Microsoft ขอให้ผู้ดูแลระบบทำการแพตช์ PowerShell เพื่อแก้ไข WDAC bypass

Microsoft ได้แจ้งให้ผู้ดูแลระบบทำการแพตช์ PowerShell 7 ที่มีช่องโหว่ 2 รายการที่ทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบของ Windows Defender Application Control (WDAC) และเข้าถึง Plain text credentials ได้

Microsoft ได้ออกอัพเดทแพตซ์เป็น PowerShell 7.0.8 และ PowerShell 7.1.5 เพื่อแก้ไขช่องโหว่เหล่านี้ใน PowerShell 7 และ PowerShell 7.1 ในเดือนกันยายนและตุลาคม

Leaked passwords และ WDAC bypass

WDAC ได้รับการออกแบบมาเพื่อช่วยป้องกัน Windows จากซอฟต์แวร์ที่อาจเป็นอันตราย โดยจะอนุญาตให้เฉพาะ Apps และ drivers ที่เชื่อถือได้เท่านั้นที่จะสามารถทำงานได้ ดังนั้นจึงสามารถบล็อกมัลแวร์ และซอฟต์แวร์ที่อาจเป็นอันตรายไม่ให้มีการรันขึ้นมา

การโจมตีจากช่องโหว่ Windows Defender Application Control security feature bypass หรือ CVE-2020-0951 ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยง Allowlist ของ WDAC ซึ่งช่วยให้พวกเขาสามารถใช้คำสั่ง PowerShell ที่ปกติจะถูกบล็อกโดย WDAC ได้

โดยไมโครซอฟท์อธิบายว่า ผู้โจมตีต้องการสิทธิ์ในการเข้าถึงระดับผู้ดูแลระบบบนเครื่อง จากนั้นก็เชื่อมต่อกับ PowerShell และส่งคำสั่งเพื่อรันโค้ดที่อาจจะเป็นอันตรายได้ตามต้องการ

ช่องโหว่ที่สอง CVE-2021-41355 เป็นช่องโหว่ Information Disclosure ใน .NET ซึ่งอาจทำให้ข้อมูลที่สำคัญรั่วไหลจากแพลตฟอร์มที่ไม่ใช่ Windows ได้

ไมโครซอฟท์อธิบายว่าช่องโหว่ Information Disclosure ใน .NET อยู่ที่ System.DirectoryServices.Protocols.LdapConnection มีการส่งข้อมูล Credeatials ในรูปแบบ Plain text บนระบบปฏิบัติการที่ไม่ใช่ Windows

ซึ่งช่องโหว่ CVE-2020-0951 ส่งผลกระทบต่อ PowerShell 7 และ PowerShell 7.1 ในขณะที่ CVE-2021-41355 ส่งผลกระทบต่อผู้ใช้ PowerShell 7.1 เท่านั้น โดยสามารถตรวจสอบเวอร์ชันของ PowerShell ได้โดยใช้คำสั่ง pwsh -v ใน Command Prompt เพื่อตรวจสอบความเสี่ยงที่จะถูกโจมตี

Microsoft กล่าวว่าขณะนี้ยังไม่มีมาตรการที่ช่วยลดผลกระทบ ที่สามารถบล็อกการโจมตีจากช่องโหว่เหล่านี้ได้ ซึ่งในเดือนกันยายน และตุลาคมที่ผ่านมา Microsoft ได้ออกแพตซ์อัพเดทสำหรับ PowerShell 7.0.8 และ PowerShell 7.1.5 เพื่อแก้ไขช่องโหว่ใน PowerShell 7 และ PowerShell 7.1 นี้แล้ว ดังนั้นผู้ดูแลระบบควรอัพเดทแพตซ์ PowerShell โดยเร็วที่สุดเพื่อปกป้องระบบจากการโจมตีที่อาจเกิดขึ้น

ก่อนหน้านี้ในเดือนกรกฎาคม Microsoft ได้แจ้งเตือนถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน .NET ที่มีความรุนแรงสูงใน PowerShell 7 โดยทาง Microsoft ประกาศว่าจะทำให้การอัปเดต PowerShell สำหรับลูกค้า Windows 10 และ Windows Server ให้ง่ายขึ้น โดยการปล่อยการอัปเดตในอนาคตผ่านบริการของ Microsoft Update

สำหรับรายละเอียดเกี่ยวกับเวอร์ชันของ PowerShell ที่ได้รับผลกระทบสามารถหาข้อมูลเพิ่มเติมได้ที่ github และ github

ที่มา : bleepingcomputer