Zero-Day ระดับ Critical ส่งผลกระทบต่อปลั๊กอินระดับพรีเมียมของ WordPress

    RealHome theme และปลั๊กอิน Easy Real Estate สำหรับ WordPress มีช่องโหว่ระดับ Critical สองรายการที่สามารถทำให้ผู้ใช้งานที่ไม่ได้ผ่านการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบได้

    แม้ว่าช่องโหว่ทั้งสองรายการนี้จะถูกค้นพบในเดือนกันยายน 2024 โดย Patchstack และมีความพยายามหลายครั้งในการติดต่อผู้พัฒนา (InspiryThemes) แต่นักวิจัยระบุว่ายังไม่ได้รับการตอบกลับใด ๆ จากผู้พัฒนา

    นอกจากนี้ Patchstack ยังระบุว่า ผู้พัฒนาได้ปล่อยเวอร์ชันใหม่มาแล้วสามครั้งตั้งแต่เดือนกันยายน แต่ไม่มีการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical เหล่านี้ ดังนั้นช่องโหว่ดังกล่าวจึงยังคงไม่ได้รับการแก้ไข และสามารถถูกโจมตีได้ต่อไป

    RealHome theme และปลั๊กอิน Easy Real Estate ถูกออกแบบมาสำหรับเว็บไซต์อสังหาริมทรัพย์ โดยข้อมูลจาก Envanto Market ระบุว่า RealHome theme ถูกใช้งานในเว็บไซต์กว่า 32,600 แห่ง

ช่องโหว่แรก ซึ่งส่งผลกระทบต่อ RealHome theme เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ที่มีหมายเลข CVE-2024-32444 (คะแนน CVSS: 9.8)

    Theme ดังกล่าวอนุญาตให้ผู้ใช้งานสามารถลงทะเบียนบัญชีใหม่ได้ผ่านฟังก์ชัน inspiry_ajax_register แต่ไม่ได้ตรวจสอบการ authorization อย่างถูกต้อง หรือไม่มีการตรวจสอบเลย

    หากเปิดใช้งานการลงทะเบียนบนเว็บไซต์ ผู้ไม่ประสงค์ดีสามารถระบุ role ของตนเองให้เป็น "ผู้ดูแลระบบ" ได้ โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังฟังก์ชันการลงทะเบียน ซึ่งเป็นการ bypass การตรวจสอบความปลอดภัยโดยพื้นฐาน

    เมื่อผู้ไม่ประสงค์ดีลงทะเบียนเป็นผู้ดูแลระบบได้สำเร็จ พวกเขาจะสามารถควบคุมเว็บไซต์ WordPress ได้อย่างสมบูรณ์ ซึ่งรวมถึงการแก้ไขเนื้อหา, การฝังสคริปต์ และการเข้าถึงข้อมูลผู้ใช้งาน หรือข้อมูลสำคัญอื่น ๆ

    ส่วนช่องโหว่ที่ส่งผลกระทบต่อปลั๊กอิน Easy Real Estate เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านฟีเจอร์ Social Login ซึ่งมีหมายเลข CVE-2024-32555 (คะแนน CVSS: 9.8)

ช่องโหว่นี้เกิดจากฟีเจอร์ Social Login ที่อนุญาตให้ผู้ใช้งานเข้าสู่ระบบด้วยที่อยู่อีเมลของตน โดยไม่มีการตรวจสอบว่าอีเมลนั้นเป็นของผู้ที่ส่ง request จริงหรือไม่

    ผลลัพธ์คือ หากผู้ไม่ประสงค์ดีทราบที่อยู่อีเมลของผู้ดูแลระบบ พวกเขาสามารถเข้าสู่ระบบได้โดยไม่จำเป็นต้องใช้รหัสผ่าน ผลกระทบจากการโจมตีนี้คล้ายคลึงกับช่องโหว่ CVE-2024-32444

ข้อแนะนำในการลดความเสี่ยง

    เนื่องจากทาง InspiryThemes ยังไม่ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้งาน Theme หรือปลั๊กอินดังกล่าวควรปิดการใช้งานทันที

    การปิดการลงทะเบียนผู้ใช้งานบนเว็บไซต์ที่ได้รับผลกระทบจะช่วยป้องกันการสร้างบัญชีโดยไม่ได้รับอนุญาต ซึ่งจะลดโอกาสที่ช่องโหว่จะถูกใช้งาน

    เนื่องจากปัญหาช่องโหว่ในปลั๊กอิน และ Theme ทั้งสองรายการนี้ได้รับการเปิดเผยออกสู่สาธารณะแล้ว ผู้ไม่หวังดีอาจเริ่มสำรวจความเป็นไปได้ และสแกนหาเว็บไซต์ที่มีช่องโหว่ ดังนั้นการตอบสนองอย่างรวดเร็วเพื่อป้องกันภัยคุกคามจึงมีความสำคัญอย่างยิ่ง

Ref : bleepingcomputer

Cisco แก้ไขช่องโหว่การยกระดับสิทธิ์ระดับ Critical (CVSS 9.9) บนระบบ Meeting Management

    Cisco ปล่อยแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical บนระบบ Meeting Management ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบน instances ที่มีช่องโหว่ได้

    ช่องโหว่นี้มีหมายเลข CVE-2025-20156 และมีคะแนน CVSS 9.9 เต็ม 10.0 ซึ่งถือว่าเป็นช่องโหว่การยกระดับสิทธิ์ใน REST API ของ Cisco Meeting Management

    Cisco ระบุว่า “ช่องโหว่นี้เกิดขึ้นเนื่องจากไม่มีการ enforced authorization ที่เหมาะสมสำหรับผู้ใช้ REST API ทำให้ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง API request ไปยัง specific endpoint” หากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้ไม่ประสงค์ดีได้รับสิทธิ์ในระดับผู้ดูแลระบบ และจะสามารถควบคุม edge nodes ที่ managed โดย Cisco Meeting Management ได้

    Cisco ให้เครดิตแก่ Ben Leonard-Lagarde จาก Modux เป็นผู้ค้นพบช่องโหว่ดังกล่าว โดยช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชั่นของผลิตภัณฑ์ดังต่อไปนี้:

• Cisco Meeting Management เวอร์ชัน 3.9 (ได้รับการแก้ไขแล้วในเวอร์ชั่น 3.9.1)
• Cisco Meeting Management เวอร์ชัน 3.8 และเวอร์ชันก่อนหน้า (ควรอัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไข)
• Cisco Meeting Management เวอร์ชัน 3.10 (ไม่ได้รับผลกระทบ)

    Cisco ยังได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่การโจมตีแบบ Denial-of-Service (DoS) ที่ส่งผลกระทบต่อ BroadWorks ซึ่งเกิดจากการจัดการหน่วยความจำที่ไม่เหมาะสมสำหรับ Session Initiation Protocol (SIP) requests บางประเภท (CVE-2025-20165, คะแนน CVSS: 7.5) โดยช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน RI.2024.11

    Cisco ระบุว่า “ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง SIP requests จำนวนมากไปยังระบบที่ได้รับผลกระทบ”

    "หากการโจมตีประสบความสำเร็จ อาจทำให้ผู้ไม่ประสงค์ดีสามารถใช้หน่วยความจำที่จัดสรรให้กับ Cisco BroadWorks Network Servers จัดการกับ SIP traffic จนหมด หากหน่วยความจำไม่เพียงพอ Network Servers จะไม่สามารถประมวลผล requests ขาเข้าได้อีก ส่งผลให้เกิดการ DoS ที่ต้องเข้าไปแก้ไขด้วยตนเองเพื่อที่จะสามารถกู้คืนระบบให้กลับมาใช้งานได้อีกครั้ง"

    ช่องโหว่อีกรายการที่ Cisco ได้แก้ไขคือ CVE-2025-20128 (คะแนน CVSS: 5.3) ซึ่งเป็น bug ของ integer underflow ที่ส่งผลกระทบต่อกระบวนการถอดรหัส Object Linking and Embedding 2 (OLE2) ใน ClamAV และอาจนำไปสู่การโจมตีแบบ DoS ได้

