04/03/2567

ตั้งแต่เดือนสิงหาคมข้อผิดพลาดของ Kernel ของ Windows ที่ถูกโจมตีจากผู้ไม่ประสงค์ดีในเดือนที่แล้วได้รับการแก้ไขแล้ว

  

           ในเดือนกุมภาพันธ์ของปีที่ผ่านมา Microsoft ได้แก้ไขช่องโหว่ในการอัพเกรดสิทธิ์  Kernel  ของ  Windows  ที่มีความร้ายแรงสูง และหกเดือนต่อมา  Microsoft  ได้รับแจ้งว่าช่องโหว่  Zero-day

       ช่องโหว่ด้านความปลอดภัยถูกติดตามเป็น  CVE-2024-21338  โดยนักวิจัยด้านมัลแวร์อาวุโสของ  Avast Jan Vojt hiek  พบในโปรแกรมควบคุมappid.sys Windows AppLockerและรายงานไปยังMicrosoftในเดือนสิงหาคมปีที่แล้วว่าเป็นช่องโหว่zero-dayที่ใช้งานอยู่

        ช่องโหว่นี้ส่งผลกระทบต่อระบบที่ใช้  Windows 10  และ  Windows  11  หลายรุ่น (รวมถึงเวอร์ชันล่าสุด) และ  Windows Server 2019  และ   2022

หลังจาก 6 เดือนจากการพบช่องโหว่

        Avast ยังออกมากล่าวว่าผู้ไม่ประสงค์ดีจากประเทศเกาหลีเหนือกลุ่ม  Lazarus  ได้ใช้ช่องโหว่ในการโจมตี  zero-day  ตั้งแต่เดือนสิงหาคม  2023  เพื่อเพิ่มสิทธิ์เข้าถึงระดับ  kernel  และปิดเครื่องมือรักษาความปลอดภัยเพื่อหลีกเลี่ยงการใช้เทคโนโลยี BYOVD   ที่ตรวจจับได้ง่ายขึ้น

        การโจมตีนี้จากผู้ไม่ประสงค์ดีในระดับ kernel อาจถูกโจมตีในส่วนซอฟต์แวร์ความปลอดภัยของระบบ ปิดการตรวจจับ แพร่กระจาย Malware เข้าสู่ระบบไฟล์ข้อมูลและระบบเน็ตเวิร์ค ปิดการใช้งานโหมดKernel telemetry

        นอกจากนี้ความปลอดภัยของ   PPL  (protected process light )  ขึ้นอยู่กับขอบเขตของผู้ดูแลระบบไปยังเคอร์เนล โดยผู้ไม่ประสงค์ดีสามารถปลอมแปลงกระบวนการที่ได้รับการป้องกัน หรือเพิ่มการป้องกันไปยังกระบวนการอื่น ๆ อาจมีผลให้ประสิทธิภาพ lsass ที่ได้รับการป้องกันโดย runAsPPL อาจทำให้สามารถหลีกเลี่ยง PPL ทำให้ผู้ไม่ประสงค์ดีสามารถถ่ายโอนข้อมูลไปยังที่ไม่สามารถเข้าถึงได้

        กลุ่มผู้ไม่ประสงค์ดี Lazarus ใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้าง  Primitives Kernel  ที่อ่านและเขียนซึ่งทำให้  rootkit FudModule สามารถดําเนินการที่  kernel  ได้โดยตรง

       โดยการอัปเดต FudModule ใหม่นี้มีการซ่อนตัวจากระบบ และปรับปรุงคุณลักษณะที่สําคัญรวมถึงเทคโนโลยี  rootkit  ใหม่ที่ปรับปรุงใหม่นี้เพื่อป้องกันการหลีกเลี่ยงการตรวจจับ และปิดการรักษาความปลอดภัย  AhnLab V3, Windows Defender, CrowdStrike Falcon และ the HitmanPro security protections

        การวิเคราะห์การโจมตีจาก Avast ยังพบ Malware Trojan RAT ที่ไม่รู้จักก่อนหน้านี้ที่ใช้โดยกลุ่มผู้ไม่ประสงค์ดี Lazarus  ซึ่งจะเป็นจุดสนใจ  BlackHat Asia  ในเดือนเมษายน

        โดยทาง Avast แนะนำให้ผู้ใช้งาน Windows ติดตั้ง Patch Update  ประจำเดือนกุมภาพันธ์  2024  ให้เร็วที่สุดในวันอังคารเพื่อหยุดการโจมตี  CVE-2024-21338  จากกลุ่มผู้ไม่ประสงค์ดี  Lazarus


Ref : bleepingcomputer

ที่
ป้ายกำกับ: ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)