แสดงบทความที่มีป้ายกำกับ zero-day แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ zero-day แสดงบทความทั้งหมด

03/12/2567

ช่องโหว่ Zero-days ใน Firefox และ Windows กำลังถูกโจมตีจากกลุ่มผู้ไม่ประสงค์ดี RomCom จากรัสเซีย


    กลุ่มอาชญากรรมทางไซเบอร์ RomCom จากรัสเซีย กำลังใช้ช่องโหว่แบบ Zero-Days 2 รายการในการโจมตีครั้งล่าสุด โดยมุ่งเป้าไปที่ผู้ใช้งาน Firefox และ Tor Browser ในยุโรป และอเมริกาเหนือ
  • ช่องโหว่ที่ 1 CVE-2024-9680: เป็นช่องโหว่แบบ use-after-free ในฟีเจอร์ animation timeline ของ Firefox ซึ่งช่วยให้สามารถเรียกใช้โค้ดใน sandbox ของเว็บเบราว์เซอร์ ได้ โดย Mozilla ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อวันที่ 9 ตุลาคม 2024 เพียงหนึ่งวันหลังจากที่ ESET รายงานปัญหานี้
  • ช่องโหว่ที่ 2 CVE-2024-49039: ช่องโหว่การยกระดับสิทธิ์ ใน Windows Task Scheduler service ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้โค้ดนอก sandbox ของ Firefox ได้ Microsoft ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อต้นเดือนที่ผ่านมา เมื่อวันที่ 12 พฤศจิกายน 2024
    RomCom ใช้ช่องโหว่ทั้ง 2 รายการในการโจมตีแบบ Zero-Days ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน เป้าหมายของพวกเขาเพียงแค่ให้ผู้ใช้งานเข้าชมเว็บไซต์ที่ถูกควบคุม และปรับแต่งโดยผู้ไม่ประสงค์ดีก็เพียงพอที่จะทำให้มีการดาวน์โหลด และรันแบ็คดอร์ RomCom บนระบบของเหยื่อ
    จากชื่อของหนึ่งใน JavaScript ที่ใช้ในการโจมตี (main-tor.js) แสดงให้เห็นว่าผู้ไม่ประสงค์ดีได้มุ่งเป้าไปที่ผู้ใช้งาน Tor Browser ด้วย (เวอร์ชัน 12 และ 13 ตามการวิเคราะห์ของ ESET)


    Damien Schaeffer นักวิจัยจาก ESET ระบุว่า "กระบวนการโจมตีประกอบด้วยเว็บไซต์ปลอมที่จะเปลี่ยนเส้นทางของเหยื่อไปยังเซิร์ฟเวอร์ที่มีโค้ดสำหรับการโจมตี และหากการโจมตีสำเร็จ shell code จะถูกรันเพื่อดาวน์โหลด และรันแบ็คดอร์ RomCom"
    "แม้เราไม่ทราบว่าลิงก์ไปยังเว็บไซต์ปลอมนั้นถูกเผยแพร่ได้อย่างไร แต่หากมีการเข้าถึงหน้าเว็บด้วยเบราว์เซอร์ที่มีช่องโหว่ เพย์โหลดจะถูกดาวน์โหลด และรันบนคอมพิวเตอร์ของเหยื่อโดยไม่ต้องมีการโต้ตอบใด ๆ จากผู้ใช้"
    เมื่อมัลแวร์ถูกติดตั้งบนอุปกรณ์ของเหยื่อแล้ว ผู้ไม่ประสงค์ดีสามารถรันคำสั่ง และติดตั้งเพย์โหลดอื่นเพิ่มเติมได้
    ESET ระบุเพิ่มเติมว่า "การเชื่อมโยงช่องโหว่ Zero-Day 2 รายการเข้าด้วยกันช่วยให้ RomCom มีโค้ดโจมตีที่ไม่ต้องการการโต้ตอบจากผู้ใช้ ความซับซ้อนในระดับนี้แสดงให้เห็นถึงความตั้งใจ และความสามารถของผู้ไม่ประสงค์ดีในการพัฒนาความสามารถที่มากขึ้น"
    นอกจากนี้ จำนวนความพยายามโจมตีที่ประสบความสำเร็จของแบ็คดอร์ RomCom บนอุปกรณ์ของเหยื่อ ทำให้ ESET เชื่อว่านี่เป็นแคมเปญการโจมตีในวงกว้าง ESET ระบุว่า "จำนวนเป้าหมายที่อาจได้รับผลกระทบมีตั้งแต่เหยื่อเพียงรายเดียวต่อประเทศไปจนถึงสูงสุดถึง 250 ราย ตามข้อมูลจากระบบ telemetry ของ ESET"


