าเป็นเหตุการณ์ที่ผิดปกติทันทีเว้นแต่กรณีที่คุณเป็นนักพัฒนาซอฟต์แวร์ และอาจจะเป็นไปได้ที่ได้รับไฟล์แนบประเภทนี้ แต่การลบอีเมลเมื่อได้รับไฟล์แนบเหล่านี้จะเป็นวิธีการที่ปลอดภัยที่สุด

Ref : bleepingcomputer.com

ผู้ไม่ประสงค์ดีใช้ส่วนเสริม Extended file attributes ของเครื่องที่เป็น macOS เพื่อซ่อน Source Code ที่เป็นอันตราย

    ผู้ไม่ประสงค์ดีกำลังใช้เทคนิคใหม่ที่อาศัยการใช้ extended attributes สำหรับไฟล์ใน macOS เพื่อส่งโทรจันตัวใหม่ที่นักวิจัยเรียกว่า RustyAttr

    ผู้ไม่ประสงค์ดีใช้วิธีการซ่อนโค้ดที่เป็นอันตรายไว้ในข้อมูล metadata ของไฟล์ที่สร้างขึ้นเอง และยังใช้เอกสาร PDF ปลอมพื่อช่วยหลีกเลี่ยงการตรวจจับ

    เทคนิคใหม่นี้คล้ายคลึงกับวิธีที่ Bundlore adware ได้มีการซ่อนเพย์โหลดใน Resource forks เพื่อซ่อนเพย์โหลดสำหรับ macOS ในปี 2020 ซึ่งนักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Group-IB เป็นผู้ค้นพบเทคนิคนี้ในตัวอย่างมัลแวร์บางส่วนที่พบเห็นได้ทั่วไป

    จากการวิเคราะห์ และเนื่องจากไม่สามารถยืนยันตัวตนของเหยื่อได้ นักวิจัยจึงเชื่อมโยงตัวอย่างมัลแวร์นี้กับกลุ่มผู้ไม่ประสงค์ดี Lazarus ของเกาหลีเหนือ โดยเชื่อว่าผู้ไม่ประสงค์ดีอาจกำลังทดลองใช้โซลูชันการส่งมัลแวร์รูปแบบใหม่

    วิธีการนี้โดยทั่วไปไม่ค่อยใช้กัน และได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพในการหลีกเลี่ยงการตรวจจับ เนื่องจากไม่มีผู้ให้บริการรายใดบนแพลตฟอร์ม Virus Total ที่สามารถตรวจพบไฟล์ที่เป็นอันตรายได้

การซ่อนโค้ดใน file attributes

    Extended Attributes ใน macOS เป็นข้อมูล metadata ที่ซ่อนอยู่ โดยมักจะเชื่อมโยงกับไฟล์ และไดเรกทอรี ซึ่งไม่สามารถมองเห็นได้โดยตรงใน Finder หรือผ่าน terminal แต่สามารถ extracted ออกมาได้โดยใช้คำสั่ง 'xattr' เพื่อแสดง, แก้ไข หรือลบ extended attributes

ในกรณีการโจมตีของ RustyAttr ชื่อของ Extended Attributes คือ 'test' และมี shell script ซ่อนอยู่

    แอปที่เป็นอันตรายซึ่งจัดเก็บ Extended Attributes นั้นถูกสร้างขึ้นโดยใช้ Tauri framework ซึ่งผสมผสานเว็บฟรอนต์เอนด์ (HTML, JavaScript) ที่สามารถเรียกใช้ฟังก์ชันบน Rust backend ได้

    เมื่อแอปพลิเคชันทำงาน จะมีการโหลดเว็บเพจที่มี JavaScript (‘preload.js’) ซึ่งดึงข้อมูลมาจากตำแหน่งที่ระบุใน Extended Attributes ที่ชื่อว่า “test” และส่งข้อมูลนั้นไปยังฟังก์ชัน 'run_command' เพื่อให้ shell script ถูกเรียกใช้งาน