    Cisco ได้ให้เครดิตกับ Google OSS-Fuzz สำหรับการรายงานช่องโหว่นี้ และระบุว่าทราบถึงการมีโค้ดการโจมตี (Proof-of-concept - PoC) ถูกปล่อยออกสู่สาธารณะ แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้งานจริงก็ตาม

CISA และ FBI เปิดเผยรายละเอียดเกี่ยวกับวิธีการโจมตีของ Ivanti

    ในขณะที่มีข่าวเรื่องช่องโหว่ของ Cisco รัฐบาลสหรัฐฯ CISA และ FBI ได้ออกมาเปิดเผยรายละเอียดทางเทคนิค และวิธีการโจมตีที่แฮ็กเกอร์ใช้ในการโจมตีระบบคลาวด์ของ Ivanti เมื่อเดือนกันยายน 2024 ที่ผ่านมา

ช่องโหว่ที่เกี่ยวข้องมีดังต่อไปนี้:

• CVE-2024-8963, ช่องโหว่แบบ Administrative bypass
• CVE-2024-9379, ช่องโหว่แบบ SQL injection
• CVE-2024-8190 และ CVE-2024-9380 ช่องโหว่แบบ Remote code execution ทั้ง 2 รายการ

    จากรายงานของ CISA และ FBI วิธีการโจมตีมี 2 แบบ แบบแรกใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-8190 และ CVE-2024-9380 ส่วนแบบที่สองใช้ CVE-2024-8963 ร่วมกับ CVE-2024-9379

Fortinet FortiGuard Labs ได้เปิดเผยวิธีการโจมตีแบบแรกเมื่อเดือนตุลาคม 2024 ที่ผ่านมา เชื่อว่าผู้ไม่ประสงค์ดีได้พยายามเจาะเข้าไปยังส่วนอื่น ๆ ของระบบหลังจากที่สามารถเข้าถึงระบบเบื้องต้นได้สำเร็จ

สำหรับการโจมตีแบบที่สอง พบว่าผู้ไม่ประสงค์ดีใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-9379 เพื่อเข้าถึงเครือข่ายเป้าหมาย หลังจากนั้นก็พยายามติดตั้ง web shells เพื่อเข้าควบคุมระบบอย่างต่อเนื่อง แต่ไม่สำเร็จ

    ทาง CISA และ FBI ยังระบุอีกว่า “ผู้ไม่ประสงค์ดีใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงระบบเบื้องต้น หลังจากนั้นจะดำเนินการเรียกใช้โค้ดที่เป็นอันตรายระยะไกล (RCE), ขโมยข้อมูล credentials และติดตั้ง web shells บนเครือข่ายของเหยื่อ ส่วนข้อมูล Credentials และ Sensitive data ที่ถูกจัดเก็บไว้ในอุปกรณ์ Ivanti ที่โดนโจมตี ให้คาดว่าถูกขโมยไปแล้ว”

Ref : thehackernews

Cisco แจ้งเตือนช่องโหว่ Denial of Service ที่พบว่ามี PoC exploit code แล้ว

    Cisco ปล่อยแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Denial-of-Service (DoS) ใน ClamAV ซึ่งปัจจุบันพบว่ามี Proof-of-Concept (PoC) exploit code ที่สามารถใช้ในการโจมตีได้

    ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-20128 เป็นช่องโหว่ที่เกิดจาก Heap-based Buffer Overflow ในกระบวนการถอดรหัส Object Linking and Embedding 2 (OLE2) ซึ่งทำให้ผู้ไม่ประสงค์ดีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถทำให้เกิด DoS บนอุปกรณ์ที่มีช่องโหว่ได้

    หากสามารถโจมตีช่องโหว่นี้ได้สำเร็จ อาจทำให้กระบวนการทำงานของ ClamAV antivirus หยุดทำงาน ส่งผลให้การสแกนไวรัสหยุดชะงัก หรือไม่สามารถดำเนินการต่อได้

    Cisco ระบุว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งไฟล์ที่ถูกสร้างขึ้นมาแบบพิเศษ ที่มีเนื้อหาแบบ OLE2 เพื่อให้ ClamAV บนอุปกรณ์ที่ได้รับผลกระทบทำการสแกน ซึ่งการโจมตีที่สำเร็จอาจทำให้ผู้ไม่ประสงค์ดีสามารถยุติกระบวนการสแกนของ ClamAV ส่งผลให้เกิดการ DoS บนซอฟต์แวร์ที่มีช่องโหว่ได้

    อย่างไรก็ตาม ในคำแนะนำที่ออกในวันนี้บริษัทระบุว่า ระบบโดยรวมจะไม่ได้รับผลกระทบแม้ว่าการโจมตีจะประสบความสำเร็จก็ตาม

    รายชื่อผลิตภัณฑ์ที่มีความเสี่ยงได้แก่ซอฟต์แวร์ Secure Endpoint Connector สำหรับแพลตฟอร์มที่ใช้ Linux, Mac และ Windows ซึ่งโซลูชันนี้จะช่วยนำ audit logs และ events ของ Cisco Secure Endpoint เข้าไปในระบบ SIEM แบบเดียวกับ Microsoft Sentinel

PoC สำหรับการโจมตี แต่ยังไม่พบการโจมตีจริงในปัจจุบัน

    ในขณะที่ทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่ายังไม่มีหลักฐานการโจมตีที่เกิดขึ้นจริง แต่อย่างไรก็ตามพบว่ามีโค้ดสำหรับการโจมตีช่องโหว่ CVE-2025-20128 ถูกปล่อยออกมาแล้ว

    วันที่ 22 มกราคม 2025 Cisco ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย DoS ใน Cisco BroadWorks (CVE-2025-20165) และช่องโหว่ระดับ Critical ที่เกี่ยวข้องกับการยกระดับสิทธิ์ใน Cisco Meeting Management REST API (CVE-2025-20156) ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบนอุปกรณ์ที่มีช่องโหว่ได้

    ในเดือนตุลาคมที่ผ่านมา Cisco ได้แก้ไขช่องโหว่ DoS อีกรายการหนึ่ง (CVE-2024-20481) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งถูกพบระหว่างแคมเปญการโจมตีแบบ Brute Force ขนาดใหญ่ที่มุ่งเป้าไปยังอุปกรณ์ Cisco Secure Firewall VPN ในเดือนเมษายน 2024

    หนึ่งเดือนถัดมา Cisco ได้แก้ไขช่องโหว่ระดับ Critical (CVE-2024-20418) ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ Root บนอุปกรณ์ Ultra-Reliable Wireless Backhaul (URWB) ในส่วนของ industrial access points ที่มีช่องโหว่ได้

Ref : bleepingcomputer

ช่องโหว่ Apache Tomcat CVE-2024-56337 ทำให้เซิร์ฟเวอร์เสี่ยงต่อการถูกโจมตีแบบ RCE

    Apache Software Foundation (ASF) ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ Tomcat Server ที่อาจทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ภายใต้เงื่อนไขบางอย่าง

    ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-56337 ถูกระบุว่าเป็นการแก้ไขปัญหาที่ไม่สมบูรณ์ของช่องโหว่ CVE-2024-50379 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ด้านความปลอดภัยระดับ Critical อีกช่องโหว่หนึ่งในผลิตภัณฑ์เดียวกัน และเคยได้รับการแก้ไขไปแล้วเมื่อวันที่ 17 ธันวาคม 2024

    นักพัฒนาได้ระบุในคำแนะนำเมื่อสัปดาห์ที่แล้วว่า "ผู้ใช้ที่ใช้งาน Tomcat บนระบบไฟล์ที่ไม่คำนึงถึงตัวพิมพ์เล็ก-ใหญ่ (case insensitive) และเปิดใช้งานการเขียน default servlet (ตั้งค่าพารามิเตอร์ readonly เริ่มต้นเป็นค่า false ซึ่งไม่ใช่ค่าเริ่มต้น) อาจจำเป็นต้องตั้งค่าเพิ่มเติม เพื่อแก้ไขช่องโหว่ CVE-2024-50379 ให้สมบูรณ์ แต่ก็ขึ้นอยู่กับเวอร์ชั่นของ Java ที่ใช้งานร่วมกับ Tomcat ด้วย"