    เหตุการณ์นี้ไม่ใช่ครั้งแรกที่ RomCom ใช้ช่องโหว่ Zero-Day ในการโจมตี โดยในเดือนกรกฎาคม 2023 ผู้ไม่ประสงค์ดีได้ใช้ช่องโหว่ Zero-Day (CVE-2023-36884) ในผลิตภัณฑ์หลายตัวของ Windows และ Office เพื่อโจมตีองค์กรที่เข้าร่วมการประชุม NATO Summit ที่เมืองวิลนีอุส ประเทศลิทัวเนีย
    RomCom (ซึ่งยังถูกติดตามในชื่อ Storm-0978, Tropical Scorpius หรือ UNC2596) โดยเชื่อมโยงกับแคมเปญที่มีแรงจูงใจทางการเงิน, การโจมตีด้วยแรนซัมแวร์ และการขู่กรรโชก รวมถึงการขโมยข้อมูล credential (ซึ่งน่าจะมีเป้าหมายในการสนับสนุนการดำเนินการด้านข่าวกรอง)
    กลุ่มผู้ไม่ประสงค์ดียังถูกเชื่อมโยงกับการโจมตีด้วยแรนซัมแวร์ Industrial Spy ซึ่งหลังจากนั้นได้เปลี่ยนไปใช้แรนซัมแวร์ Underground
ตามรายงานของ ESET ตอนนี้ RomCom กำลังมุ่งเป้าไปที่องค์กรในยูเครน ยุโรป และอเมริกาเหนือ สำหรับการโจมตีเพื่อจารกรรมข้อมูลในหลากหลายอุตสาหกรรม ซึ่งรวมถึงหน่วยงานรัฐบาล, กลาโหม, พลังงาน, ยา และประกันภัย

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

27/11/2567

ผู้ไม่ประสงค์ดีชาวจีนใช้ช่องโหว่ Zero-Day ใน Fortinet VPN เพื่อขโมยข้อมูล Credentials


    พบผู้ไม่ประสงค์ดีชาวจีนใช้ชุดเครื่องมือ post-exploitation toolkit ในชื่อ "DeepData" เพื่อโจมตีช่องโหว่ Zero-Day ใน FortiClient Windows VPN client เพื่อโมยข้อมูล credentials
    โดยช่องโหว่ Zero-Day ดังกล่าว ทำให้ ผู้ไม่ประสงค์ดีสามารถ dump ข้อมูล credentials จากหน่วยความจำหลังจากที่ผู้ใช้งานผ่านการยืนยันตัวตนผ่านอุปกรณ์ VPN
    นักวิจัยของ Volexity รายงานว่า พวกเขาพบช่องโหว่นี้ในช่วงต้นฤดูร้อน และรายงานให้ Fortinet ทราบเมื่อวันที่ 18 กรกฎาคม 2024 และ Fortinet ยอมรับช่องโหว่ดังกล่าวเมื่อวันที่ 24 กรกฎาคม 2024 แต่ช่องโหว่ยังคงไม่ได้รับการแก้ไข และยังไม่มีการระบุหมายเลข CVE ให้กับช่องโหว่ดังกล่าว