    เพื่อไม่ให้ผู้ใช้สงสัยระหว่างกระบวนการนี้ ตัวอย่างบางส่วนจะเปิดไฟล์ PDF ปลอม หรือแสดงข้อความ error

    ไฟล์ PDF จะถูกดึงมาจาก pCloud instance ซึ่งเป็นแพลตฟอร์มสำหรับการแชร์ไฟล์สาธารณะ โดยในนั้นมีไฟล์ที่ใช้ชื่อที่เกี่ยวข้องกับการลงทุนในคริปโตเคอร์เรนซี ซึ่งสอดคล้องกับเป้าหมาย และวัตถุประสงค์ของกลุ่ม Lazarus

    ตัวอย่างแอป RustyAttr บางส่วนของ Group-IB พบว่าสามารถผ่านการทดสอบการตรวจจับจาก Virus Total และแอปพลิเคชันได้รับการ signed ด้วย leaked certificate ซึ่ง Apple ได้ทำการเพิกถอนไปแล้ว

    Group-IB ไม่สามารถดึง และวิเคราะห์ Malware ในขั้นตอนถัดไปได้ แต่พบว่ามีการเชื่อมต่อจาก staging server ไปยังปลายทางที่เป็นโครงสร้างพื้นฐานของกลุ่ม Lazarus เพื่อพยายามดึงข้อมูล Malware

การทดลองหลบเลี่ยงการตรวจจับบน macOS

    กรณีที่รายงานโดย Group-IB มีความคล้ายคลึงอย่างมากกับรายงานล่าสุดจาก SentinelLabs ซึ่งสังเกตเห็นกลุ่มผู้ไม่ประสงค์ดีจากเกาหลีเหนือที่ชื่อ BlueNoroff กำลังทดลองใช้เทคนิคที่คล้ายกัน แต่แตกต่างกันในวิธีการหลีกเลี่ยงการตรวจจับบน macOS

    BlueNoroff ใช้เทคนิคการฟิชชิงในรูปแบบ cryptocurrency-themed เพื่อหลอกล่อเป้าหมายให้ดาวน์โหลดแอปที่เป็นอันตรายซึ่งได้รับการ signed และรับรองแล้ว แอปเหล่านี้ใช้ไฟล์ ‘Info.plist’ ที่ถูกแก้ไข เพื่อสร้างการเชื่อมต่อไปยังโดเมนที่ผู้ไม่ประสงค์ดีควบคุมอยู่อย่างลับ ๆ ซึ่งเป็นแหล่งที่มาของเพย์โหลดในขั้นตอนที่สอง

Ref : bleepingcomputer.com

Microsoft แก้ไขช่องโหว่ Zero-Day บน Windows ที่ถูกนำมาใช้ในการโจมตียูเครน

    ผู้ไม่ประสงค์ดีที่คาดว่าเป็นชาวรัสเซีย มีการตรวจพบในการพยายามใช้ช่องโหว่บนระบบปฏิบัติการ Windows ที่เพิ่งได้รับการแก้ไขในการโจมตีที่มุ่งเป้าหมายไปที่หน่วยงานของยูเครน

• CVE-2024-43451 (คะแนน CVSS 6.5/10 ความรุนแรงระดับ Medium) เป็นช่องโหว่ NTLM Hash Disclosure spoofing ที่สามารถใช้เพื่อขโมย NTLMv2 hash ของผู้ใช้ที่ล็อกอินโดยบังคับให้เชื่อมต่อกับเซิร์ฟเวอร์ที่ควบคุมโดย ผู้ไม่ประสงค์ดีจากระยะไกล (C2 Server) ที่ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ ClearSky

