ผู้เชี่ยวชาญด้านความปลอดภัยของ SafeBreach ได้ออกมาเผยถึงช่องโหว่แบบใหม่ในงาน Black Hat 2024 จำนวน 2 รายการด้วยกันด้วยลูกเล่นของการโจมตีคือการที่เครื่องของเป้าหมายจะถูกทำการ Downgrade เพื่อการแก้ไขแพทซ์ของเครื่องทีเป็นระบบปฏิบัติการ Windows 10, Windows 11 และ Windows Server ที่อัปเดตล่าสุดแล้ว
Microsoft เผยช่องโหว่ใหม่ที่เป็น Zero-Day ที่ยังคงไม่ได้รับการตรวจสอบและแก้ไข ถูกติดตามในเลข
- CVE-2024-38202 Windows Update Stack Elevation of Privilege ช่วยให้ผู้ไม่ประสงค์ดีที่มีสิทธิ์ผู้ใช้ขั้นพื้นฐานสามารถ "แก้ไข" ข้อบกพร่องด้านความปลอดภัย
- CVE-2024-21302 Windows Secure Kernel Mode Elevation of Privilege แทนที่ไฟล์ระบบ Windows ด้วยเวอร์ชันที่ล้าสมัยและมีช่องโหว่
ด้วยรูปแบบการโจมตีของผู้ไม่ประสงค์ดีนั้นเมื่อทำการโจมตีสำเร็จแล้วจะทำการบังคับให้อุปกรณ์ของเป้าหมายนั้น ลดระดับของ Version ลงไปถึงเวอร์ชั่นที่เก่ากว่าและมีช่องโหว่ และจะเริ่มโจมตีอีกครั้งหลังจากที่ถูกละระดับแล้ว เพื่อลดระดับส่วนประกอบสำคัญของระบบปฏิบัติการรวมถึงไลบรารีลิงก์แบบไดนามิก (DLL) และเคอร์เนล NT แม้ว่าส่วนประกอบทั้งหมดเหล่านี้จะล้าสมัยแล้ว แต่เมื่อตรวจสอบด้วย Windows Update ระบบปฏิบัติการก็รายงานว่าได้รับการอัปเดตอย่างสมบูรณ์แล้ว โดยเครื่องมือการกู้คืนและการสแกนไม่สามารถตรวจพบปัญหาใดๆ ได้
ประโยชน์จากช่องโหว่แบบ zero-day เขายังสามารถลดระดับ Secure Kernel และ Isolated User Mode Process ของ Credential Guard และไฮเปอร์ไวเซอร์ของ Hyper-V เพื่อเปิดเผยช่องโหว่การยกระดับสิทธิ์ในอดีตได้
Microsoft เผยต่ออีกว่า ปัจจุบันยังไม่พบการนำช่องโหว่นี้ไปใช้โจมตีโดยผู้ไม่ประสงค์ดี แต่ทางเราไม่ได้นิ่งนอนใจแต่อย่างใดกำลังหาวิธีในการแก้ไขปัญหาดังกล่าว
โดยกำลังดำเนินการอัปเดตเพื่อเพิกถอนไฟล์ระบบ Virtualization Based Security (VBS) ที่ล้าสมัยและไม่ได้รับการแก้ไขเพื่อลดการโจมตี อย่างไรก็ตาม การทดสอบอัปเดตนี้จะใช้เวลาพอสมควรเนื่องจากมีไฟล์จำนวนมากที่จะได้รับผลกระทบ
Ref: bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น