    ช่องโหว่ทั้งสองรายการเป็นช่องโหว่แบบ Time-of-check Time-of-use (TOCTOU) ที่อาจส่งผลให้เกิดการเรียกใช้โค้ดบนระบบไฟล์ที่ไม่แยกความแตกต่างระหว่างตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ เมื่อมีการเปิดใช้งาน default servlet สำหรับการเขียน

    Apache ระบุไว้ในการแจ้งเตือนสำหรับ CVE-2024-50379 "การอ่าน และการอัปโหลดพร้อมกันภายใต้โหลดของไฟล์เดียวกัน สามารถหลีกเลี่ยงการตรวจสอบความแตกต่างของตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ของ Tomcat และทำให้ไฟล์ที่อัปโหลดถูกมองว่าเป็น JSP ซึ่งจะนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้"

CVE-2024-56337 ส่งผลกระทบต่อ Apache Tomcat ตามเวอร์ชันต่อไปนี้

• Apache Tomcat 11.0.0-M1 ถึง 11.0.1 (แก้ไขแล้วในเวอร์ชั่น 11.0.2 หรือเวอร์ชันใหม่กว่า)
• Apache Tomcat 10.1.0-M1 ถึง 10.1.33 (แก้ไขแล้วในเวอร์ชั่น 10.1.34 หรือเวอร์ชันใหม่กว่า)
• Apache Tomcat 9.0.0.M1 ถึง 9.0.97 (แก้ไขแล้วในเวอร์ชั่น 9.0.98 หรือเวอร์ชันใหม่กว่า)

    นอกจากนี้ ผู้ใช้งานจำเป็นต้องดำเนินการเปลี่ยนแปลงการตั้งค่าต่อไปนี้ ขึ้นอยู่กับเวอร์ชันของ Java ที่กำลังใช้งาน

• Java 8 หรือ Java 11: กำหนดค่า system property sun.io.useCanonCaches เป็น false โดยเฉพาะ (ค่าเริ่มต้นคือ true)
• Java 17: ตั้งค่า system property sun.io.useCanonCaches เป็น false หากมีการตั้งค่าไว้แล้ว (ค่าเริ่มต้นคือ false)
• Java 21 และเวอร์ชันที่ใหม่กว่า: ไม่จำเป็นต้องดำเนินการใด ๆ เนื่องจาก system property นี้ถูกลบออกไปแล้ว

    ASF ได้ให้เครดิตแก่ทีมนักวิจัยด้านความปลอดภัย Nacl, WHOAMI, Yemoli, และ Ruozhi สำหรับการค้นพบ และรายงานช่องโหว่ทั้งสองรายการ นอกจากนี้ยังขอบคุณทีม KnownSec 404 ที่รายงานช่องโหว่ CVE-2024-56337 พร้อมกับโค้ดตัวอย่าง (Proof-of-Concept: PoC)

    รายงานนี้เกิดขึ้นในขณะที่ Zero Day Initiative (ZDI) ได้เผยแพร่รายละเอียดของช่องโหว่ระดับ Critical ใน Webmin (CVE-2024-12828, คะแนน CVSS: 9.9) ซึ่งอนุญาตให้ผู้โจมตีที่ผ่านการยืนยันตัวตน จะสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

    ZDI ระบุว่า "ช่องโหว่นี้เกิดขึ้นในกระบวนการจัดการ CGI request และปัญหาเกิดจากการขาดการตรวจสอบค่าที่ผู้ใช้กรอก ก่อนที่จะใช้ค่าดังกล่าวเพื่อเรียกใช้ system call ผู้โจมตีจึงสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเรียกใช้โค้ดด้วยสิทธิ์ของ root ได้"

Ref : thehackernews

Fortinet แจ้งเตือนการโจมตีช่องโหว่ Zero-Day ที่สามารถ Bypass การ Authentication เพื่อเข้าควบคุม Firewall

    Fortinet แจ้งเตือนการพบกลุ่มผู้ไม่ประสงค์ดีกำลังมุ่งเป้าโจมตีช่องโหว่ Zero-Day ใหม่ใน FortiOS และ FortiProxy เพื่อเข้าควบคุม FortiGate Firewall และเข้าถึงระบบเครือข่ายขององค์กร

• CVE-2024-55591 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ authentication bypass ที่ส่งผลกระทบต่อ FortiOS 7.0.0 ถึง 7.0.16, FortiProxy 7.0.0 ถึง 7.0.19 และ FortiProxy 7.2.0 ถึง 7.2.12 ซึ่งหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีได้รับสิทธิ์ super-admin โดยการส่ง requests ที่เป็นอันตรายไปยังโมดูล Node.js websocket

    Fortinet พบว่ากลุ่มผู้ไม่ประสงค์ดีที่โจมตีช่องโหว่ดังกล่าวได้สร้าง admin user หรือ local users แบบสุ่มบนอุปกรณ์ที่ถูกโจมตีรวมถึงเพิ่มเข้าไปใน SSL VPN user group รวมถึงการเพิ่มหรือเปลี่ยน Firewall policy และการตั้งค่าอื่น ๆ รวมถึงการเข้าสู่ระบบ SSLVPN โดยใช้บัญชีปลอมที่สร้างไว้ก่อนหน้านี้เพื่อเข้าไปยังเครือข่ายภายในของเป้าหมาย

    แม้ว่า Fortinet จะยังไม่ได้ให้ข้อมูลรายละเอียดเพิ่มเติม แต่ทาง Arctic Wolf บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ได้เผยแพร่รายงาน และระบุ Indicators of Compromise (IOCs) ที่ตรงกันโดยระบุว่า FortiGate Firewall ที่เปิดให้เข้าถึง Management interfaces จากอินเทอร์เน็ต ได้ถูกโจมตีด้วยช่องโหว่ดังกล่าวมาตั้งแต่กลางเดือนพฤศจิกายน 2024 และคาดการณ์ว่ากลุ่ม ผู้ไม่ประสงค์ดีจะใช้ช่องโหว่ดังกล่าวในการโจมตีเป็นวงกว้าง

    Arctic Wolf ยังได้ระบุ Timeline สำหรับแคมเปญการโจมตีช่องโหว่ CVE-2024-55591 โดยระบุว่ามี 4 ระยะ ดังนี้:

• Vulnerability scanning (16 พฤศจิกายน 2024 ถึง 23 พฤศจิกายน 2024)
• Reconnaissance (22 พฤศจิกายน 2024 ถึง 27 พฤศจิกายน 2024)
• SSL VPN configuration (4 ธันวาคม 2024 ถึง 7 ธันวาคม 2024)
• Lateral Movement (16 ธันวาคม 2024 ถึง 27 ธันวาคม 2024)

    Fortinet และ Arctic Wolf มี IOCs ที่แทบจะเหมือนกัน โดยระบุว่าสามารถตรวจสอบ Log สำหรับรายการต่อไปนี้เพื่อระบุว่ามีอุปกรณ์ในองค์กรตกเป็นเป้าหมายการโจมตีช่องโหว่หรือไม่

    หลังจาก ผู้ไม่ประสงค์ดี เข้าสู่ระบบผ่านช่องโหว่ Log จะแสดง source IP address และ destination IP แบบสุ่ม :

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

    ผู้ไม่ประสงค์ดี สร้าง admin user หรือ local users ข้อมูล Log จะถูกสร้างขึ้นโดยมีสิ่งที่ดูเหมือนชื่อ user และ source IP address ที่ถูกสร้างขึ้นแบบสุ่ม :

type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

    รวมถึง Arctic Wolf ยังเตือนอีกว่า ผู้ไม่ประสงค์ดี มักใช้ที่ IP address ต่อไปนี้ในการโจมตี :