การกำหนดเป้าหมายการโจมตีไปยังข้อมูลประจำตัว VPN
    การโจมตีที่ถูกดำเนินการโดย ผู้ไม่ประสงค์ดีชาวจีน ที่มีชื่อว่า "BrazenBamboo" ซึ่งเป็นที่รู้จักกันดีในการพัฒนา และใช้งานมัลแวร์ขั้นสูงที่โจมตีระบบ Windows, macOS, iOS และ Android
    Volexity อธิบายว่า ผู้ไม่ประสงค์ดีได้ใช้มัลแวร์จำนวนมากในการโจมตี รวมถึงมัลแวร์ LightSpy และ DeepPost
    LightSpy เป็นสปายแวร์ที่ทำงานได้หลายแพลตฟอร์ม สำหรับการรวบรวมข้อมูล keylogging การขโมยข้อมูล browser credential และการดักจับการเชื่อมต่อ

DeepPost เป็นมัลแวร์ที่ใช้เพื่อขโมยข้อมูลจากอุปกรณ์ที่ถูกโจมตี
    ทั้งนี้ รายงานของ Volexity ได้มุ่งเน้นไปที่ DeepData ซึ่งเป็นเครื่องมือ post-exploitation tool สำหรับ Windows ซึ่งใช้ plugins หลายตัวเพื่อขโมยข้อมูล
    โดย DeepData เวอร์ชันล่าสุด ที่พบเมื่อฤดูร้อน มี FortiClient plugin ที่ใช้โจมตีช่องโหว่ Zero-Day เพื่อขโมยข้อมูล credentials (ชื่อผู้ใช้ และรหัสผ่าน) และข้อมูล VPN server
ซึ่ง DeepData จะค้นหา และถอดรหัส JSON objects ในหน่วยความจำของ FortiClient process และขโมยข้อมูลเหล่านี้ส่งไปยัง C2 Server ของ ผู้ไม่ประสงค์ดีโดยใช้ DeepPost
    ในการโจมตีเพื่อเจาะ VPN accounts จะทำให้กลุ่ม BrazenBamboo สามารถเข้าถึงเครือข่ายองค์กรได้ จากนั้นจะทำการแพร่กระจายต่อไปในระบบ เพื่อเข้าถึงระบบที่มีความสำคัญ และขยายขอบเขตของแคมเปญการโจมตีออกไป

ช่องโหว่ Zero-Day ใน FortiClient
    Volexity พบว่า DeepData ใช้ช่องโหว่ Zero-Day ใน FortiClient เพื่อโจมตีเป้าหมายในช่วงกลางเดือนกรกฎาคม 2024 ซึ่งคล้ายกับช่องโหว่ในปี 2016 (ไม่มี CVE เช่นกัน) เป็นช่องโหว่ใน hardcoded memory ที่ทำให้ข้อมูลรั่วไหล
    อย่างไรก็ตาม ช่องโหว่ที่พบในปี 2024 ถือเป็นช่องโหว่ใหม่ และแยกจากช่องโหว่อื่น และใช้โจมตีได้เฉพาะกับเวอร์ชันที่เผยแพร่ล่าสุดเท่านั้น, รวมถึงเวอร์ชันล่าสุด, v7.4.0 ซึ่งแสดงให้เห็นว่าช่องโหว่นี้อาจเชื่อมโยงกับการเปลี่ยนแปลงล่าสุดของซอฟต์แวร์
    Volexity อธิบายว่า ช่องโหว่ดังกล่าวเกิดจากความผิดพลาดของ FortiClient ในการ clear ข้อมูลที่มีความสำคัญออกจากหน่วยความจำ รวมถึงชื่อผู้ใช้, รหัสผ่าน, VPN gateway และพอร์ต ซึ่งยังคงอยู่ใน JSON objects ในหน่วยความจำ
    จนกว่า Fortinet จะยืนยันช่องโหว่ และออกแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าว ทาง Fortinet ได้แนะนำให้ทำการจำกัดการเข้าถึง VPN และตรวจสอบพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

26/11/2567

ช่องโหว่ RCE ระดับ Critical ใน VMware vCenter Server กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง


