Microsoft ออกแพตซ์แก้ไขช่องโหว่ 61 รายการ รวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี

Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ทั้งหมด 61 รายการ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนพฤษภาคม 2024 ซึ่งรวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี

จากช่องโหว่ 61 รายการ มีอยู่หนึ่งรายการที่จัดอยู่ในช่องโหว่ระดับ Critical ส่วน 59 รายการได้ถูกจัดอยู่ในระดับสูง (Important) และอีก 1 รายการถูกจัดอยู่ในระดับความรุนแรงปานกลาง (Moderate) โดยเป็นช่องโหว่ในเบราว์เซอร์ Edge ที่ใช้พื้นฐานจาก Chromium เพิ่มเติมจาก 30 ช่องโหว่ที่ได้รับการแก้ไขไปแล้วในเดือนที่ผ่านมา รวมถึง Zero-Days 2 รายการที่เพิ่งถูกเปิดเผยเมื่อเร็ว ๆ นี้ (CVE-2024-4671 และ CVE-2024-4761)

ส่วนช่องโหว่ด้านความปลอดภัย 2 รายการในเดือนนี้ที่พบว่ากำลังถูกนำมาใช้ในการโจมตี มีดังต่อไปนี้

  • CVE-2024-30040 (CVSS score: 8.8) - Windows MSHTML Platform Security Feature Bypass Vulnerability
  • CVE-2024-30051 (CVSS score: 7.8) - Windows Desktop Window Manager (DWM) Core Library Elevation of Privilege Vulnerability

Microsoft ระบุในคำแนะนำสำหรับ CVE-2024-30040 ซึ่งสามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน ที่หากโจมตีช่องโหว่นี้ได้สำเร็จ สามารถเรียกใช้โค้ดที่เป็นอันตรายได้ตามที่ต้องการ ผ่านทางเอกสารที่ส่งให้กับเหยื่อ

อย่างไรก็ตามการที่จะสามารถโจมตีได้สำเร็จ ผู้โจมตีจะต้องหลอกให้เหยื่อดาวน์โหลดไฟล์ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังระบบที่มีช่องโหว่ โดยอาจถูกเผยแพร่ผ่านทางอีเมล หรือผ่านข้อความ และหลอกล่อให้พวกเขาดำเนินการดาวน์โหลดลงเครื่อง สิ่งที่น่าสนใจคือเหยื่ออาจไม่จำเป็นต้องคลิก หรือเปิดไฟล์ที่เป็นอันตรายก็อาจทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายได้

ส่วน CVE-2024-30051 สามารถทำให้ผู้โจมตีเข้าถึงสิทธิ์ SYSTEM โดยนักวิจัย 3 กลุ่มจาก Kaspersky, DBAPPSecurity WeBin Lab, Google Threat Analysis Group และ Mandiant ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ดังกล่าว แสดงให้เห็นว่าอาจกำลังมีการโจมตีโดยใช้ช่องโหว่ดังกล่าว

นักวิจัยของ Kaspersky Boris Larin และ Mert Degirmenci ระบุว่า พวกเขาสังเกตเห็นการโจมตีช่องโหว่ดังกล่าวร่วมกับการใช้งาน QakBot และมัลแวร์อื่น ๆ และเชื่อว่ามีผู้โจมตีหลายคนสามารถเข้าถึงเครื่องมือที่ใช้สำหรับการโจมตีได้

ช่องโหว่ทั้งสองถูกเพิ่มลงใน Catalog Known Exploited Vulnerabilities (KEV) โดย US Cybersecurity and Infrastructure Security Agency (CISA) โดยกำหนดให้หน่วยงาน หรือรัฐบาลกลางต้องทำการแก้ไขช่องโหว่ภายในวันที่ 4 มิถุนายน 2024

นอกจากนี้ Microsoft ยังแก้ไขช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลหลายรายการ รวมถึงช่องโหว่ 9 รายการที่ส่งผลกระทบต่อ Windows Mobile Broadband Driver และช่องโหว่ 7 รายการที่ส่งผลต่อ Windows Routing and Remote Access Service (RRAS)

ช่องโหว่ที่น่าสนใจอื่น ๆ ได้แก่ ช่องโหว่ในการยกระดับสิทธิ์ในไดรเวอร์ Common Log File System (CLFS) - CVE-2024-29996, CVE-2024-30025 (CVSS score: 7.8) และ CVE-2024-30037 (CVSS score: 7.5) - Win32k (CVE-2024-30028 และ CVE-2024-30030, CVSS score: 7.8), Windows Search Service (CVE-2024-30033, CVSS score: 7.0) และ Windows Kernel (CVE-2024-30018, CVSS score: 7.8)

ในเดือนมีนาคม 2024 Kaspersky เปิดเผยว่าผู้โจมตีกำลังพยายามใช้ประโยชน์จากช่องโหว่ในการยกระดับสิทธิ์ที่ได้รับการอัปเดตแพตซ์ไปแล้วใน Windows components เนื่องจากมันเป็นวิธีที่ง่าย และรวดเร็วในการได้สิทธิ์ NT AUTHORITY\SYSTEM

Akamai ได้สรุปเพิ่มเติมเกี่ยวกับเทคนิคการยกระดับสิทธิ์ใหม่ ที่ส่งผลกระทบต่อ Active Directory (AD) โดยใช้ประโยชน์จาก DHCP administrators group

Akamai ตั้งข้อสังเกตว่า ในกรณีที่มีการติดตั้ง DHCP Server บน Domain Controller (DC) อาจทำให้ผุ้โจมตีได้รับสิทธิ์ของ Domain admin นอกเหนือจากนี้เทคนิคเดียวกันนี้ยังสามารถนำมาใช้เพื่อสร้างกลไกการแฝงตัวอยู่ในระบบของเหยื่อได้อีกด้วย

ช่องโหว่รายการเดียวที่อยู่ในระดับปานกลางคือ CVE-2024-30050 (CVSS score: 5.4) ที่ส่งผลกระทบต่อ Windows Mark-of-the-Web (MotW) ซึ่งอาจถูกโจมตีด้วยไฟล์ที่เป็นอันตรายเพื่อหลบเลี่ยงการป้องกันได้

นอกจาก Microsoft แล้ว ผู้ให้บริการรายอื่น ๆ ยังออกแพตซ์อัปเดตด้านความปลอดภัยในช่วงไม่กี่สัปดาห์ที่ผ่านมาเพื่อแก้ไขปัญหาช่องโหว่ต่าง ๆ เช่น

  • Adobe
  • Android
  • Apple
  • Arm
  • ASUS
  • Atos
  • Broadcom (including VMware)
  • Cacti
  • Cisco
  • Citrix
  • CODESYS
  • Dell
  • Drupal
  • F5
  • Fortinet
  • GitLab
  • Google Chrome
  • Google Cloud
  • Google Wear OS
  • Hikvision
  • Hitachi Energy
  • HP
  • HP Enterprise
  • HP Enterprise Aruba Networks
  • IBM
  • Intel
  • Jenkins
  • Juniper Networks
  • Lenovo
  • Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
  • MediaTek
  • Mitsubishi Electric
  • MongoDB
  • Mozilla Thunderbird
  • NVIDIA
  • ownCloud
  • Palo Alto Networks
  • Progress Software
  • QNAP
  • Qualcomm
  • Rockwell Automation
  • Samsung
  • SAP
  • Schneider Electric
  • Siemens
  • SolarWinds
  • SonicWall
  • Tinyproxy
  • Veeam
  • Veritas
  • Zimbra
  • Zoom, and
  • Zyxel

ที่มา : thehackernews