• 1.1.1.1
• 127.0.0.1
• 2.2.2.2
• 8.8.8.8
• 8.8.4.4

    Arctic Wolf ระบุว่าได้แจ้งให้ Fortinet ทราบเกี่ยวกับการโจมตีช่องโหว่เมื่อวันที่ 12 ธันวาคม 2024 และได้รับการยืนยันจาก FortiGuard Labs PSIRT เมื่อวันที่ 17 ธันวาคม 2024 ว่ารับทราบถึงการดำเนินการดังกล่าวแล้ว และอยู่ระหว่างการสอบสวน

    Fortinet ได้ออกแจ้งเตือนให้ผู้ดูแลระบบปิดการใช้งาน Management interfaces จากอินเทอร์เน็ตโดยด่วน รวมถึงยังแนะนำให้ผู้ดูแลระบบปิดการใช้งาน HTTP/HTTPS administrative interface หรือจำกัด IP addresses ที่สามารถเข้าถึง IP addresses ได้ผ่าน local policy

    Fortinet ยังได้ออกแพตช์ความปลอดภัยสำหรับช่องโหว่ Hard-coded cryptographic key (CVE-2023-37936) ซึ่งช่องโหว่นี้ทำให้ ผู้ไม่ประสงค์ดี จากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน ซึ่งมี Key สามารถเรียกใช้คำสั่งที่ไม่ได้รับอนุญาตผ่าน cryptographic request ที่สร้างขึ้นได้

    ในช่วงเดือนธันวาคม 2024 Volexity เคยรายงานว่าพบ ผู้ไม่ประสงค์ดี ชาวจีนใช้ post-exploitation toolkit ที่เรียกว่า "DeepData" เพื่อโจมตีช่องโหว่ zero-day (โดยยังไม่มี CVE ID) ใน Fortinet's FortiClient Windows VPN client เพื่อขโมยข้อมูล credentials

    สองเดือนก่อนหน้านี้ Mandiant ได้เปิดเผยว่าช่องโหว่ใน Fortinet FortiManager ที่เรียกว่า "FortiJump" (CVE-2024-47575) ได้ถูกโจมตีในรูปแบบ zero-day เพื่อเจาะระบบเซิร์ฟเวอร์มากกว่า 50 เครื่องมาตั้งแต่เดือนมิถุนายน 2024

Ref : bleepingcomputer

Veeam แจ้งเตือนช่องโหว่ RCE ระดับ Critical ใน Service Provider Console

    Veeam ได้ปล่อยอัปเดตแพตช์ด้านความปลอดภัยในวันนี้ (3 ธันวาคม 2024) เพื่อแก้ไขช่องโหว่สองรายการใน Service Provider Console (VSPC) รวมถึงช่องโหว่ Remote code execution (RCE) ระดับ Critical ที่พบระหว่างการทดสอบภายใน

    VSPC ซึ่งบริษัทได้อธิบายว่าเป็น Remote managed BaaS (Backend as a Service) และ DRaaS (Disaster Recovery as a Service) ถูกใช้งานโดยผู้ให้บริการเพื่อตรวจสอบความสมบูรณ์ และความปลอดภัยของการสำรองข้อมูลของลูกค้า รวมถึงการจัดการ workload ที่ได้รับการป้องกันโดย Veeam ในระบบ Veeam-protected virtual, Microsoft 365 และ public cloud workloads

    ช่องโหว่ด้านความปลอดภัยตัวแรกที่ได้รับการแก้ไขในวันนี้ (CVE-2024-42448 มีคะแนน CVSS 9.9/10) ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ที่ไม่ได้รับการอัปเดตจากเครื่อง VSPC management agent ได้

    Veeam ยังได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง (CVE-2024-42449) ที่ทำให้ผู้โจมตีสามารถขโมย NTLM hash ของบัญชี service account ของเซิร์ฟเวอร์ VSPC และใช้การเข้าถึงที่ได้ เพื่อลบไฟล์บนเซิร์ฟเวอร์ VSPC ได้

    อย่างไรก็ตาม ตามที่บริษัทได้อธิบายไว้ในคำแนะนำด้านความปลอดภัยที่เผยแพร่ในวันนี้ ช่องโหว่ทั้งสองรายการจะถูกโจมตีได้สำเร็จเฉพาะกรณีที่ management agent ได้รับการอนุญาตบนเซิร์ฟเวอร์เป้าหมายเท่านั้น

    ช่องโหว่นี้ส่งผลกระทบต่อ VSPC เวอร์ชัน 8.1.0.21377 และเวอร์ชันก่อนหน้าทั้งหมด รวมถึงรุ่น 8 และ 7 แต่เวอร์ชันของผลิตภัณฑ์ที่ไม่ได้รับการสนับสนุนแล้ว ก็มีแนวโน้มที่จะได้รับผลกระทบเช่นกัน และควรถือว่ามีช่องโหว่แม้ว่าจะยังไม่ได้รับการทดสอบก็ตาม

    Veeam ระบุว่า "ขอแนะนำให้ผู้ให้บริการที่ใช้ Veeam Service Provider Console เวอร์ชันที่ยังได้รับการสนับสนุน (เวอร์ชัน 7 และ 8) อัปเดตเป็น cumulative patch เวอร์ชันล่าสุด"

"ขอแนะนำให้ผู้ให้บริการที่ใช้เวอร์ชันที่ไม่ได้รับการสนับสนุนแล้วอัปเกรดเป็นเวอร์ชันล่าสุดของ Veeam Service Provider Console"

    การโจมตีที่เกิดขึ้นกับช่องโหว่ของ Veeam ในช่วงที่ผ่านมาแสดงให้เห็นถึงความสำคัญของการติดตั้งแพตช์บนเซิร์ฟเวอร์ที่มีช่องโหว่โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

    ในเดือนที่ผ่านมา ทีมตอบสนองต่อเหตุการณ์ของ Sophos X-Ops เปิดเผยว่า ช่องโหว่ RCE (CVE-2024-40711) ในซอฟต์แวร์ Backup & Replication (VBR) ของ Veeam ในเดือนกันยายน ขณะนี้กำลังถูกใช้โจมตีเพื่อแพร่กระจาย Frag ransomware

    ช่องโหว่เดียวกันนี้ยังถูกใช้เพื่อรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ VBR ที่มีช่องโหว่ในการโจมตีด้วย Akira และ Fog ransomware ด้วยเช่นกัน

Ref : bleepingcomputer.com

ช่องโหว่ Zero-days ใน Firefox และ Windows กำลังถูกโจมตีจากกลุ่มผู้ไม่ประสงค์ดี RomCom จากรัสเซีย

    กลุ่มอาชญากรรมทางไซเบอร์ RomCom จากรัสเซีย กำลังใช้ช่องโหว่แบบ Zero-Days 2 รายการในการโจมตีครั้งล่าสุด โดยมุ่งเป้าไปที่ผู้ใช้งาน Firefox และ Tor Browser ในยุโรป และอเมริกาเหนือ

• ช่องโหว่ที่ 1 CVE-2024-9680: เป็นช่องโหว่แบบ use-after-free ในฟีเจอร์ animation timeline ของ Firefox ซึ่งช่วยให้สามารถเรียกใช้โค้ดใน sandbox ของเว็บเบราว์เซอร์ ได้ โดย Mozilla ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อวันที่ 9 ตุลาคม 2024 เพียงหนึ่งวันหลังจากที่ ESET รายงานปัญหานี้
• ช่องโหว่ที่ 2 CVE-2024-49039: ช่องโหว่การยกระดับสิทธิ์ ใน Windows Task Scheduler service ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้โค้ดนอก sandbox ของ Firefox ได้ Microsoft ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อต้นเดือนที่ผ่านมา เมื่อวันที่ 12 พฤศจิกายน 2024

    RomCom ใช้ช่องโหว่ทั้ง 2 รายการในการโจมตีแบบ Zero-Days ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน เป้าหมายของพวกเขาเพียงแค่ให้ผู้ใช้งานเข้าชมเว็บไซต์ที่ถูกควบคุม และปรับแต่งโดยผู้ไม่ประสงค์ดีก็เพียงพอที่จะทำให้มีการดาวน์โหลด และรันแบ็คดอร์ RomCom บนระบบของเหยื่อ