    ClearSky ได้ตรวจพบแคมเปญการโจมตีในเดือนมิถุนายน 2024 หลังจากสังเกตเห็น phishing email ที่ออกแบบมาเพื่อใช้โจมตีในแคมเปญ โดยอีเมลเหล่านี้มี hyperlink ที่จะดาวน์โหลด Internet shortcut file ที่โฮสต์บนเซิร์ฟเวอร์ที่ถูกโจมตีก่อนหน้านี้ (osvita-kp.gov[.]ua) ซึ่งเป็นของแผนกการศึกษา และวิทยาศาสตร์ของสภาเมือง Kamianets-Podilskyi ทั้งนี้เมื่อผู้ใช้โต้ตอบกับ URL file ด้วยการคลิกขวา ลบ หรือย้ายไฟล์ การโจมตีช่องโหว่ก็จะเริ่มขึ้น

    โดยเมื่อเกิดการโต้ตอบกับ URL file การเชื่อมต่อกับ C2 Server จะถูกสร้างขึ้นเพื่อดาวน์โหลด malware payload ซึ่งรวมถึง SparkRAT ที่เป็นเครื่องมือ open-source สำหรับการเข้าถึงจากระยะไกล และใช้งานได้หลายแพลตฟอร์ม ทำให้ ผู้ไม่ประสงค์ดีสามารถควบคุมระบบที่โจมตีได้จากระยะไกล

    ในขณะทำการสืบสวนเหตุการณ์ดังกล่าว นักวิจัยยังได้รับการแจ้งเตือนถึงความพยายามในการขโมย NTLM hash ผ่าน Server Message Block (SMB) protocol ซึ่ง password hash เหล่านี้สามารถนำมาใช้ในการโจมตีแบบ " pass-the-hash " หรือถอดรหัสเพื่อให้ได้รหัสผ่านแบบ plaintext password ของผู้ใช้งานได้

ClearSky ได้แบ่งปันข้อมูลนี้กับทีม Ukraine's Computer Emergency Response Team (CERT-UA) ซึ่งได้เชื่อมโยงการโจมตีเข้ากับกลุ่ม ผู้ไม่ประสงค์ดีชาวรัสเซีย และถูกระบุในชื่อ UAC-0194

    Microsoft ได้แก้ไขช่องโหว่ดังกล่าวไปแล้ว โดยเป็นส่วนหนึ่งของแพตช์ประจำเดือนพฤศจิกายน 2024 และยืนยันการค้นพบของ ClearSky โดยระบุว่าจำเป็นต้องมีการโต้ตอบจากผู้ใช้จึงจะทำให้สามารถโจมตีได้สำเร็จ

    CISA ยังได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities Catalog แล้ว โดยสั่งให้รักษาความปลอดภัยระบบที่มีช่องโหว่บนเครือข่ายภายในวันที่ 3 ธันวาคม 2024 ตามที่กำหนดโดย Binding Operational Directive (BOD) 22-01

    ทั้งนี้ CISA แจ้งเตือนว่าช่องโหว่ประเภทนี้มักเป็นช่องทางการโจมตีของกลุ่ม ผู้ไม่ประสงค์ดีและก่อให้เกิดความเสี่ยงต่อองค์กรของรัฐบาลกลาง

Ref : bleepingcomputer.com

ไมโครซอฟท์ออกอัปเดตแพตช์วันอังคารประจำเดือนพฤศจิกายน 2024 แก้ไขช่องโหว่จำนวน 4 ช่องโหว่ที่เป็น Zero-day และข้อบกพร่องอื่น ๆ อีก 91 รายการ

    วันนี้เป็นวัน Patch Tuesday ของไมโครซอฟท์สำหรับเดือนพฤศจิกายน 2024 ซึ่งมีการออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ทั้งหมด 91 รายการ รวมถึงช่องโหว่ Zero-day 4 รายการ โดยมี 2 รายการที่กำลังถูกโจมตีอย่างต่อเนื่องในปัจจุบัน

