Microsoft พบช่องโหว่ที่สามารถแพร่กระจายในลักษณะ Wormable, ช่องโหว่ RCE ในระดับ Critical และ 6 ช่องโหว่ Zero-Days

 

Moscow, Russia - January, 2021: Retro logo of Microsoft Windows operation system abstract bokeh background

การอัปเดต Patch Tuesday ครั้งใหญ่ในเดือนมกราคม 2022 ของ Microsoft ** ครอบคลุม CVE ที่สำคัญ 9 รายการ

Microsoft ได้แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 97 รายการในการอัปเดต Patch Tuesday ประจำเดือนมกราคมปี 2022 โดย 9 รายการอยู่ในอันดับ Critical รวมถึง 6 รายการที่มีสถานะเป็น Zero-days ที่ถูกเปิดเผยออกสู่สาธารณะ

การแก้ไขครอบคลุมกลุ่มผลิตภัณฑ์คอมพิวเตอร์ค่ายใหญ่ทั้งหลาย ซึ่งรวมถึง: Microsoft Windows และ Windows Components, Microsoft Edge (ที่ใช้ Chromium), Exchange Server, Microsoft Office และ Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, ซอฟต์แวร์โอเพ่นซอร์ส , Windows Hyper-V, Windows Defender และ Windows Remote Desktop Protocol (RDP)

Dustin Childs นักวิจัยจาก Zero Day Initiative (ZDI) ของ Trend Micro อธิบายว่า "นี่เป็นการอัปเดตครั้งใหญ่มากผิดปกติในเดือนมกราคม" "ในช่วงไม่กี่ปีที่ผ่านมา จำนวนแพตช์เฉลี่ยที่ออกในเดือนมกราคมมีประมาณครึ่งหนึ่งของครั้งนี้ มีแนวโน้มว่าเราอาจจะพบการอัพเดทจำนวนมากระดับนี้ตลอดทั้งปี"

Zero-Day Tsunami

ถึงจะมี Zero-Day ออกมาจำนวนมาก แต่ยังไม่มี Zero-Day ตัวใดที่ถูกระบุว่าถูกนำไปใช้โจมตีอย่างชัดเจน แม้ว่าจะมีสองรหัสได้แก่ CVE-2022-21919 และ CVE-2022-21836 ที่ถูกนำไปใช้อย่างแพร่หลาย จากทั้งหมดนี้

CVE-2021-22947: HackerOne-assigned CVE in open-source Curl library (RCE)
CVE-2021-36976: MITRE-assigned CVE in open-source Libarchive (RCE)
CVE-2022-21874: Local Windows Security Center API (RCE, CVSS score of 7.8)
CVE-2022-21919: Windows User Profile Service (privilege escalation, CVSS 7.0)
CVE-2022-21839: Windows Event Tracing Discretionary Access Control List (denial-of-service, CVSS 6.1).
CVE-2022-21836: Windows Certificate (spoofing, CVSS 7.8).

cURL bug ถูกเปิดเผยโดย HackerOne เมื่อเดือนกันยายน 2564 Childs กล่าวในการวิเคราะห์ Patch Tuesday ของ ZDI"
และแพตช์นี้ได้รวมไลบรารี cURL ล่าสุดไว้ในผลิตภัณฑ์ของ Microsoft ด้วยนี่คือเหตุผลที่ CVE นี้ถูกทำให้รู้จักกันอย่างแพร่หลาย ในทำนองเดียวกัน แพตช์สำหรับไลบรารี Libarchive ก็ถูกเปิดเผยในปี 2021 และเวอร์ชันล่าสุดของไลบรารีนี้กำลังถูกรวมเข้ากับผลิตภัณฑ์ของ Microsoft ด้วย"

ช่องโหว่ระดับ Critical และช่องโหว่ในลักษณะ Wormable แนะนำให้รีบ Patch โดยทันที

ปัญหา Remote Code-execution (RCE) ในสแต็คโปรโตคอล HTTP นั้นเป็นที่สนใจสำหรับนักวิจัย เนื่องจากมันสามารถใช้ในการแพร่กระจายการโจมตีได้อย่างรวดเร็ว กล่าวคือ ช่องโหว่นี้สามารถแพร่กระจายตัวเองได้เองผ่านเครือข่าย โดยไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆ โดยช่องโหว่นี้มีระดับความรุนแรงของช่องโหว่สูงที่สุดของการอัปเดตทั้งหมด โดยมีคะแนนอยู่ที่ 9.8

ช่องโหว่ CVE-2022-21907 ทำงานโดยการส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษไปยังระบบเป้าหมายโดยใช้ HTTP protocol stack (http.sys) เพื่อประมวลผลแพ็กเก็ตเหล่านั้น

"ช่องโหว่จะกำหนดเป้าหมายไปที่ HTTP trailer support feature ซึ่งช่วยให้ผู้ส่งสามารถรวมฟิลด์เพิ่มเติมในข้อความที่สร้างขึ้นเป็นพิเศษเพื่อจัดหา metadata โดยการจัดเตรียมข้อความที่สร้างขึ้นเป็นพิเศษนี้ สามารถนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้" Danny Kim นักวิจัยจาก Virsec อธิบาย

"โดยไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆ ไม่ต้องการสิทธิ์ใดๆ และ service ที่ทำให้เกิดการโจมตีในลักษณะ Wormable" Childs เตือน "แม้ว่าช่องโหว่นี้จะเน้นไปที่เซิร์ฟเวอร์มากกว่า แต่อย่าลืมว่าไคลเอนต์ Windows ยังสามารถเรียกใช้ http.sys ได้ ดังนั้นเวอร์ชันที่ได้รับผลกระทบทั้งหมดจะได้รับผลกระทบจากช่องโหว่นี้ แนะนำให้รีบตรวจสอบ และแก้ไขโดยทันที"

Danny Kim มีการตั้งข้อสังเกตว่า CVE-2022-21907 เป็นช่องโหว่ที่อันตรายอย่างยิ่ง เนื่องจากความสามารถในการทำให้การโจมตีส่งผลต่อ intranet ทั้งหมดเมื่อการโจมตีสำเร็จ
"ช่องโหว่นี้เป็นตัวอย่างล่าสุดของความสามารถของซอฟต์แวร์ที่สามารถแก้ไข และใช้โจมตีได้" เขากล่าว "แม้ว่า Microsoft ได้จัดเตรียมแพตช์อย่างเป็นทางการ แต่ช่องโหว่นี้เป็นเครื่องเตือนใจอีกอย่างหนึ่งว่าคุณสมบัติของซอฟต์แวร์ที่เปิดโอกาสให้ผู้โจมตีใช้ฟังก์ชันการทำงานในทางที่ผิด สามารถนำไปสู่การกระทำที่เป็นอันตรายได้"

ช่องโหว่ด้านความปลอดภัยที่สำคัญอื่นๆ ในเดือนมกราคม 2022 หนึ่งในนั้นยังไม่ได้รับการแก้ไข

ช่องโหว่ RCE ที่มีคะแนนระดับสูงที่น่าสนใจอีกหนึ่งช่องโหว่คือ CVE-2022-21840 ใน Microsoft Office ซึ่งที่สำคัญยังไม่มีแพตช์สำหรับ Office 2019 สำหรับ Mac และ Microsoft Office LTSC สำหรับ Mac 2021 (CVSS 8.8)

"ช่องโหว่ RCE ที่เกี่ยวข้องกับ Office ส่วนใหญ่ที่มีความรุนแรงสูงเหยื่อต้องมีการดำเนินการบางอย่างกับไฟล์ Office และมักจะมาในลักษณะการแจ้งเตือนให้ทำอะไรบางอย่าง" Childs กล่าว "แต่ช่องโหว่นี้มีความอันตรายมากกว่าเพราะว่าไม่มีการแจ้งเตือน หรือให้ดำเนินการใดๆเมื่อมีการเปิดไฟล์ที่ผู้โจมตีสร้างขึ้นมาเป็นพิเศษ"

Microsoft ยังได้แก้ไข CVE-2022-21846 (CVSS 9.0) ซึ่งเป็นช่องโหว่ RCE ที่สำคัญใน Microsoft Exchange Server ที่รายงานโดย National Security Agency ซึ่งระบุว่า "ช่องโหว่นี้มีแนวโน้มที่จะถูกใช้โจมตีมากขึ้น" เป็นหนึ่งในสามของ Exchange RCE ที่ได้รับการแก้ไขในเดือนนี้ (ส่วนอื่นๆ คือ CVE-2022-21969 และ CVE-2022-21855) ซึ่งทั้งหมดระบุว่าเป็น "network adjacent" ซึ่งหมายความว่าผู้โจมตีจะต้องอยู่ในเครือข่ายเป้าหมาย จึงจะโจมตีได้สำเร็จ

แม้จะมีคะแนนระดับที่สูง แต่ "Microsoft ตั้งข้อสังเกตว่า Attack Vector ของการโจมตีจะต้องอาศัยการทำงานของระบบบางอย่าง ซึ่งแตกต่างจากช่องโหว่ ProxyLogon และ ProxyShell ที่สามารถโจมตีโดยสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล" Satnam Narang นักวิจัยของ Tenable กล่าว

หนึ่งใน Zero-days ที่ถูกระบุว่ามีความสำคัญเช่นกัน คือ CVE-2021-22947 ซึ่งพบในไลบรารี cURL โอเพ่นซอร์สที่ Windows ใช้เพื่อถ่ายโอนข้อมูลโดยใช้โปรโตคอลเครือข่ายต่างๆ นักวิจัยของ Automox Maarten Buis เปิดเผยว่าช่องโหว่ RCE นี้สามารถทำให้เกิดการโจมตีแบบ man-in-the-middle (MiTM) ได้

"ผู้โจมตีสามารถทำการโจมตีแบบ MitM โดยใช้ประโยชน์จากวิธีที่ cURL จัดการกับแคช หรือการตอบสนองแบบไปป์ไลน์จากเซิร์ฟเวอร์ IMAP, POP3, SMTP หรือ FTP" เขาอธิบายในการโพสต์เมื่อวันอังคาร "ผู้โจมตีจะส่ง Response ปลอม โดยส่งผ่านการรับส่งข้อมูล TLS จากเซิร์ฟเวอร์ที่ถูกต้อง และหลอกให้ cURL ส่งข้อมูลของผู้โจมตีกลับไปยังผู้ใช้"