    จากชื่อของหนึ่งใน JavaScript ที่ใช้ในการโจมตี (main-tor.js) แสดงให้เห็นว่าผู้ไม่ประสงค์ดีได้มุ่งเป้าไปที่ผู้ใช้งาน Tor Browser ด้วย (เวอร์ชัน 12 และ 13 ตามการวิเคราะห์ของ ESET)

    Damien Schaeffer นักวิจัยจาก ESET ระบุว่า "กระบวนการโจมตีประกอบด้วยเว็บไซต์ปลอมที่จะเปลี่ยนเส้นทางของเหยื่อไปยังเซิร์ฟเวอร์ที่มีโค้ดสำหรับการโจมตี และหากการโจมตีสำเร็จ shell code จะถูกรันเพื่อดาวน์โหลด และรันแบ็คดอร์ RomCom"

    "แม้เราไม่ทราบว่าลิงก์ไปยังเว็บไซต์ปลอมนั้นถูกเผยแพร่ได้อย่างไร แต่หากมีการเข้าถึงหน้าเว็บด้วยเบราว์เซอร์ที่มีช่องโหว่ เพย์โหลดจะถูกดาวน์โหลด และรันบนคอมพิวเตอร์ของเหยื่อโดยไม่ต้องมีการโต้ตอบใด ๆ จากผู้ใช้"

    เมื่อมัลแวร์ถูกติดตั้งบนอุปกรณ์ของเหยื่อแล้ว ผู้ไม่ประสงค์ดีสามารถรันคำสั่ง และติดตั้งเพย์โหลดอื่นเพิ่มเติมได้

    ESET ระบุเพิ่มเติมว่า "การเชื่อมโยงช่องโหว่ Zero-Day 2 รายการเข้าด้วยกันช่วยให้ RomCom มีโค้ดโจมตีที่ไม่ต้องการการโต้ตอบจากผู้ใช้ ความซับซ้อนในระดับนี้แสดงให้เห็นถึงความตั้งใจ และความสามารถของผู้ไม่ประสงค์ดีในการพัฒนาความสามารถที่มากขึ้น"

    นอกจากนี้ จำนวนความพยายามโจมตีที่ประสบความสำเร็จของแบ็คดอร์ RomCom บนอุปกรณ์ของเหยื่อ ทำให้ ESET เชื่อว่านี่เป็นแคมเปญการโจมตีในวงกว้าง ESET ระบุว่า "จำนวนเป้าหมายที่อาจได้รับผลกระทบมีตั้งแต่เหยื่อเพียงรายเดียวต่อประเทศไปจนถึงสูงสุดถึง 250 ราย ตามข้อมูลจากระบบ telemetry ของ ESET"

    เหตุการณ์นี้ไม่ใช่ครั้งแรกที่ RomCom ใช้ช่องโหว่ Zero-Day ในการโจมตี โดยในเดือนกรกฎาคม 2023 ผู้ไม่ประสงค์ดีได้ใช้ช่องโหว่ Zero-Day (CVE-2023-36884) ในผลิตภัณฑ์หลายตัวของ Windows และ Office เพื่อโจมตีองค์กรที่เข้าร่วมการประชุม NATO Summit ที่เมืองวิลนีอุส ประเทศลิทัวเนีย

    RomCom (ซึ่งยังถูกติดตามในชื่อ Storm-0978, Tropical Scorpius หรือ UNC2596) โดยเชื่อมโยงกับแคมเปญที่มีแรงจูงใจทางการเงิน, การโจมตีด้วยแรนซัมแวร์ และการขู่กรรโชก รวมถึงการขโมยข้อมูล credential (ซึ่งน่าจะมีเป้าหมายในการสนับสนุนการดำเนินการด้านข่าวกรอง)

    กลุ่มผู้ไม่ประสงค์ดียังถูกเชื่อมโยงกับการโจมตีด้วยแรนซัมแวร์ Industrial Spy ซึ่งหลังจากนั้นได้เปลี่ยนไปใช้แรนซัมแวร์ Underground

ตามรายงานของ ESET ตอนนี้ RomCom กำลังมุ่งเป้าไปที่องค์กรในยูเครน ยุโรป และอเมริกาเหนือ สำหรับการโจมตีเพื่อจารกรรมข้อมูลในหลากหลายอุตสาหกรรม ซึ่งรวมถึงหน่วยงานรัฐบาล, กลาโหม, พลังงาน, ยา และประกันภัย

Ref : bleepingcomputer.com

พบช่องโหว่ระดับ Critical ในปลั๊กอินป้องกันสแปมของ WordPress เว็บไซต์กว่า 200,000+ แห่งอาจถูกโจมตี

    VMware ได้เปิดเผยช่องโหว่ระดับ Critical หลายรายการในผลิตภัณฑ์ Aria Operations โดยช่องโหว่ที่อันตรายที่สุดเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้คำแนะนำเกี่ยวกับช่องโหว่นี้มีหมายเลข VMSA-2024-0022 ถูกเผยแพร่เมื่อวันที่ 26 พฤศจิกายน 2024 โดยมีช่องโหว่ 5 รายการ ดังนี้

• CVE-2024-38830 (คะแนน CVSS v3 7.8/10): เป็นช่องโหว่การยกระดับสิทธิ์แบบ local
• CVE-2024-38831 (คะแนน CVSS v3 7.8/10): เป็นช่องโหว่การยกระดับสิทธิ์แบบ local อีกหนึ่งรายการ
• CVE-2024-38832 (คะแนน CVSS v3 7.1/10): เป็นช่องโหว่ Stored Cross-Site Scripting (XSS)
• CVE-2024-38833 (คะแนน CVSS v3 6.8/10): เป็นช่องโหว่ Stored XSS

    ช่องโหว่การยกระดับสิทธิ์แบบ local ทั้งสองรายการ (CVE-2024-38830 และ CVE-2024-38831) ถือเป็นช่องโหว่ที่น่ากังวลเป็นพิเศษ

    ช่องโหว่การยกระดับสิทธิ์แบบ local ดังกล่าว สามารถทำให้ผู้โจมตีที่มีสิทธิ์การเข้าถึงในระดับผู้ดูแลระบบ สามารถยกระดับสิทธิ์เป็นผู้ใช้ root บนอุปกรณ์ที่รัน VMware Aria Operations ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบที่ได้รับผลกระทบทั้งหมดได้

    ช่องโหว่ Stored XSS (CVE-2024-38832, CVE-2024-38833, และ CVE-2024-38834) สามารถทำให้ผู้โจมตีที่มีสิทธิ์ในการแก้ไข components ต่าง ๆ (เช่น มุมมอง, เทมเพลตอีเมล และการตั้งค่าผู้ให้บริการคลาวด์) สามารถ inject สคริปต์ที่เป็นอันตรายได้ โดยสคริปต์เหล่านี้อาจถูกเรียกใช้เมื่อมีผู้ใช้รายอื่นเข้าถึงพื้นที่ที่ได้รับผลกระทบของแอปพลิเคชัน

    ช่องโหว่เหล่านี้ส่งผลกระทบต่อ VMware Aria Operations เวอร์ชัน 8.x ถึง 8.18.1 และ VMware Cloud Foundation เวอร์ชัน 4.x, 5.x

Patches Released

    VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่เหล่านี้แล้ว โดยผู้ใช้งานควรรีบอัปเดตเป็น VMware Aria Operations เวอร์ชัน 8.18.2 ซึ่งจะแก้ไขช่องโหว่ทั้ง 5 รายการข้างต้น และปัจจุบันยังไม่มีวิธีการลดผลกระทบด้วยวิธีการอื่น ดังนั้นองค์กรควรจะต้องทำการอัปเดตแพตซ์โดยเร็วที่สุด