    Broadcom ออกมาแจ้งเตือนว่าพบผู้ไม่ระสงค์ดีได้ใช้ช่องโหว่ VMware vCenter Server จำนวน 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical
  • CVE-2024-38812 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Heap Overflow ในการใช้งาน DCE/RPC protocol ของ vCenter ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ที่มี vCenter รวมถึง VMware vSphere และ VMware Cloud Foundation ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest
  • CVE-2024-38813 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Privilege Escalation ที่ทำให้สามารถยกระดับสิทธิ์ไปยังระดับ Root โดยใช้ network packet ที่สร้างขึ้นมาเป็นพิเศษได้ ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest
    Broadcom ได้ออกแพตซ์อัปเดตด้านความปลอดภัยในเดือนกันยายน 2024 เพื่อแก้ไขช่องโหว่ทั้ง 2 รายการ ต่อมา Broadcom ได้อัปเดตคำเตือนด้านความปลอดภัยที่ระบุว่าแพตช์ CVE-2024-38812 เดิมนั้น ไม่สามารถแก้ไขช่องโหว่ได้อย่างสมบูรณ์ และแนะนำอย่างยิ่งให้ผู้ดูแลระบบใช้แพตช์ตัวใหม่ เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว เนื่องจากไม่มีวิธีอื่นในการลดผลกระทบ
    รวมถึง Broadcom ยังได้ออกคำแนะนำพร้อมข้อมูลเพิ่มเติม เกี่ยวกับการอัปเดตด้านความปลอดภัยบนระบบที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบต่อระบบที่ได้อัปเกรดไปแล้ว
    ในเดือนมิถุนายน 2024 บริษัทได้แก้ไขช่องโหว่ vCenter Server RCE ที่คล้ายคลึงกัน (CVE-2024-37079) ซึ่งผู้ไม่ระสงค์ดีสามารถโจมตีได้ผ่าน network packet ที่สร้างขึ้นมาเป็นพิเศษเช่นเดียวกัน
กลุ่ม Ransomware และกลุ่มผู้ไม่ระสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาล มักมุ่งเป้าหมายการโจมตีไปยังช่องโหว่ VMware vCenter ตัวอย่างเช่น ในเดือนมกราคม Broadcom เปิดเผยว่าผู้ไม่ระสงค์ดีของรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ของ vCenter Server (CVE-2023-34048) ในการโจมตีเป้าหมาย โดยเป็นช่องโหว่ Zero-Day ตั้งแต่ช่วงปลายปี 2021 เป็นอย่างน้อย
    กลุ่มผู้ไม่ระสงค์ดี(ถูกติดตามโดย Mandiant ในชื่อ UNC3886) ได้ใช้ช่องโหว่เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ผ่านทาง vSphere Installation Bundles (VIB) ที่สร้างขึ้น

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

13/11/2567

ไมโครซอฟท์ออกอัปเดตแพตช์วันอังคารประจำเดือนพฤศจิกายน 2024 แก้ไขช่องโหว่จำนวน 4 ช่องโหว่ที่เป็น Zero-day และข้อบกพร่องอื่น ๆ อีก 91 รายการ


    วันนี้เป็นวัน Patch Tuesday ของไมโครซอฟท์สำหรับเดือนพฤศจิกายน 2024 ซึ่งมีการออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ทั้งหมด 91 รายการ รวมถึงช่องโหว่ Zero-day 4 รายการ โดยมี 2 รายการที่กำลังถูกโจมตีอย่างต่อเนื่องในปัจจุบัน
    การอัปเดตครั้งนี้ได้แก้ไขช่องโหว่ที่มีความเสี่ยงสูง 4 รายการ ซึ่งแบ่งออกเป็น 2 ช่องโหว่ประเภทการเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution) และ 2 ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privileges)
จำนวนข้อบกพร่องในแต่ละประเภทของช่องโหว่มีดังนี้:
  • ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege): 26 รายการ
  • ช่องโหว่ข้ามผ่านฟีเจอร์ความปลอดภัย (Security Feature Bypass): 2 รายการ
  • ช่องโหว่การเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution): 52 รายการ
  • ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure): 1 รายการ
  • ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service): 4 รายการ
  • ช่องโหว่การปลอมแปลง (Spoofing): 3 รายการ
Windows 11 KB5046617 Link
Windows 10 KB5046613 Link

