Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ทั้งหมด 61 รายการ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนพฤษภาคม 2024 ซึ่งรวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี
จากช่องโหว่ 61 รายการ มีอยู่หนึ่งรายการที่จัดอยู่ในช่องโหว่ระดับ Critical ส่วน 59 รายการได้ถูกจัดอยู่ในระดับสูง (Important) และอีก 1 รายการถูกจัดอยู่ในระดับความรุนแรงปานกลาง (Moderate) โดยเป็นช่องโหว่ในเบราว์เซอร์ Edge ที่ใช้พื้นฐานจาก Chromium เพิ่มเติมจาก 30 ช่องโหว่ที่ได้รับการแก้ไขไปแล้วในเดือนที่ผ่านมา รวมถึง Zero-Days 2 รายการที่เพิ่งถูกเปิดเผยเมื่อเร็ว ๆ นี้ (CVE-2024-4671 และ CVE-2024-4761)
ส่วนช่องโหว่ด้านความปลอดภัย 2 รายการในเดือนนี้ที่พบว่ากำลังถูกนำมาใช้ในการโจมตี มีดังต่อไปนี้
- CVE-2024-30040 (CVSS score: 8.8) - Windows MSHTML Platform Security Feature Bypass Vulnerability
- CVE-2024-30051 (CVSS score: 7.8) - Windows Desktop Window Manager (DWM) Core Library Elevation of Privilege Vulnerability
Microsoft ระบุในคำแนะนำสำหรับ CVE-2024-30040 ซึ่งสามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน ที่หากโจมตีช่องโหว่นี้ได้สำเร็จ สามารถเรียกใช้โค้ดที่เป็นอันตรายได้ตามที่ต้องการ ผ่านทางเอกสารที่ส่งให้กับเหยื่อ
อย่างไรก็ตามการที่จะสามารถโจมตีได้สำเร็จ ผู้โจมตีจะต้องหลอกให้เหยื่อดาวน์โหลดไฟล์ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังระบบที่มีช่องโหว่ โดยอาจถูกเผยแพร่ผ่านทางอีเมล หรือผ่านข้อความ และหลอกล่อให้พวกเขาดำเนินการดาวน์โหลดลงเครื่อง สิ่งที่น่าสนใจคือเหยื่ออาจไม่จำเป็นต้องคลิก หรือเปิดไฟล์ที่เป็นอันตรายก็อาจทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายได้
ส่วน CVE-2024-30051 สามารถทำให้ผู้โจมตีเข้าถึงสิทธิ์ SYSTEM โดยนักวิจัย 3 กลุ่มจาก Kaspersky, DBAPPSecurity WeBin Lab, Google Threat Analysis Group และ Mandiant ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ดังกล่าว แสดงให้เห็นว่าอาจกำลังมีการโจมตีโดยใช้ช่องโหว่ดังกล่าว
นักวิจัยของ Kaspersky Boris Larin และ Mert Degirmenci ระบุว่า พวกเขาสังเกตเห็นการโจมตีช่องโหว่ดังกล่าวร่วมกับการใช้งาน QakBot และมัลแวร์อื่น ๆ และเชื่อว่ามีผู้โจมตีหลายคนสามารถเข้าถึงเครื่องมือที่ใช้สำหรับการโจมตีได้
ช่องโหว่ทั้งสองถูกเพิ่มลงใน Catalog Known Exploited Vulnerabilities (KEV) โดย US Cybersecurity and Infrastructure Security Agency (CISA) โดยกำหนดให้หน่วยงาน หรือรัฐบาลกลางต้องทำการแก้ไขช่องโหว่ภายในวันที่ 4 มิถุนายน 2024
นอกจากนี้ Microsoft ยังแก้ไขช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลหลายรายการ รวมถึงช่องโหว่ 9 รายการที่ส่งผลกระทบต่อ Windows Mobile Broadband Driver และช่องโหว่ 7 รายการที่ส่งผลต่อ Windows Routing and Remote Access Service (RRAS)
ช่องโหว่ที่น่าสนใจอื่น ๆ ได้แก่ ช่องโหว่ในการยกระดับสิทธิ์ในไดรเวอร์ Common Log File System (CLFS) - CVE-2024-29996, CVE-2024-30025 (CVSS score: 7.8) และ CVE-2024-30037 (CVSS score: 7.5) - Win32k (CVE-2024-30028 และ CVE-2024-30030, CVSS score: 7.8), Windows Search Service (CVE-2024-30033, CVSS score: 7.0) และ Windows Kernel (CVE-2024-30018, CVSS score: 7.8)
ในเดือนมีนาคม 2024 Kaspersky เปิดเผยว่าผู้โจมตีกำลังพยายามใช้ประโยชน์จากช่องโหว่ในการยกระดับสิทธิ์ที่ได้รับการอัปเดตแพตซ์ไปแล้วใน Windows components เนื่องจากมันเป็นวิธีที่ง่าย และรวดเร็วในการได้สิทธิ์ NT AUTHORITY\SYSTEM
Akamai ได้สรุปเพิ่มเติมเกี่ยวกับเทคนิคการยกระดับสิทธิ์ใหม่ ที่ส่งผลกระทบต่อ Active Directory (AD) โดยใช้ประโยชน์จาก DHCP administrators group
Akamai ตั้งข้อสังเกตว่า ในกรณีที่มีการติดตั้ง DHCP Server บน Domain Controller (DC) อาจทำให้ผุ้โจมตีได้รับสิทธิ์ของ Domain admin นอกเหนือจากนี้เทคนิคเดียวกันนี้ยังสามารถนำมาใช้เพื่อสร้างกลไกการแฝงตัวอยู่ในระบบของเหยื่อได้อีกด้วย
ช่องโหว่รายการเดียวที่อยู่ในระดับปานกลางคือ CVE-2024-30050 (CVSS score: 5.4) ที่ส่งผลกระทบต่อ Windows Mark-of-the-Web (MotW) ซึ่งอาจถูกโจมตีด้วยไฟล์ที่เป็นอันตรายเพื่อหลบเลี่ยงการป้องกันได้
นอกจาก Microsoft แล้ว ผู้ให้บริการรายอื่น ๆ ยังออกแพตซ์อัปเดตด้านความปลอดภัยในช่วงไม่กี่สัปดาห์ที่ผ่านมาเพื่อแก้ไขปัญหาช่องโหว่ต่าง ๆ เช่น
- Adobe
- Android
- Apple
- Arm
- ASUS
- Atos
- Broadcom (including VMware)
- Cacti
- Cisco
- Citrix
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Google Cloud
- Google Wear OS
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise
- HP Enterprise Aruba Networks
- IBM
- Intel
- Jenkins
- Juniper Networks
- Lenovo
- Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Thunderbird
- NVIDIA
- ownCloud
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Tinyproxy
- Veeam
- Veritas
- Zimbra
- Zoom, and
- Zyxel
ที่มา : thehackernews
You must be logged in to post a comment.