1. Update Immediately: องค์กรที่ใช้ VMware Aria Operations ควรทำการอัปเดตเป็นเวอร์ชัน 8.18.2
2. Access Control: ใช้การควบคุมการเข้าถึงที่เข้มงวดเพื่อจำกัดจำนวนผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบ
3. Monitor Systems: เฝ้าระวังระบบอย่างใกล้ชิด เพื่อตรวจสอบพฤติกรรมที่น่าสงสัย ซึ่งอาจบ่งชี้ถึงความพยายามในการโจมตี
4. Security Audits: ทำการตรวจสอบความปลอดภัยอย่างละเอียดเพื่อให้มั่นใจว่าไม่มีการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตในระบบ

    VMware ได้ให้เครดิตนักวิจัยด้านความปลอดภัยหลายราย รวมถึงกลุ่ม MoyunSec Vlab, Bing, และสมาชิกของทีม Michelin CERT ที่รายงานช่องโหว่เหล่านี้

Ref : thehackernews.com

ช่องโหว่ RCE ระดับ Critical ใน VMware vCenter Server กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

    Broadcom ออกมาแจ้งเตือนว่าพบผู้ไม่ระสงค์ดีได้ใช้ช่องโหว่ VMware vCenter Server จำนวน 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical

• CVE-2024-38812 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Heap Overflow ในการใช้งาน DCE/RPC protocol ของ vCenter ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ที่มี vCenter รวมถึง VMware vSphere และ VMware Cloud Foundation ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest
• CVE-2024-38813 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Privilege Escalation ที่ทำให้สามารถยกระดับสิทธิ์ไปยังระดับ Root โดยใช้ network packet ที่สร้างขึ้นมาเป็นพิเศษได้ ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest

    Broadcom ได้ออกแพตซ์อัปเดตด้านความปลอดภัยในเดือนกันยายน 2024 เพื่อแก้ไขช่องโหว่ทั้ง 2 รายการ ต่อมา Broadcom ได้อัปเดตคำเตือนด้านความปลอดภัยที่ระบุว่าแพตช์ CVE-2024-38812 เดิมนั้น ไม่สามารถแก้ไขช่องโหว่ได้อย่างสมบูรณ์ และแนะนำอย่างยิ่งให้ผู้ดูแลระบบใช้แพตช์ตัวใหม่ เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว เนื่องจากไม่มีวิธีอื่นในการลดผลกระทบ

    รวมถึง Broadcom ยังได้ออกคำแนะนำพร้อมข้อมูลเพิ่มเติม เกี่ยวกับการอัปเดตด้านความปลอดภัยบนระบบที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบต่อระบบที่ได้อัปเกรดไปแล้ว

    ในเดือนมิถุนายน 2024 บริษัทได้แก้ไขช่องโหว่ vCenter Server RCE ที่คล้ายคลึงกัน (CVE-2024-37079) ซึ่งผู้ไม่ระสงค์ดีสามารถโจมตีได้ผ่าน network packet ที่สร้างขึ้นมาเป็นพิเศษเช่นเดียวกัน

กลุ่ม Ransomware และกลุ่มผู้ไม่ระสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาล มักมุ่งเป้าหมายการโจมตีไปยังช่องโหว่ VMware vCenter ตัวอย่างเช่น ในเดือนมกราคม Broadcom เปิดเผยว่าผู้ไม่ระสงค์ดีของรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ของ vCenter Server (CVE-2023-34048) ในการโจมตีเป้าหมาย โดยเป็นช่องโหว่ Zero-Day ตั้งแต่ช่วงปลายปี 2021 เป็นอย่างน้อย

    กลุ่มผู้ไม่ระสงค์ดี(ถูกติดตามโดย Mandiant ในชื่อ UNC3886) ได้ใช้ช่องโหว่เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ผ่านทาง vSphere Installation Bundles (VIB) ที่สร้างขึ้น

Ref : bleepingcomputer.com

Microsoft แก้ไขช่องโหว่ Zero-Day บน Windows ที่ถูกนำมาใช้ในการโจมตียูเครน

    ผู้ไม่ประสงค์ดีที่คาดว่าเป็นชาวรัสเซีย มีการตรวจพบในการพยายามใช้ช่องโหว่บนระบบปฏิบัติการ Windows ที่เพิ่งได้รับการแก้ไขในการโจมตีที่มุ่งเป้าหมายไปที่หน่วยงานของยูเครน

• CVE-2024-43451 (คะแนน CVSS 6.5/10 ความรุนแรงระดับ Medium) เป็นช่องโหว่ NTLM Hash Disclosure spoofing ที่สามารถใช้เพื่อขโมย NTLMv2 hash ของผู้ใช้ที่ล็อกอินโดยบังคับให้เชื่อมต่อกับเซิร์ฟเวอร์ที่ควบคุมโดย ผู้ไม่ประสงค์ดีจากระยะไกล (C2 Server) ที่ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ ClearSky

    ClearSky ได้ตรวจพบแคมเปญการโจมตีในเดือนมิถุนายน 2024 หลังจากสังเกตเห็น phishing email ที่ออกแบบมาเพื่อใช้โจมตีในแคมเปญ โดยอีเมลเหล่านี้มี hyperlink ที่จะดาวน์โหลด Internet shortcut file ที่โฮสต์บนเซิร์ฟเวอร์ที่ถูกโจมตีก่อนหน้านี้ (osvita-kp.gov[.]ua) ซึ่งเป็นของแผนกการศึกษา และวิทยาศาสตร์ของสภาเมือง Kamianets-Podilskyi ทั้งนี้เมื่อผู้ใช้โต้ตอบกับ URL file ด้วยการคลิกขวา ลบ หรือย้ายไฟล์ การโจมตีช่องโหว่ก็จะเริ่มขึ้น

    โดยเมื่อเกิดการโต้ตอบกับ URL file การเชื่อมต่อกับ C2 Server จะถูกสร้างขึ้นเพื่อดาวน์โหลด malware payload ซึ่งรวมถึง SparkRAT ที่เป็นเครื่องมือ open-source สำหรับการเข้าถึงจากระยะไกล และใช้งานได้หลายแพลตฟอร์ม ทำให้ ผู้ไม่ประสงค์ดีสามารถควบคุมระบบที่โจมตีได้จากระยะไกล

    ในขณะทำการสืบสวนเหตุการณ์ดังกล่าว นักวิจัยยังได้รับการแจ้งเตือนถึงความพยายามในการขโมย NTLM hash ผ่าน Server Message Block (SMB) protocol ซึ่ง password hash เหล่านี้สามารถนำมาใช้ในการโจมตีแบบ " pass-the-hash " หรือถอดรหัสเพื่อให้ได้รหัสผ่านแบบ plaintext password ของผู้ใช้งานได้

ClearSky ได้แบ่งปันข้อมูลนี้กับทีม Ukraine's Computer Emergency Response Team (CERT-UA) ซึ่งได้เชื่อมโยงการโจมตีเข้ากับกลุ่ม ผู้ไม่ประสงค์ดีชาวรัสเซีย และถูกระบุในชื่อ UAC-0194

    Microsoft ได้แก้ไขช่องโหว่ดังกล่าวไปแล้ว โดยเป็นส่วนหนึ่งของแพตช์ประจำเดือนพฤศจิกายน 2024 และยืนยันการค้นพบของ ClearSky โดยระบุว่าจำเป็นต้องมีการโต้ตอบจากผู้ใช้จึงจะทำให้สามารถโจมตีได้สำเร็จ

    CISA ยังได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities Catalog แล้ว โดยสั่งให้รักษาความปลอดภัยระบบที่มีช่องโหว่บนเครือข่ายภายในวันที่ 3 ธันวาคม 2024 ตามที่กำหนดโดย Binding Operational Directive (BOD) 22-01

    ทั้งนี้ CISA แจ้งเตือนว่าช่องโหว่ประเภทนี้มักเป็นช่องทางการโจมตีของกลุ่ม ผู้ไม่ประสงค์ดีและก่อให้เกิดความเสี่ยงต่อองค์กรของรัฐบาลกลาง