    การอัปเดตครั้งนี้ได้แก้ไขช่องโหว่ที่มีความเสี่ยงสูง 4 รายการ ซึ่งแบ่งออกเป็น 2 ช่องโหว่ประเภทการเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution) และ 2 ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privileges)

จำนวนข้อบกพร่องในแต่ละประเภทของช่องโหว่มีดังนี้:

• ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege): 26 รายการ
• ช่องโหว่ข้ามผ่านฟีเจอร์ความปลอดภัย (Security Feature Bypass): 2 รายการ
• ช่องโหว่การเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution): 52 รายการ
• ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure): 1 รายการ
• ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service): 4 รายการ
• ช่องโหว่การปลอมแปลง (Spoofing): 3 รายการ

Windows 11 KB5046617 Link

Windows 10 KB5046613 Link

ช่องโหว่ Zero-day ที่ถูกเปิดเผย 4 รายการ

    การอัปเดต Patch Tuesday ในเดือนนี้ได้แก้ไขช่องโหว่ Zero-day จำนวน 4 รายการ โดยมี 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในปัจจุบัน และ 3 รายการที่ถูกเปิดเผยต่อสาธารณะแล้ว

    ไมโครซอฟท์กำหนดว่าช่องโหว่ Zero-day คือช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะหรือถูกโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ

ช่องโหว่ Zero-day 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในวันนี้ ได้แก่:

• CVE-2024-43451 - ช่องโหว่การปลอมแปลงเพื่อเปิดเผยแฮช NTLM

    ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ทำให้แฮช NTLM ของผู้ใช้สามารถถูกเปิดเผยต่อผู้โจมตีจากระยะไกลได้ โดยที่ผู้ใช้มีปฏิสัมพันธ์กับไฟล์ที่เป็นอันตรายน้อยมาก

    "ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงแฮช NTLMv2 ของผู้ใช้ ซึ่งสามารถใช้เพื่อยืนยันตัวตนในนามของผู้ใช้ได้" ไมโครซอฟท์อธิบาย "เพียงแค่ผู้ใช้คลิกเลือก (คลิกเดียว), ตรวจสอบ (คลิกขวา), หรือกระทำการอื่นใดโดยไม่จำเป็นต้องเปิดหรือเรียกใช้ ก็สามารถกระตุ้นให้เกิดช่องโหว่นี้ได้" ไมโครซอฟท์กล่าวต่อ

ไมโครซอฟท์ระบุว่า Israel Yeshurun จาก ClearSky Cyber Security เป็นผู้ค้นพบช่องโหว่นี้ และได้มีการเปิดเผยต่อสาธารณะ แต่ไม่มีการเปิดเผยรายละเอียดเพิ่มเติม

• CVE-2024-49039 - ช่องโหว่การยกระดับสิทธิ์ใน Windows Task Scheduler

    ช่องโหว่นี้ทำให้แอปพลิเคชันที่ถูกออกแบบพิเศษสามารถถูกเรียกใช้งานเพื่อยกระดับสิทธิ์ขึ้นเป็นระดับ Medium Integrity ได้"ในกรณีนี้ การโจมตีที่ประสบความสำเร็จสามารถทำได้จาก AppContainer ที่มีสิทธิ์ต่ำ ผู้โจมตีสามารถยกระดับสิทธิ์ของตนและรันโค้ดหรือเข้าถึงทรัพยากรที่มีระดับความสมบูรณ์สูงกว่า AppContainer" ไมโครซอฟท์อธิบายไมโครซอฟท์ระบุว่า การใช้ประโยชน์จากช่องโหว่นี้จะทำให้ผู้โจมตีสามารถรันฟังก์ชัน RPC ที่ปกติแล้วจำกัดเฉพาะบัญชีที่มีสิทธิ์สูงได้

