แจ้งเตือนช่องโหว่ AVGater กระทบผลิตภัณฑ์ป้องกันมัลแวร์หลายรายการ
นักวิจัยด้านความปลอดภัย florian จาก bogner.sh ได้ประกาศการค้นพบช่องโหว่ล่าสุดเมื่อสัปดาห์ที่ผ่านมาซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตัวเองได้จากการโจมตีฟีเจอร์กักกันของผลิตภัณฑ์ป้องกันมัลแวร์ ภายใต้ชื่อช่องโหว่ AVGater
ในการทำงานของโปรแกรมป้องกันมัลแวร์ในเบื้องต้นนั้น โปรแกรมป้องกันมัลแวร์จะมีส่วนที่มีสิทธิ์การทำงานระดับเดียวกับผู้ใช้งานโดยทั่วไปและสิทธิ์การทำงานที่มีระดับสูงเทียบเท่าระบบซึ่งจะเป็นส่วนที่โปรแกรมป้องกันมัลแวร์ทำงานอย่างแท้จริง ช่องโหว่ดังกล่าวเกิดขึ้นที่ฟีเจอร์กักกัน (quarantine) ของโปรแกรมป้องกันมัลแวร์ที่มีการยกระดับสิทธิ์ของตัวเองมันเอง ทำให้ผู้โจมตีสามารถใช้พฤติกรรมดังกล่าวในการช่วยระดับสิทธิ์ของผู้โจมตีเองด้วยได้
ในการโจมตี่ช่องโหว่ AVGater นั้น ผู้โจมตีจะต้องเข้าไปเปลี่ยนแปลงกระบวนการกู้คืนไฟล์จากการถูกกักกันโดยการใช้คุณสมบัติหนึ่งของวิธีการจัดเก็บข้อมูลในระบบไฟล์ NTFS เรียกว่า Directory Junction ซึ่งเป็นการสร้าง "ลิงค์" ไปยังไดเรกทอรีใดๆ ก็ได้ ซึ่งโดยสรุปแล้วผู้โจมตีสามารถทำการโจมตีได้โดยการ
1. สร้างไฟล์ DLL ที่เป็นอันตราย (ที่แน่ใจว่าจะถูกโปรแกรมป้องกันมัลแวร์กักกัน) และปล่อยให้โปรแกรมมัลแวร์ทำการกักกัน
2. ใช้ NTFS Directory Junction ในการย้ายพาธที่ไฟล์จะถูกกู้คืนไปยังพาธอื่น เช่น C:\Program Files หรือ C:\Windows เพื่อโจมตีด้วยวิธี DLL sideloading
3. เมื่อโปรแกรมเริ่มทำงานและมีการเรียกใช้ DLL ไฟล์ DLL ที่เป็นอันตรายจะถูกเรียกและทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ของระบบได้
ในขณะนี้ผลิตภัณฑ์ที่ได้รับผลกระทบนั้นได้แก่ Trend Micro, Emsisoft, Kaspersky, Malwarebytes, ZoneAlarm และ IKARUS ขอให้ผู้ใช้งานและผู้ดูแลระบบทำการตรวจสอบแพตช์ด้านความปลอดภัยของซอฟต์แวร์ที่ระบุไว้ในข้างต้นเพื่อป้องกันการโจมตีผ่านทางช่องโหว่ดังกล่าว
ที่มา : bogner
You must be logged in to post a comment.