ช่องโหว่ Zero-day ที่ถูกเปิดเผย 4 รายการ
    การอัปเดต Patch Tuesday ในเดือนนี้ได้แก้ไขช่องโหว่ Zero-day จำนวน 4 รายการ โดยมี 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในปัจจุบัน และ 3 รายการที่ถูกเปิดเผยต่อสาธารณะแล้ว
    ไมโครซอฟท์กำหนดว่าช่องโหว่ Zero-day คือช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะหรือถูกโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ

ช่องโหว่ Zero-day 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในวันนี้ ได้แก่:
  • CVE-2024-43451 - ช่องโหว่การปลอมแปลงเพื่อเปิดเผยแฮช NTLM
    ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ทำให้แฮช NTLM ของผู้ใช้สามารถถูกเปิดเผยต่อผู้โจมตีจากระยะไกลได้ โดยที่ผู้ใช้มีปฏิสัมพันธ์กับไฟล์ที่เป็นอันตรายน้อยมาก
    "ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงแฮช NTLMv2 ของผู้ใช้ ซึ่งสามารถใช้เพื่อยืนยันตัวตนในนามของผู้ใช้ได้" ไมโครซอฟท์อธิบาย "เพียงแค่ผู้ใช้คลิกเลือก (คลิกเดียว), ตรวจสอบ (คลิกขวา), หรือกระทำการอื่นใดโดยไม่จำเป็นต้องเปิดหรือเรียกใช้ ก็สามารถกระตุ้นให้เกิดช่องโหว่นี้ได้" ไมโครซอฟท์กล่าวต่อ
ไมโครซอฟท์ระบุว่า Israel Yeshurun จาก ClearSky Cyber Security เป็นผู้ค้นพบช่องโหว่นี้ และได้มีการเปิดเผยต่อสาธารณะ แต่ไม่มีการเปิดเผยรายละเอียดเพิ่มเติม
  • CVE-2024-49039 - ช่องโหว่การยกระดับสิทธิ์ใน Windows Task Scheduler
    ช่องโหว่นี้ทำให้แอปพลิเคชันที่ถูกออกแบบพิเศษสามารถถูกเรียกใช้งานเพื่อยกระดับสิทธิ์ขึ้นเป็นระดับ Medium Integrity ได้"ในกรณีนี้ การโจมตีที่ประสบความสำเร็จสามารถทำได้จาก AppContainer ที่มีสิทธิ์ต่ำ ผู้โจมตีสามารถยกระดับสิทธิ์ของตนและรันโค้ดหรือเข้าถึงทรัพยากรที่มีระดับความสมบูรณ์สูงกว่า AppContainer" ไมโครซอฟท์อธิบายไมโครซอฟท์ระบุว่า การใช้ประโยชน์จากช่องโหว่นี้จะทำให้ผู้โจมตีสามารถรันฟังก์ชัน RPC ที่ปกติแล้วจำกัดเฉพาะบัญชีที่มีสิทธิ์สูงได้
    ช่องโหว่นี้ถูกค้นพบโดย Vlad Stolyarov และ Bahare Sabouri จากทีมวิเคราะห์ภัยคุกคามของ Google (Google's Threat Analysis Group) ยังไม่ทราบว่าช่องโหว่นี้ถูกโจมตีในลักษณะใด