    ช่องโหว่นี้ถูกค้นพบโดย Vlad Stolyarov และ Bahare Sabouri จากทีมวิเคราะห์ภัยคุกคามของ Google (Google's Threat Analysis Group) ยังไม่ทราบว่าช่องโหว่นี้ถูกโจมตีในลักษณะใด

ช่องโหว่อีก 3 รายการที่ถูกเปิดเผยต่อสาธารณะ แต่ยังไม่ถูกนำไปใช้ในการโจมตี ได้แก่:

• CVE-2024-49040 - ช่องโหว่การปลอมแปลงใน Microsoft Exchange Server

    ไมโครซอฟท์ได้แก้ไขช่องโหว่ใน Microsoft Exchange ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลงที่อยู่อีเมลของผู้ส่งในอีเมลที่ส่งถึงผู้รับภายในเครือข่ายได้

"ไมโครซอฟท์ทราบถึงช่องโหว่ (CVE-2024-49040) ที่ช่วยให้ผู้โจมตีสามารถโจมตีด้วยการปลอมแปลงบน Microsoft Exchange Server ได้" ตามที่มีการอธิบายในคำแนะนำที่เกี่ยวข้องของไมโครซอฟท์

ช่องโหว่นี้เกิดจากการตรวจสอบส่วนหัว P2 FROM ในกระบวนการส่งอีเมลที่ยังไม่มีการป้องกันอย่างเหมาะสม

    เริ่มตั้งแต่อัปเดตด้านความปลอดภัยของ Microsoft Exchange ในเดือนนี้ ไมโครซอฟท์จะเริ่มตรวจจับและติดธงเตือนอีเมลที่มีการปลอมแปลง พร้อมทั้งแสดงข้อความเตือนในเนื้อหาอีเมลที่ระบุว่า "Notice: This email appears to be suspicious. Do not trust the information, links, or attachments in this email without verifying the source through a trusted method."

    ไมโครซอฟท์ระบุว่าช่องโหว่นี้ถูกค้นพบโดย Slonser จาก Solidlab ซึ่งได้เปิดเผยช่องโหว่นี้ต่อสาธารณะในบทความ (https://blog.slonser.info/posts/email-attacks/)

• CVE-2024-49019 - ช่องโหว่การยกระดับสิทธิ์ใน Active Directory Certificate Services 

    ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็นผู้ดูแลโดเมนได้ โดยใช้ประโยชน์จากเทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ในระบบ

    "ตรวจสอบว่าคุณได้เผยแพร่ใบรับรองที่สร้างขึ้นโดยใช้เทมเพลตใบรับรองรุ่น 1 ที่ตั้งค่า Source of subject name เป็น 'Supplied in the request' และกำหนดสิทธิ์การลงทะเบียน (Enroll permissions) ให้กับกลุ่มบัญชีผู้ใช้ที่กว้างกว่า เช่น ผู้ใช้หรือคอมพิวเตอร์ในโดเมน" ไมโครซอฟท์อธิบาย

    "ตัวอย่างเช่น เทมเพลต Web Server ที่มีอยู่ในระบบ แต่จะไม่เกิดช่องโหว่โดยค่าเริ่มต้นเนื่องจากสิทธิ์การลงทะเบียนที่จำกัด"

    ช่องโหว่นี้ถูกค้นพบโดย Lou Scicchitano, Scot Berner, และ Justin Bollinger จาก TrustedSec ซึ่งได้เปิดเผยช่องโหว่ที่เรียกว่า "EKUwu" ในเดือนตุลาคม

    "โดยการใช้เทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ ผู้โจมตีสามารถสร้าง CSR ที่รวมถึงนโยบายการใช้งานที่ถูกต้องและมีสิทธิพิเศษกว่า Extended Key Usage ที่กำหนดในเทมเพลต" รายงานของ TrustedSec ระบุ

    "สิ่งที่จำเป็นคือสิทธิ์การลงทะเบียนเท่านั้น และช่องโหว่นี้สามารถใช้ในการสร้างใบรับรองสำหรับการยืนยันตัวตนของไคลเอนต์, การร้องขอใบรับรองโดยเอเจนต์, และการลงนามโค้ดโดยใช้เทมเพลต WebServer"

