ในเดือนกุมภาพันธ์ของปีที่ผ่านมา Microsoft ได้แก้ไขช่องโหว่ในการอัพเกรดสิทธิ์ Kernel ของ Windows ที่มีความร้ายแรงสูง และหกเดือนต่อมา Microsoft ได้รับแจ้งว่าช่องโหว่ Zero-day
ช่องโหว่ด้านความปลอดภัยถูกติดตามเป็น CVE-2024-21338 โดยนักวิจัยด้านมัลแวร์อาวุโสของ Avast Jan Vojt hiek พบในโปรแกรมควบคุมappid.sys Windows AppLockerและรายงานไปยังMicrosoftในเดือนสิงหาคมปีที่แล้วว่าเป็นช่องโหว่zero-dayที่ใช้งานอยู่
ช่องโหว่นี้ส่งผลกระทบต่อระบบที่ใช้ Windows 10 และ Windows 11 หลายรุ่น (รวมถึงเวอร์ชันล่าสุด) และ Windows Server 2019 และ 2022
หลังจาก 6 เดือนจากการพบช่องโหว่
Avast ยังออกมากล่าวว่าผู้ไม่ประสงค์ดีจากประเทศเกาหลีเหนือกลุ่ม Lazarus ได้ใช้ช่องโหว่ในการโจมตี zero-day ตั้งแต่เดือนสิงหาคม 2023 เพื่อเพิ่มสิทธิ์เข้าถึงระดับ kernel และปิดเครื่องมือรักษาความปลอดภัยเพื่อหลีกเลี่ยงการใช้เทคโนโลยี BYOVD ที่ตรวจจับได้ง่ายขึ้น
การโจมตีนี้จากผู้ไม่ประสงค์ดีในระดับ kernel อาจถูกโจมตีในส่วนซอฟต์แวร์ความปลอดภัยของระบบ ปิดการตรวจจับ แพร่กระจาย Malware เข้าสู่ระบบไฟล์ข้อมูลและระบบเน็ตเวิร์ค ปิดการใช้งานโหมดKernel telemetry
นอกจากนี้ความปลอดภัยของ PPL (protected process light ) ขึ้นอยู่กับขอบเขตของผู้ดูแลระบบไปยังเคอร์เนล โดยผู้ไม่ประสงค์ดีสามารถปลอมแปลงกระบวนการที่ได้รับการป้องกัน หรือเพิ่มการป้องกันไปยังกระบวนการอื่น ๆ อาจมีผลให้ประสิทธิภาพ lsass ที่ได้รับการป้องกันโดย runAsPPL อาจทำให้สามารถหลีกเลี่ยง PPL ทำให้ผู้ไม่ประสงค์ดีสามารถถ่ายโอนข้อมูลไปยังที่ไม่สามารถเข้าถึงได้
กลุ่มผู้ไม่ประสงค์ดี Lazarus ใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้าง Primitives Kernel ที่อ่านและเขียนซึ่งทำให้ rootkit FudModule สามารถดําเนินการที่ kernel ได้โดยตรง
โดยการอัปเดต FudModule ใหม่นี้มีการซ่อนตัวจากระบบ และปรับปรุงคุณลักษณะที่สําคัญรวมถึงเทคโนโลยี rootkit ใหม่ที่ปรับปรุงใหม่นี้เพื่อป้องกันการหลีกเลี่ยงการตรวจจับ และปิดการรักษาความปลอดภัย AhnLab V3, Windows Defender, CrowdStrike Falcon และ the HitmanPro security protections
การวิเคราะห์การโจมตีจาก Avast ยังพบ Malware Trojan RAT ที่ไม่รู้จักก่อนหน้านี้ที่ใช้โดยกลุ่มผู้ไม่ประสงค์ดี Lazarus ซึ่งจะเป็นจุดสนใจ BlackHat Asia ในเดือนเมษายน
โดยทาง Avast แนะนำให้ผู้ใช้งาน Windows ติดตั้ง Patch Update ประจำเดือนกุมภาพันธ์ 2024 ให้เร็วที่สุดในวันอังคารเพื่อหยุดการโจมตี CVE-2024-21338 จากกลุ่มผู้ไม่ประสงค์ดี Lazarus
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น