ช่องโหว่อีก 3 รายการที่ถูกเปิดเผยต่อสาธารณะ แต่ยังไม่ถูกนำไปใช้ในการโจมตี ได้แก่:
  • CVE-2024-49040 - ช่องโหว่การปลอมแปลงใน Microsoft Exchange Server
    ไมโครซอฟท์ได้แก้ไขช่องโหว่ใน Microsoft Exchange ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลงที่อยู่อีเมลของผู้ส่งในอีเมลที่ส่งถึงผู้รับภายในเครือข่ายได้
"ไมโครซอฟท์ทราบถึงช่องโหว่ (CVE-2024-49040) ที่ช่วยให้ผู้โจมตีสามารถโจมตีด้วยการปลอมแปลงบน Microsoft Exchange Server ได้" ตามที่มีการอธิบายในคำแนะนำที่เกี่ยวข้องของไมโครซอฟท์
ช่องโหว่นี้เกิดจากการตรวจสอบส่วนหัว P2 FROM ในกระบวนการส่งอีเมลที่ยังไม่มีการป้องกันอย่างเหมาะสม
    เริ่มตั้งแต่อัปเดตด้านความปลอดภัยของ Microsoft Exchange ในเดือนนี้ ไมโครซอฟท์จะเริ่มตรวจจับและติดธงเตือนอีเมลที่มีการปลอมแปลง พร้อมทั้งแสดงข้อความเตือนในเนื้อหาอีเมลที่ระบุว่า "Notice: This email appears to be suspicious. Do not trust the information, links, or attachments in this email without verifying the source through a trusted method."
    ไมโครซอฟท์ระบุว่าช่องโหว่นี้ถูกค้นพบโดย Slonser จาก Solidlab ซึ่งได้เปิดเผยช่องโหว่นี้ต่อสาธารณะในบทความ (https://blog.slonser.info/posts/email-attacks/)
  • CVE-2024-49019 - ช่องโหว่การยกระดับสิทธิ์ใน Active Directory Certificate Services 
    ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็นผู้ดูแลโดเมนได้ โดยใช้ประโยชน์จากเทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ในระบบ
    "ตรวจสอบว่าคุณได้เผยแพร่ใบรับรองที่สร้างขึ้นโดยใช้เทมเพลตใบรับรองรุ่น 1 ที่ตั้งค่า Source of subject name เป็น 'Supplied in the request' และกำหนดสิทธิ์การลงทะเบียน (Enroll permissions) ให้กับกลุ่มบัญชีผู้ใช้ที่กว้างกว่า เช่น ผู้ใช้หรือคอมพิวเตอร์ในโดเมน" ไมโครซอฟท์อธิบาย
    "ตัวอย่างเช่น เทมเพลต Web Server ที่มีอยู่ในระบบ แต่จะไม่เกิดช่องโหว่โดยค่าเริ่มต้นเนื่องจากสิทธิ์การลงทะเบียนที่จำกัด"
    ช่องโหว่นี้ถูกค้นพบโดย Lou Scicchitano, Scot Berner, และ Justin Bollinger จาก TrustedSec ซึ่งได้เปิดเผยช่องโหว่ที่เรียกว่า "EKUwu" ในเดือนตุลาคม
    "โดยการใช้เทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ ผู้โจมตีสามารถสร้าง CSR ที่รวมถึงนโยบายการใช้งานที่ถูกต้องและมีสิทธิพิเศษกว่า Extended Key Usage ที่กำหนดในเทมเพลต" รายงานของ TrustedSec ระบุ
    "สิ่งที่จำเป็นคือสิทธิ์การลงทะเบียนเท่านั้น และช่องโหว่นี้สามารถใช้ในการสร้างใบรับรองสำหรับการยืนยันตัวตนของไคลเอนต์, การร้องขอใบรับรองโดยเอเจนต์, และการลงนามโค้ดโดยใช้เทมเพลต WebServer"
    ในรายการที่ 3 ช่องโหว่ CVE-2024-43451 ก็ได้ถูกเปิดเผยต่อสาธารณะเช่นกัน แต่ยังไม่มีรายละเอียดใด ๆ