    ในรายการที่ 3 ช่องโหว่ CVE-2024-43451 ก็ได้ถูกเปิดเผยต่อสาธารณะเช่นกัน แต่ยังไม่มีรายละเอียดใด ๆ

การอัปเดตล่าสุดจากบริษัทอื่น ๆ

บริษัทอื่น ๆ ที่ได้ปล่อยอัปเดตหรือคำแนะนำด้านความปลอดภัยในเดือนพฤศจิกายน 2024 ได้แก่:

• Adobe ได้ปล่อยอัปเดตความปลอดภัยสำหรับแอปพลิเคชันหลายรายการ รวมถึง Photoshop, Illustrator, และ Commerce
• Cisco ได้ออกอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ เช่น โทรศัพท์ Cisco, Nexus Dashboard, Identity Services Engine และอื่น ๆ
• Citrix ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ใน NetScaler ADC และ NetScaler Gateway รวมถึงอัปเดตสำหรับ Citrix Virtual Apps และ Desktops ซึ่งรายงานโดย Watchtowr
• Dell ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ที่เกี่ยวกับการเรียกใช้งานโค้ดและการข้ามการตรวจสอบในระบบปฏิบัติการ SONiC OS
• D-Link ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรงใน DSL6740C ซึ่งช่วยให้สามารถแก้ไขรหัสผ่านของบัญชีได้
• Google ได้ปล่อย Chrome เวอร์ชัน 131 ซึ่งรวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 12 รายการ โดยไม่มี Zero-day
• Ivanti ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ 25 รายการใน Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), และ Ivanti Secure Access Client (ISAC)
• SAP ได้ปล่อยอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ในวัน Patch Day ของเดือนพฤศจิกายน
• Schneider Electric ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ในผลิตภัณฑ์ Modicon M340, Momentum, และ MC80
• Siemens ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรง 10/10 ใน TeleControl Server Basic ซึ่งติดตามได้ด้วยรหัส CVE-2024-44102

    ด้านล่างนี้คือรายการช่องโหว่ทั้งหมดที่ได้รับการแก้ไขในการอัปเดต Patch Tuesday เดือนพฤศจิกายน 2024 หากต้องการเข้าถึงคำอธิบายฉบับเต็มของแต่ละช่องโหว่และระบบที่ได้รับผลกระทบ สามารถดูรายงานฉบับเต็มได้ที่นี่