ช่องโหว่เกี่ยวกับการยกระดับสิทธิ์ถูกจัดอยู่ในระดับความรุนแรงสูง CVE-2022-21857 ใน Active Directory Domain Services (CVSS 8.8)

"การแก้ไขช่องโหว่นี้จะแก้ไขข้อผิดพลาดที่อนุญาตให้ผู้โจมตียกระดับสิทธิ์เพื่อข้ามการตรวจสอบของ Active Directory ภายใต้เงื่อนไขบางประการ" Childs กล่าว "Microsoft ถือว่าช่องโหว่นี้เพียงพอสำหรับการถูกจัดอยู่ในระดับความรุนแรงสูง การโจมตีนี้ต้องการสิทธิ์ในระดับหนึ่ง เพื่อผู้โจมตีคนอื่นๆ ในเครือข่ายหรือสามารถใช้ช่องโหว่นี้เพื่อ Lateral movement เข้าสู่เครื่องข่ายของเหยื่อ และรักษาการเชื่อมต่อระหว่างผู้โจมตีกับภายในองค์กรได้"

มีช่องโหว่การยกระดับสิทธิ์ที่สำคัญอีกรายการคือ CVE-2022-21833 ใน Virtual Machine IDE Drive (CVSS 7.8) แต่การโจมตีมีความซับซ้อนสูง ตามที่ Automox กล่าว ในการใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีจะต้องเข้าถึงข้อมูลบัญชีผู้ใช้งาน เช่น ผ่านรหัสผ่านผู้ใช้ที่ไม่ปลอดภัย หรือบัญชีที่มีการควบคุมการเข้าถึงน้อยที่สุด เพื่อใช้งานช่องโหว่นี้

ช่องโหว่ความรุนแรงสูงอีกสองรายการอยู่ในเคอร์เนลกราฟิก DirectX มีคะแนนความรุนแรง 7.8 จาก 10 ในระดับความรุนแรงของช่องโหว่ CVSS คือ CVE-2022-21912 และ CVE-2022-21898

ในการโจมตีด้วยช่องโหว่กลุ่มนี้ จะเกิดจากการเปิดไฟล์ media ที่ถูกสร้างขึ้นเป็นพิเศษ และมีแนวโน้มว่าช่องโหว่นี้มีโอกาสจะพบถูกใช้ในการโจมตีบ้างแล้วในระบบต่างๆ ตามที่นักวิจัยของ Automox Jay Goodman กล่าว

"เคอร์เนลกราฟิก DirectX เป็นระบบย่อยที่ช่วยให้ส่วนประกอบภายใน เช่น การ์ดกราฟิก และไดรฟ์เวอร์ หรืออุปกรณ์ภายนอก เช่น เครื่องพิมพ์ และอุปกรณ์อินพุตสามารถทำงานได้" เขากล่าว "ผู้โจมตีสามารถใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลเหล่านี้เพื่อรันโค้ดบนระบบเป้าหมาย ซึ่งจะช่วยให้ผู้โจมตีสามารถควบคุมระบบได้อย่างเต็มที่ และสร้างฐานปฏิบัติการภายในเครือข่ายเพื่อกระจายไปยังระบบอื่นๆ ช่องโหว่ทั่วไปเหล่านี้เป็นที่นิยมใช้สำหรับผู้โจมตีที่พยายามขโมยข้อมูลองค์กร หรือแทรกซึมระบบที่มีความสำคัญ นี่เป็นสิ่งสำคัญสำหรับองค์กรในการต้องรีบอัพเดทแพตช์ และแก้ไขภายในช่วงเวลา 72 ชั่วโมงเพื่อลดความเสี่ยง"

และสุดท้าย มี CVE-2022-21917 ใน HEVC Video Extensions (RCE, CVSS 7.8)

Justin Knapp นักวิจัยของ Automox อธิบายว่า "การโจมตีที่จะประสบความสำเร็จจะต้องหลอกให้ผู้ใช้งานเปิดไฟล์ media ที่ออกแบบมาเป็นพิเศษ ซึ่งจะส่งผลให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในเครื่องของเหยื่อ" "Microsoft ไม่ได้ให้คำแนะนำในการแก้ไขช่องโหว่ด้วยวิธีการอื่นนอกเหนือจากการอัพเดทแพตช์"

Bharat Jogi ผู้อำนวยการฝ่ายวิจัยช่องโหว่ และภัยคุกคามที่ Qualys กล่าวว่า "Patch Tuesday ครั้งใหญ่นี้เกิดขึ้นในช่วงเวลาแห่งความวุ่นวาย เนื่องจากผู้ดูแลระบบส่วนใหญ่ก็ต้องทำงานล่วงเวลาเพื่อแก้ไขช่องโหว่ Log4Shell กันอยู่แล้ว"

ที่มา :threatpost