การอัปเดตล่าสุดจากบริษัทอื่น ๆ
บริษัทอื่น ๆ ที่ได้ปล่อยอัปเดตหรือคำแนะนำด้านความปลอดภัยในเดือนพฤศจิกายน 2024 ได้แก่:
  • Adobe ได้ปล่อยอัปเดตความปลอดภัยสำหรับแอปพลิเคชันหลายรายการ รวมถึง Photoshop, Illustrator, และ Commerce
  • Cisco ได้ออกอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ เช่น โทรศัพท์ Cisco, Nexus Dashboard, Identity Services Engine และอื่น ๆ
  • Citrix ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ใน NetScaler ADC และ NetScaler Gateway รวมถึงอัปเดตสำหรับ Citrix Virtual Apps และ Desktops ซึ่งรายงานโดย Watchtowr
  • Dell ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ที่เกี่ยวกับการเรียกใช้งานโค้ดและการข้ามการตรวจสอบในระบบปฏิบัติการ SONiC OS
  • D-Link ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรงใน DSL6740C ซึ่งช่วยให้สามารถแก้ไขรหัสผ่านของบัญชีได้
  • Google ได้ปล่อย Chrome เวอร์ชัน 131 ซึ่งรวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 12 รายการ โดยไม่มี Zero-day
  • Ivanti ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ 25 รายการใน Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), และ Ivanti Secure Access Client (ISAC)
  • SAP ได้ปล่อยอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ในวัน Patch Day ของเดือนพฤศจิกายน
  • Schneider Electric ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ในผลิตภัณฑ์ Modicon M340, Momentum, และ MC80
  • Siemens ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรง 10/10 ใน TeleControl Server Basic ซึ่งติดตามได้ด้วยรหัส CVE-2024-44102
    ด้านล่างนี้คือรายการช่องโหว่ทั้งหมดที่ได้รับการแก้ไขในการอัปเดต Patch Tuesday เดือนพฤศจิกายน 2024 หากต้องการเข้าถึงคำอธิบายฉบับเต็มของแต่ละช่องโหว่และระบบที่ได้รับผลกระทบ สามารถดูรายงานฉบับเต็มได้ที่นี่