Tag	CVE ID	CVE Title	Severity
.NET and Visual Studio	CVE-2024-43499	.NET and Visual Studio Denial of Service Vulnerability	Important
.NET and Visual Studio	CVE-2024-43498	.NET and Visual Studio Remote Code Execution Vulnerability	Critical
Airlift.microsoft.com	CVE-2024-49056	Airlift.microsoft.com Elevation of Privilege Vulnerability	Critical
Azure CycleCloud	CVE-2024-43602	Azure CycleCloud Remote Code Execution Vulnerability	Important
LightGBM	CVE-2024-43598	LightGBM Remote Code Execution Vulnerability	Important
Microsoft Defender for Endpoint	CVE-2024-5535	OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread	Important
Microsoft Edge (Chromium-based)	CVE-2024-10826	Chromium: CVE-2024-10826 Use after free in Family Experiences	Unknown
Microsoft Edge (Chromium-based)	CVE-2024-10827	Chromium: CVE-2024-10827 Use after free in Serial	Unknown
Microsoft Exchange Server	CVE-2024-49040	Microsoft Exchange Server Spoofing Vulnerability	Important
Microsoft Graphics Component	CVE-2024-49031	Microsoft Office Graphics Remote Code Execution Vulnerability	Important
Microsoft Graphics Component	CVE-2024-49032	Microsoft Office Graphics Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49029	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49026	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49027	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49028	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49030	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office SharePoint	ADV240001	Microsoft SharePoint Server Defense in Depth Update	None
Microsoft Office Word	CVE-2024-49033	Microsoft Word Security Feature Bypass Vulnerability	Important
Microsoft PC Manager	CVE-2024-49051	Microsoft PC Manager Elevation of Privilege Vulnerability	Important
Microsoft Virtual Hard Drive	CVE-2024-38264	Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability	Important
Microsoft Windows DNS	CVE-2024-43450	Windows DNS Spoofing Vulnerability	Important
Role: Windows Active Directory Certificate Services	CVE-2024-49019	Active Directory Certificate Services Elevation of Privilege Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-43633	Windows Hyper-V Denial of Service Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-43624	Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability	Important
SQL Server	CVE-2024-48998	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48997	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48993	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49001	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49000	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48999	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49043	Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-43462	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48995	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48994	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-38255	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48996	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-43459	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49002	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49013	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49014	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49011	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49012	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49015	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49018	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49021	Microsoft SQL Server Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49016	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49017	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49010	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49005	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49007	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49003	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49004	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49006	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49009	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49008	SQL Server Native Client Remote Code Execution Vulnerability	Important
TorchGeo	CVE-2024-49048	TorchGeo Remote Code Execution Vulnerability	Important
Visual Studio	CVE-2024-49044	Visual Studio Elevation of Privilege Vulnerability	Important
Visual Studio Code	CVE-2024-49050	Visual Studio Code Python Extension Remote Code Execution Vulnerability	Important
Visual Studio Code	CVE-2024-49049	Visual Studio Code Remote Extension Elevation of Privilege Vulnerability	Moderate
Windows CSC Service	CVE-2024-43644	Windows Client-Side Caching Elevation of Privilege Vulnerability	Important
Windows Defender Application Control (WDAC)	CVE-2024-43645	Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability	Important
Windows DWM Core Library	CVE-2024-43636	Win32k Elevation of Privilege Vulnerability	Important
Windows DWM Core Library	CVE-2024-43629	Windows DWM Core Library Elevation of Privilege Vulnerability	Important
Windows Kerberos	CVE-2024-43639	Windows Kerberos Remote Code Execution Vulnerability	Critical
Windows Kernel	CVE-2024-43630	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows NT OS Kernel	CVE-2024-43623	Windows NT OS Kernel Elevation of Privilege Vulnerability	Important
Windows NTLM	CVE-2024-43451	NTLM Hash Disclosure Spoofing Vulnerability	Important
Windows Package Library Manager	CVE-2024-38203	Windows Package Library Manager Information Disclosure Vulnerability	Important
Windows Registry	CVE-2024-43641	Windows Registry Elevation of Privilege Vulnerability	Important
Windows Registry	CVE-2024-43452	Windows Registry Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43631	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43646	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43640	Windows Kernel-Mode Driver Elevation of Privilege Vulnerability	Important
Windows SMB	CVE-2024-43642	Windows SMB Denial of Service Vulnerability	Important
Windows SMBv3 Client/Server	CVE-2024-43447	Windows SMBv3 Server Remote Code Execution Vulnerability	Important
Windows Task Scheduler	CVE-2024-49039	Windows Task Scheduler Elevation of Privilege Vulnerability	Important
Windows Telephony Service	CVE-2024-43628	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43621	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43620	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43627	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43635	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43622	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43626	Windows Telephony Service Elevation of Privilege Vulnerability	Important
Windows Update Stack	CVE-2024-43530	Windows Update Stack Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43643	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43449	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43637	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43634	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43638	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows VMSwitch	CVE-2024-43625	Microsoft Windows VMSwitch Elevation of Privilege Vulnerability	Critical
Windows Win32 Kernel Subsystem	CVE-2024-49046	Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability	Important

Ref : bleepingcomputer.com