Ref : bleepingcomputer.com

ไมโครซอฟท์ออกอัปเดตแพตช์วันอังคารประจำเดือนพฤศจิกายน 2024 แก้ไขช่องโหว่จำนวน 4 ช่องโหว่ที่เป็น Zero-day และข้อบกพร่องอื่น ๆ อีก 91 รายการ

    วันนี้เป็นวัน Patch Tuesday ของไมโครซอฟท์สำหรับเดือนพฤศจิกายน 2024 ซึ่งมีการออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ทั้งหมด 91 รายการ รวมถึงช่องโหว่ Zero-day 4 รายการ โดยมี 2 รายการที่กำลังถูกโจมตีอย่างต่อเนื่องในปัจจุบัน

    การอัปเดตครั้งนี้ได้แก้ไขช่องโหว่ที่มีความเสี่ยงสูง 4 รายการ ซึ่งแบ่งออกเป็น 2 ช่องโหว่ประเภทการเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution) และ 2 ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privileges)

จำนวนข้อบกพร่องในแต่ละประเภทของช่องโหว่มีดังนี้:

• ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege): 26 รายการ
• ช่องโหว่ข้ามผ่านฟีเจอร์ความปลอดภัย (Security Feature Bypass): 2 รายการ
• ช่องโหว่การเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution): 52 รายการ
• ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure): 1 รายการ
• ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service): 4 รายการ
• ช่องโหว่การปลอมแปลง (Spoofing): 3 รายการ

Windows 11 KB5046617 Link

Windows 10 KB5046613 Link

ช่องโหว่ Zero-day ที่ถูกเปิดเผย 4 รายการ

    การอัปเดต Patch Tuesday ในเดือนนี้ได้แก้ไขช่องโหว่ Zero-day จำนวน 4 รายการ โดยมี 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในปัจจุบัน และ 3 รายการที่ถูกเปิดเผยต่อสาธารณะแล้ว

    ไมโครซอฟท์กำหนดว่าช่องโหว่ Zero-day คือช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะหรือถูกโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ

ช่องโหว่ Zero-day 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในวันนี้ ได้แก่:

• CVE-2024-43451 - ช่องโหว่การปลอมแปลงเพื่อเปิดเผยแฮช NTLM

    ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ทำให้แฮช NTLM ของผู้ใช้สามารถถูกเปิดเผยต่อผู้โจมตีจากระยะไกลได้ โดยที่ผู้ใช้มีปฏิสัมพันธ์กับไฟล์ที่เป็นอันตรายน้อยมาก

    "ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงแฮช NTLMv2 ของผู้ใช้ ซึ่งสามารถใช้เพื่อยืนยันตัวตนในนามของผู้ใช้ได้" ไมโครซอฟท์อธิบาย "เพียงแค่ผู้ใช้คลิกเลือก (คลิกเดียว), ตรวจสอบ (คลิกขวา), หรือกระทำการอื่นใดโดยไม่จำเป็นต้องเปิดหรือเรียกใช้ ก็สามารถกระตุ้นให้เกิดช่องโหว่นี้ได้" ไมโครซอฟท์กล่าวต่อ

ไมโครซอฟท์ระบุว่า Israel Yeshurun จาก ClearSky Cyber Security เป็นผู้ค้นพบช่องโหว่นี้ และได้มีการเปิดเผยต่อสาธารณะ แต่ไม่มีการเปิดเผยรายละเอียดเพิ่มเติม

• CVE-2024-49039 - ช่องโหว่การยกระดับสิทธิ์ใน Windows Task Scheduler

    ช่องโหว่นี้ทำให้แอปพลิเคชันที่ถูกออกแบบพิเศษสามารถถูกเรียกใช้งานเพื่อยกระดับสิทธิ์ขึ้นเป็นระดับ Medium Integrity ได้"ในกรณีนี้ การโจมตีที่ประสบความสำเร็จสามารถทำได้จาก AppContainer ที่มีสิทธิ์ต่ำ ผู้โจมตีสามารถยกระดับสิทธิ์ของตนและรันโค้ดหรือเข้าถึงทรัพยากรที่มีระดับความสมบูรณ์สูงกว่า AppContainer" ไมโครซอฟท์อธิบายไมโครซอฟท์ระบุว่า การใช้ประโยชน์จากช่องโหว่นี้จะทำให้ผู้โจมตีสามารถรันฟังก์ชัน RPC ที่ปกติแล้วจำกัดเฉพาะบัญชีที่มีสิทธิ์สูงได้

    ช่องโหว่นี้ถูกค้นพบโดย Vlad Stolyarov และ Bahare Sabouri จากทีมวิเคราะห์ภัยคุกคามของ Google (Google's Threat Analysis Group) ยังไม่ทราบว่าช่องโหว่นี้ถูกโจมตีในลักษณะใด

ช่องโหว่อีก 3 รายการที่ถูกเปิดเผยต่อสาธารณะ แต่ยังไม่ถูกนำไปใช้ในการโจมตี ได้แก่:

• CVE-2024-49040 - ช่องโหว่การปลอมแปลงใน Microsoft Exchange Server

    ไมโครซอฟท์ได้แก้ไขช่องโหว่ใน Microsoft Exchange ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลงที่อยู่อีเมลของผู้ส่งในอีเมลที่ส่งถึงผู้รับภายในเครือข่ายได้

"ไมโครซอฟท์ทราบถึงช่องโหว่ (CVE-2024-49040) ที่ช่วยให้ผู้โจมตีสามารถโจมตีด้วยการปลอมแปลงบน Microsoft Exchange Server ได้" ตามที่มีการอธิบายในคำแนะนำที่เกี่ยวข้องของไมโครซอฟท์

ช่องโหว่นี้เกิดจากการตรวจสอบส่วนหัว P2 FROM ในกระบวนการส่งอีเมลที่ยังไม่มีการป้องกันอย่างเหมาะสม

    เริ่มตั้งแต่อัปเดตด้านความปลอดภัยของ Microsoft Exchange ในเดือนนี้ ไมโครซอฟท์จะเริ่มตรวจจับและติดธงเตือนอีเมลที่มีการปลอมแปลง พร้อมทั้งแสดงข้อความเตือนในเนื้อหาอีเมลที่ระบุว่า "Notice: This email appears to be suspicious. Do not trust the information, links, or attachments in this email without verifying the source through a trusted method."

    ไมโครซอฟท์ระบุว่าช่องโหว่นี้ถูกค้นพบโดย Slonser จาก Solidlab ซึ่งได้เปิดเผยช่องโหว่นี้ต่อสาธารณะในบทความ (https://blog.slonser.info/posts/email-attacks/)

• CVE-2024-49019 - ช่องโหว่การยกระดับสิทธิ์ใน Active Directory Certificate Services 

    ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็นผู้ดูแลโดเมนได้ โดยใช้ประโยชน์จากเทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ในระบบ

    "ตรวจสอบว่าคุณได้เผยแพร่ใบรับรองที่สร้างขึ้นโดยใช้เทมเพลตใบรับรองรุ่น 1 ที่ตั้งค่า Source of subject name เป็น 'Supplied in the request' และกำหนดสิทธิ์การลงทะเบียน (Enroll permissions) ให้กับกลุ่มบัญชีผู้ใช้ที่กว้างกว่า เช่น ผู้ใช้หรือคอมพิวเตอร์ในโดเมน" ไมโครซอฟท์อธิบาย

    "ตัวอย่างเช่น เทมเพลต Web Server ที่มีอยู่ในระบบ แต่จะไม่เกิดช่องโหว่โดยค่าเริ่มต้นเนื่องจากสิทธิ์การลงทะเบียนที่จำกัด"

    ช่องโหว่นี้ถูกค้นพบโดย Lou Scicchitano, Scot Berner, และ Justin Bollinger จาก TrustedSec ซึ่งได้เปิดเผยช่องโหว่ที่เรียกว่า "EKUwu" ในเดือนตุลาคม