TagCVE IDCVE TitleSeverity
.NET and Visual StudioCVE-2024-43499.NET and Visual Studio Denial of Service VulnerabilityImportant
.NET and Visual StudioCVE-2024-43498.NET and Visual Studio Remote Code Execution VulnerabilityCritical
Airlift.microsoft.comCVE-2024-49056Airlift.microsoft.com Elevation of Privilege VulnerabilityCritical
Azure CycleCloudCVE-2024-43602Azure CycleCloud Remote Code Execution VulnerabilityImportant
LightGBMCVE-2024-43598LightGBM Remote Code Execution VulnerabilityImportant
Microsoft Defender for EndpointCVE-2024-5535OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overreadImportant
Microsoft Edge (Chromium-based)CVE-2024-10826Chromium: CVE-2024-10826 Use after free in Family ExperiencesUnknown
Microsoft Edge (Chromium-based)CVE-2024-10827Chromium: CVE-2024-10827 Use after free in SerialUnknown
Microsoft Exchange ServerCVE-2024-49040Microsoft Exchange Server Spoofing VulnerabilityImportant
Microsoft Graphics ComponentCVE-2024-49031Microsoft Office Graphics Remote Code Execution VulnerabilityImportant
Microsoft Graphics ComponentCVE-2024-49032Microsoft Office Graphics Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2024-49029Microsoft Excel Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2024-49026Microsoft Excel Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2024-49027Microsoft Excel Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2024-49028Microsoft Excel Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2024-49030Microsoft Excel Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointADV240001Microsoft SharePoint Server Defense in Depth UpdateNone
Microsoft Office WordCVE-2024-49033Microsoft Word Security Feature Bypass VulnerabilityImportant
Microsoft PC ManagerCVE-2024-49051Microsoft PC Manager Elevation of Privilege VulnerabilityImportant
Microsoft Virtual Hard DriveCVE-2024-38264Microsoft Virtual Hard Disk (VHDX) Denial of Service VulnerabilityImportant
Microsoft Windows DNSCVE-2024-43450Windows DNS Spoofing VulnerabilityImportant
Role: Windows Active Directory Certificate ServicesCVE-2024-49019Active Directory Certificate Services Elevation of Privilege VulnerabilityImportant
Role: Windows Hyper-VCVE-2024-43633Windows Hyper-V Denial of Service VulnerabilityImportant
Role: Windows Hyper-VCVE-2024-43624Windows Hyper-V Shared Virtual Disk Elevation of Privilege VulnerabilityImportant
SQL ServerCVE-2024-48998SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-48997SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-48993SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49001SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49000SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-48999SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49043Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-43462SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-48995SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-48994SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-38255SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-48996SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-43459SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49002SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49013SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49014SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49011SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49012SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49015SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49018SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49021Microsoft SQL Server Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49016SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49017SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49010SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49005SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49007SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49003SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49004SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49006SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49009SQL Server Native Client Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-49008SQL Server Native Client Remote Code Execution VulnerabilityImportant
TorchGeoCVE-2024-49048TorchGeo Remote Code Execution VulnerabilityImportant
Visual StudioCVE-2024-49044Visual Studio Elevation of Privilege VulnerabilityImportant
Visual Studio CodeCVE-2024-49050Visual Studio Code Python Extension Remote Code Execution VulnerabilityImportant
Visual Studio CodeCVE-2024-49049Visual Studio Code Remote Extension Elevation of Privilege VulnerabilityModerate
Windows CSC ServiceCVE-2024-43644Windows Client-Side Caching Elevation of Privilege VulnerabilityImportant
Windows Defender Application Control (WDAC)CVE-2024-43645Windows Defender Application Control (WDAC) Security Feature Bypass VulnerabilityImportant
Windows DWM Core LibraryCVE-2024-43636Win32k Elevation of Privilege VulnerabilityImportant
Windows DWM Core LibraryCVE-2024-43629Windows DWM Core Library Elevation of Privilege VulnerabilityImportant
Windows KerberosCVE-2024-43639Windows Kerberos Remote Code Execution VulnerabilityCritical
Windows KernelCVE-2024-43630Windows Kernel Elevation of Privilege VulnerabilityImportant
Windows NT OS KernelCVE-2024-43623Windows NT OS Kernel Elevation of Privilege VulnerabilityImportant
Windows NTLMCVE-2024-43451NTLM Hash Disclosure Spoofing VulnerabilityImportant
Windows Package Library ManagerCVE-2024-38203Windows Package Library Manager Information Disclosure VulnerabilityImportant
Windows RegistryCVE-2024-43641Windows Registry Elevation of Privilege VulnerabilityImportant
Windows RegistryCVE-2024-43452Windows Registry Elevation of Privilege VulnerabilityImportant
Windows Secure Kernel ModeCVE-2024-43631Windows Secure Kernel Mode Elevation of Privilege VulnerabilityImportant
Windows Secure Kernel ModeCVE-2024-43646Windows Secure Kernel Mode Elevation of Privilege VulnerabilityImportant
Windows Secure Kernel ModeCVE-2024-43640Windows Kernel-Mode Driver Elevation of Privilege VulnerabilityImportant
Windows SMBCVE-2024-43642Windows SMB Denial of Service VulnerabilityImportant
Windows SMBv3 Client/ServerCVE-2024-43447Windows SMBv3 Server Remote Code Execution VulnerabilityImportant
Windows Task SchedulerCVE-2024-49039Windows Task Scheduler Elevation of Privilege VulnerabilityImportant
Windows Telephony ServiceCVE-2024-43628Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2024-43621Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2024-43620Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2024-43627Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2024-43635Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2024-43622Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2024-43626Windows Telephony Service Elevation of Privilege VulnerabilityImportant
Windows Update StackCVE-2024-43530Windows Update Stack Elevation of Privilege VulnerabilityImportant
Windows USB Video DriverCVE-2024-43643Windows USB Video Class System Driver Elevation of Privilege VulnerabilityImportant
Windows USB Video DriverCVE-2024-43449Windows USB Video Class System Driver Elevation of Privilege VulnerabilityImportant
Windows USB Video DriverCVE-2024-43637Windows USB Video Class System Driver Elevation of Privilege VulnerabilityImportant
Windows USB Video DriverCVE-2024-43634Windows USB Video Class System Driver Elevation of Privilege VulnerabilityImportant
Windows USB Video DriverCVE-2024-43638Windows USB Video Class System Driver Elevation of Privilege VulnerabilityImportant
Windows VMSwitchCVE-2024-43625Microsoft Windows VMSwitch Elevation of Privilege VulnerabilityCritical
Windows Win32 Kernel SubsystemCVE-2024-49046Windows Win32 Kernel Subsystem Elevation of Privilege VulnerabilityImportant

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)