ช่องโหว่หมายเลข CVE-2019-0859 ที่ส่งผลให้มีการเพิ่มระดับสิทธิ์ และมีการแอบฝัง PowerShell backdoor ไปยังระบบปฎิบัติการ Windows ได้ ปัจจุบันได้ถูกแก้ไขแพทช์ล่าสุดของ Microsoft และมีการอัพเดทแพทช์ ประจำเดือนเมษายน 2019 แล้ว
ทาง Kaspersky กล่าวว่าช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานฟรี จะถูกใช้โดยนักแสดงการคุกคามที่ไม่มีชื่อในการดำเนินการ PowerShell ซึ่งเป็นงานอัตโนมัติของ Microsoft และการจัดการการกำหนดค่าเพื่อพยายามดาวน์โหลดสคริปต์ขั้นที่สองจาก Pastebin สคริปต์ระยะที่สองนี้เรียกใช้สคริปต์อื่นที่คลายการใช้ shellcode และ shellcode สร้าง HTTP reverse shell ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์ ส่วนใหญ่จะถูกโจมตีสำหรับ Windows รุ่น 64 บิต (ตั้งแต่ Windows 7 ไปจนถึงรุ่นเก่ากว่าของ Windows 10) และใช้ประโยชน์จากช่องโหว่โดยใช้เทคนิค HMValidateHandle ที่รู้จักกันดีในการเลี่ยง ASLR
ส่วนช่องโหว่อื่นๆของ Windows เช่น (CVE-2019-0803) ที่คล้ายกับช่องโหว่ที่ระบุโดย Kaspersky นั้นได้รับการแก้ไขในเดือนนี้โดย Microsoft ข้อบกพร่องดังกล่าวซึ่งรายงานโดย บริษัท Donghai Zhu ของทีมรักษาความปลอดภัยข่าวกรอง Cloud ของ Alibaba ก็ถูกนำไปใช้เช่นกัน แต่ก็ไม่มีรายละเอียดใด ๆ เกี่ยวกับการโจมตี
ที่มา: www.securityweek.com
You must be logged in to post a comment.