    "โดยการใช้เทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ ผู้โจมตีสามารถสร้าง CSR ที่รวมถึงนโยบายการใช้งานที่ถูกต้องและมีสิทธิพิเศษกว่า Extended Key Usage ที่กำหนดในเทมเพลต" รายงานของ TrustedSec ระบุ

    "สิ่งที่จำเป็นคือสิทธิ์การลงทะเบียนเท่านั้น และช่องโหว่นี้สามารถใช้ในการสร้างใบรับรองสำหรับการยืนยันตัวตนของไคลเอนต์, การร้องขอใบรับรองโดยเอเจนต์, และการลงนามโค้ดโดยใช้เทมเพลต WebServer"

    ในรายการที่ 3 ช่องโหว่ CVE-2024-43451 ก็ได้ถูกเปิดเผยต่อสาธารณะเช่นกัน แต่ยังไม่มีรายละเอียดใด ๆ

การอัปเดตล่าสุดจากบริษัทอื่น ๆ

บริษัทอื่น ๆ ที่ได้ปล่อยอัปเดตหรือคำแนะนำด้านความปลอดภัยในเดือนพฤศจิกายน 2024 ได้แก่:

• Adobe ได้ปล่อยอัปเดตความปลอดภัยสำหรับแอปพลิเคชันหลายรายการ รวมถึง Photoshop, Illustrator, และ Commerce
• Cisco ได้ออกอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ เช่น โทรศัพท์ Cisco, Nexus Dashboard, Identity Services Engine และอื่น ๆ
• Citrix ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ใน NetScaler ADC และ NetScaler Gateway รวมถึงอัปเดตสำหรับ Citrix Virtual Apps และ Desktops ซึ่งรายงานโดย Watchtowr
• Dell ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ที่เกี่ยวกับการเรียกใช้งานโค้ดและการข้ามการตรวจสอบในระบบปฏิบัติการ SONiC OS
• D-Link ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรงใน DSL6740C ซึ่งช่วยให้สามารถแก้ไขรหัสผ่านของบัญชีได้
• Google ได้ปล่อย Chrome เวอร์ชัน 131 ซึ่งรวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 12 รายการ โดยไม่มี Zero-day
• Ivanti ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ 25 รายการใน Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), และ Ivanti Secure Access Client (ISAC)
• SAP ได้ปล่อยอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ในวัน Patch Day ของเดือนพฤศจิกายน
• Schneider Electric ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ในผลิตภัณฑ์ Modicon M340, Momentum, และ MC80
• Siemens ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรง 10/10 ใน TeleControl Server Basic ซึ่งติดตามได้ด้วยรหัส CVE-2024-44102

    ด้านล่างนี้คือรายการช่องโหว่ทั้งหมดที่ได้รับการแก้ไขในการอัปเดต Patch Tuesday เดือนพฤศจิกายน 2024 หากต้องการเข้าถึงคำอธิบายฉบับเต็มของแต่ละช่องโหว่และระบบที่ได้รับผลกระทบ สามารถดูรายงานฉบับเต็มได้ที่นี่

Tag	CVE ID	CVE Title	Severity
.NET and Visual Studio	CVE-2024-43499	.NET and Visual Studio Denial of Service Vulnerability	Important
.NET and Visual Studio	CVE-2024-43498	.NET and Visual Studio Remote Code Execution Vulnerability	Critical
Airlift.microsoft.com	CVE-2024-49056	Airlift.microsoft.com Elevation of Privilege Vulnerability	Critical
Azure CycleCloud	CVE-2024-43602	Azure CycleCloud Remote Code Execution Vulnerability	Important
LightGBM	CVE-2024-43598	LightGBM Remote Code Execution Vulnerability	Important
Microsoft Defender for Endpoint	CVE-2024-5535	OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread	Important
Microsoft Edge (Chromium-based)	CVE-2024-10826	Chromium: CVE-2024-10826 Use after free in Family Experiences	Unknown
Microsoft Edge (Chromium-based)	CVE-2024-10827	Chromium: CVE-2024-10827 Use after free in Serial	Unknown
Microsoft Exchange Server	CVE-2024-49040	Microsoft Exchange Server Spoofing Vulnerability	Important
Microsoft Graphics Component	CVE-2024-49031	Microsoft Office Graphics Remote Code Execution Vulnerability	Important
Microsoft Graphics Component	CVE-2024-49032	Microsoft Office Graphics Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49029	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49026	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49027	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49028	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49030	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office SharePoint	ADV240001	Microsoft SharePoint Server Defense in Depth Update	None
Microsoft Office Word	CVE-2024-49033	Microsoft Word Security Feature Bypass Vulnerability	Important
Microsoft PC Manager	CVE-2024-49051	Microsoft PC Manager Elevation of Privilege Vulnerability	Important
Microsoft Virtual Hard Drive	CVE-2024-38264	Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability	Important
Microsoft Windows DNS	CVE-2024-43450	Windows DNS Spoofing Vulnerability	Important
Role: Windows Active Directory Certificate Services	CVE-2024-49019	Active Directory Certificate Services Elevation of Privilege Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-43633	Windows Hyper-V Denial of Service Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-43624	Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability	Important
SQL Server	CVE-2024-48998	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48997	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48993	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49001	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49000	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48999	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49043	Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-43462	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48995	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48994	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-38255	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48996	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-43459	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49002	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49013	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49014	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49011	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49012	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49015	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49018	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49021	Microsoft SQL Server Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49016	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49017	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49010	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49005	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49007	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49003	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49004	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49006	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49009	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49008	SQL Server Native Client Remote Code Execution Vulnerability	Important
TorchGeo	CVE-2024-49048	TorchGeo Remote Code Execution Vulnerability	Important
Visual Studio	CVE-2024-49044	Visual Studio Elevation of Privilege Vulnerability	Important
Visual Studio Code	CVE-2024-49050	Visual Studio Code Python Extension Remote Code Execution Vulnerability	Important
Visual Studio Code	CVE-2024-49049	Visual Studio Code Remote Extension Elevation of Privilege Vulnerability	Moderate
Windows CSC Service	CVE-2024-43644	Windows Client-Side Caching Elevation of Privilege Vulnerability	Important
Windows Defender Application Control (WDAC)	CVE-2024-43645	Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability	Important
Windows DWM Core Library	CVE-2024-43636	Win32k Elevation of Privilege Vulnerability	Important
Windows DWM Core Library	CVE-2024-43629	Windows DWM Core Library Elevation of Privilege Vulnerability	Important
Windows Kerberos	CVE-2024-43639	Windows Kerberos Remote Code Execution Vulnerability	Critical
Windows Kernel	CVE-2024-43630	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows NT OS Kernel	CVE-2024-43623	Windows NT OS Kernel Elevation of Privilege Vulnerability	Important
Windows NTLM	CVE-2024-43451	NTLM Hash Disclosure Spoofing Vulnerability	Important
Windows Package Library Manager	CVE-2024-38203	Windows Package Library Manager Information Disclosure Vulnerability	Important
Windows Registry	CVE-2024-43641	Windows Registry Elevation of Privilege Vulnerability	Important
Windows Registry	CVE-2024-43452	Windows Registry Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43631	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43646	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43640	Windows Kernel-Mode Driver Elevation of Privilege Vulnerability	Important
Windows SMB	CVE-2024-43642	Windows SMB Denial of Service Vulnerability	Important
Windows SMBv3 Client/Server	CVE-2024-43447	Windows SMBv3 Server Remote Code Execution Vulnerability	Important
Windows Task Scheduler	CVE-2024-49039	Windows Task Scheduler Elevation of Privilege Vulnerability	Important
Windows Telephony Service	CVE-2024-43628	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43621	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43620	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43627	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43635	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43622	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43626	Windows Telephony Service Elevation of Privilege Vulnerability	Important
Windows Update Stack	CVE-2024-43530	Windows Update Stack Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43643	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43449	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43637	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43634	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43638	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows VMSwitch	CVE-2024-43625	Microsoft Windows VMSwitch Elevation of Privilege Vulnerability	Critical
Windows Win32 Kernel Subsystem	CVE-2024-49046	Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability	Important

Ref : bleepingcomputer.com