Microsoft ออกแพตซ์อัปเดตประจำเดือนกรกฎาคม 2023 แก้ช่องโหว่กว่า 132 รายการ และ 6 ช่องโหว่ zero-days ซึ่งมี 1 ช่องโหว่ที่ยังไม่ถูกแก้ไข

Microsoft ออกแพตซ์อัปเดตด้านความปลอดภัยประจำเดือนกรกฎาคม 2023 โดยแก้ไขช่องโหว่กว่า 132 รายการ ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล 37 รายการ รวมถึงยังเป็นช่องโหว่ zero-days 6 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย

โดยแพตซ์อัปเดตมีการแก้ไขช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล RCE (Remote Code Execution) ไปทั้งหมด 37 รายการ ซึ่งเป็นช่องโหว่ระดับ Critical ถึง 9 รายการ แต่พบว่ามีช่องโหว่ RCE ระดับ Critical 1 รายการที่ยังไม่ถูกแก้ไข รวมถึงพบว่าช่องโหว่ดังกล่าวกำลังถูกนำมาใช้ในการโจมตี ซึ่งถูกพบโดยบริษัทด้านความปลอดภัยทางไซเบอร์หลายแห่ง

จำนวนช่องโหว่ในแต่ละหมวดหมู่ :

  • Elevation of Privilege Vulnerabilities 33 รายการ
  • Security Feature Bypass Vulnerabilities 13 รายการ
  • Remote Code Execution Vulnerabilities 37 รายการ
  • Information Disclosure Vulnerabilities19 รายการ
  • Denial of Service Vulnerabilities22 รายการ
  • Spoofing Vulnerabilities 7 รายการ

ช่องโหว่ zero-days ที่กำลังถูกนำมาใช้ในการโจมตี

CVE-2023-32046 - Windows MSHTML Platform Elevation of Privilege Vulnerability

เป็นช่องโหว่การยกระดับสิทธิ์การใช้งานใน Windows MSHTML ซึ่งถูกโจมตีผ่านการเปิดไฟล์ที่สร้างขึ้นโดย Hacker ผ่านอีเมล หรือเว็บไซต์อันตราย ช่องโหว่นี้ถูกค้นพบโดย Microsoft Threat Intelligence Center

CVE-2023-32049 - Windows SmartScreen Security Feature Bypass Vulnerability

เป็นช่องโหว่ที่ Hacker ใช้เพื่อป้องกันการแสดงข้อความ Open File - Security Warning เมื่อดาวน์โหลด และเปิดไฟล์จากอินเทอร์เน็ต

CVE-2023-36874 - Windows Error Reporting Service Elevation of Privilege Vulnerability

เป็นช่องโหว่ในการยกระดับสิทธิ์ เมื่อ Hacker ทำการโจมตีช่องโหว่จะได้รับสิทธิ์ของผู้ดูแลระบบบนอุปกรณ์ Windows ช่องโหว่นี้ถูกค้นพบโดย Googles Threat Analysis Group (TAG)

CVE-2023-35311 - Microsoft Outlook Security Feature Bypass Vulnerability

เป็นช่องโหว่ใน Microsoft Outlook ที่สามารถ Bypass คำเตือนด้านความปลอดภัย และทำงานในหน้าต่างแสดงข้อความตัวอย่าง

CVE-2023-36884 - Office and Windows HTML Remote Code Execution Vulnerability (ยังไม่ได้รับการแก้ไข)

โดยช่องโหว่ดังกล่าวทาง Microsoft ได้ถูกรายงานในช่องโหว่ของ Microsoft Office และ Windows Zero-day ที่ยังไม่ได้รับการแก้ไข ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล โดยใช้เอกสาร Microsoft Office ที่สร้างขึ้นจาก Hacker เพื่อใช้ในการโจมตี ซึ่งถูกใช้ในการโจมตีจากกลุ่ม RomCom ที่มีความเชื่อมโยงกับการโจมตีของกลุ่ม Cuba ransomware จากหลักฐานที่อยู่ในจดหมายเรีกค่าไถ่, email addresses, TOX chat ID และลิงก์ที่เกี่ยวข้อง ซึ่งถูกค้นพบ และรายงานโดย Palo Alto และ CISA

โดยในขณะนี้ช่องโหว่ดังกล่าวยังไม่ได้รับการแก้ไขอย่างเป็นทางการ Microsoft จึงได้ให้คำแนะนำในการตั้งค่าเพื่อป้องกันช่องโหว่ดังกล่าวด้วยตยเองในเบื้องต้นดังนี้

สำหรับผู้ใช้งานที่มี Microsoft Defender for Office แนะนำให้ทำการ Block แอปพลิเคชัน Office ทั้งหมดที่มาจาก process ย่อย หรือ child processes เพื่อป้องกันไฟล์แนบที่ถูกสร้างขึ้นจากช่องโหว่ และลดความเสี่ยงการถูกโจมตีจากช่องโหว่

สำหรับผู้ใช้งานที่ไม่มี Microsoft Defender for Office แนะนำให้ทำการเพิ่มชื่อแอปพลิเคชันต่อไปนี้ใน registry key : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION และเปลี่ยนค่า values ของ type REG_DWORD ด้วย data 1 ดังนี้

  • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

ช่องโหว่ดังกล่าวได้ถูกเปิดเผยโดย Microsoft Threat Intelligence, Threat Analysis Group (TAG), ทีมรักษาความปลอดภัยกลุ่มผลิตภัณฑ์ Microsoft Office

นอกจากนี้ทาง Microsoft ยังได้เผยแพร่ ADV230001 - Guidance on Microsoft Signed Drivers Being Used Maliciously ซึ่งเป็นรายงานที่ทาง Microsoft ได้ทำการถอนใบรับรองของบัญชีนักพัฒนาที่ใช้ช่องโหว่นโยบายของ Windows เพื่อติดตั้งไดรเวอร์ kernel-mode ที่เป็นอันตราย หลังจากที่ได้รับแจ้งว่าไดรเวอร์ที่รับรองโดย Windows Hardware Developer Program ของ Microsoft กำลังถูกใช้ในการโจมตีช่องโหว่เหล่านี้ เพื่อยกระดับสิทธิ์เป็นผู้ดูแลระบบบนระบบเป้าหมาย ก่อนที่จะใช้ไดรเวอร์อันตรายในการโจมตีต่อไป

ทั้งนี้สามารถดูรายละเอียดของช่องโหว่ที่ทาง Microsoft ได้ออกอัปเดตด้านความปลอดภัยประจำเดือนกรกฎาคม 2023 รายงานฉบับเต็ม ได้จาก Link นี้

 

ที่มา : bleepingcomputer