นักวิจัย ได้เผยแพร่ตัวสาธิตการโจมตีช่องโหว่ Proof-of-Concept (PoC) สำหรับช่องโหว่ในการเพิ่มระดับสิทธิ์เฉพาะของ Windows ที่กำลังถูกใช้ในการโจมตีอยู่ ซึ่งช่องโหว่ดังกล่าวเป็นส่วนหนึ่งของ Patch Tuesday เดือนพฤษภาคม 2023
Win32k subsystem (Win32k.sys kernel driver) เป็นระบบจัดการตัวจัดการหน้าต่าง เอาต์พุตหน้าจอ อินพุต และกราฟิกของระบบปฏิบัติการ และทำหน้าที่เป็นอินเทอร์เฟซระหว่างฮาร์ดแวร์อินพุตประเภทต่าง ๆ ทำให้เมื่อสามารถโจมตีช่องโหว่นี้ได้สำเร็จ ก็จะสามารถยกระดับสิทธิ์ หรือสั่งรันคำสั่งได้ตามที่ต้องการ
ช่องโหว่ CVE-2023-29336 Win32k Elevation of Privilege Vulnerability (คะแนน CVSS 7.8/10 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ทำให้ผู้ใช้งานสามารถยกระดับสิทธิ์ไปยังสิทธิ์ Windows SYSTEM ซึ่งเป็นสิทธิ์ผู้ใช้สูงสุดใน Windows โดยบริษัท Avast เป็นผู้ค้นพบช่องโหว่ดังกล่าว จากการตรวจสอบเหตุการณ์การโจมตีแบบ Zero-day รวมถึงทาง CISA ก็ได้เพิ่มช่องโหว่ดังกล่าวไปใน แคตตาล็อก Known Exploited Vulnerabilities (KEV) ซึ่งเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีแล้วเช่นกัน
ต่อมานักวิจัยของ Numen บริษัทด้านความปลอดภัยทางไซเบอร์ของ Web3 ได้เปิดเผยรายละเอียดทางเทคนิคทั้งหมดเกี่ยวกับช่องโหว่ CVE-2023-29336 และเผยแพร่ตัวสาธิตการโจมตีช่องโหว่ Proof-of-Concept (PoC) สำหรับ Windows Server 2016
โดยจากการวิเคราะห์ช่องโหว่บน Windows Server 2016 นักวิจัยของ Numen พบว่า Win32k จะล็อคเฉพาะ window object แต่ไม่สามารถล็อค nested menu object ได้ ซึ่งมาจากคัดลอกโค้ดที่ล้าสมัย ไปยัง Win32k เวอร์ชันใหม่ ทำให้ menu object เสี่ยงต่อการถูกดัดแปลง หรือขโมยหาก Hacker แก้ไขข้อมูลใน system memory
การสามารถเข้าควบคุม menu object หมายถึงการได้รับสิทธิ์การเข้าถึงระดับเดียวกับโปรแกรมที่เปิดใช้งาน แม้ว่าในตอนแรกจะไม่ได้รับสิทธิ์ระดับผู้ดูแลระบบ แต่ก็เป็นช่องทางที่มีประสิทธิภาพที่จะช่วยให้ผ่านขั้นตอนต่อ ๆ ไปได้
รวมถึงนักวิจัยได้ทดลองด้วย memory layout manipulation, การ exploit triggers, ฟังก์ชัน memory read/write system และพัฒนา PoC ที่ใช้งานได้ ซึ่งสามารถยกระดับสิทธิ์ SYSTEM ได้ในที่สุด รวมไปถึงพบว่าช่องโหว่ประเภทนี้ต้องอาศัย desktop heap handle addresses […] และหากปัญหาดังกล่าวไม่ได้รับการแก้ไขอย่างละเอียด ก็จะเป็นความเสี่ยงด้านความปลอดภัยสำหรับ windows เวอร์ชันเก่า ๆ
Microsoft ระบุว่าช่องโหว่ดังกล่าวจะส่งผลกระทบต่อ Windows เวอร์ชันเก่าเท่านั้น ซึ่งรวมถึง Windows 10 เวอร์ชันเก่า, Windows Server และ Windows 8 แต่ไม่ส่งผลกระทบต่อ Windows 11
โดย Numen แนะนำให้ผู้ดูแลระบบตรวจสอบการอ่าน และเขียน offset ที่ผิดปกติในหน่วยความจำ หรือที่เกี่ยวข้องกับ window object ซึ่งอาจบ่งชี้ถึงการถูกโจมตีจาก CVE-2023-29336 เพื่อยกระดับสิทธิ์ รวมถึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์ความปลอดภัยของ Patch Tuesday เดือนพฤษภาคม 2023 โดยนอกจากจะป้องกันช่องโหว่ดังกล่าวแล้ว ยังแก้ไขช่องโหว่อีกสองรายการที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.