Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนสิงหาคม 2024 โดยได้แก้ไขช่องโหว่ 89 รายการ รวมถึงช่องโหว่ที่กำลังถูกใช้ในการโจมตี 6 รายการ และช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ 3 รายการ
Patch Tuesday ประจำเดือนสิงหาคม 2024 ได้แก้ไขช่องโหว่ระดับ Critical จำนวน 8 รายการ ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ (elevation of privileges), ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) และช่องโหว่การเปิดเผยข้อมูล (information disclosure)
ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :
ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 36 รายการ
ช่องโหว่การ Bypass คุณลักษณะด้านความปลอดภัย (Security Feature Bypass) 4 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 28 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 8 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 6 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 7 รายการ
ทั้งนี้จำนวนช่องโหว่ที่ระบุไว้ข้างต้นไม่รวมถึงช่องโหว่ของ Microsoft Edge
ช่องโหว่ Zero-Days 6 รายการที่ถูกแก้ไข
Patch Tuesday ประจำเดือนสิงหาคม 2024 ได้แก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตี 6 รายการ และช่องโหว่ zero-day ที่ถูกเปิดเผยต่อสาธารณะอีก 3 รายการ ช่องโหว่ zero-day ที่เปิดเผยต่อสาธารณะอีก 1 รายการที่ยังคงไม่ได้รับการแก้ไขในครั้งนี้ แต่ Microsoft กำลังดำเนินการเพื่อเตรียมอัปเดตอยู่
CVE-2024-38178 - Scripting Engine Memory Corruption Vulnerability
การโจมตีช่องโหว่ดังกล่าว จำเป็นต้องมีไคลเอนต์ที่ผ่านการยืนยันตัวตนคลิกลิงก์เพื่อทำให้ Hacker ที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ โดยต้องคลิกลิงก์ใน Microsoft Edge ในโหมด Internet Explorer ซึ่งถือเป็นช่องโหว่ที่ยากต่อการใช้โจมตี แต่ทั้งนี้ทางศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของเกาหลีใต้ (NCSC) และ AhnLab ได้เปิดเผยว่าพบช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแล้ว
CVE-2024-38193 - Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
เป็นช่องโหว่ที่ทำให้สามารถโจมตี และได้รับสิทธิ์ SYSTEM บนระบบ Windows ได้ ถูกค้นพบโดย Luigino Camastra และ Milánek จาก Gen Digital แต่ Microsoft ไม่ได้เปิดเผยรายละเอียดใด ๆ ว่าสามารถโจมตีได้อย่างไร
CVE-2024-38213 - Windows Mark of the Web Security Feature Bypass Vulnerability
เป็นช่องโหว่ที่ทำให้ Hacker สามารถสร้างไฟล์ที่สามารถ bypass การแจ้งเตือนด้านความปลอดภัยของ Windows Mark of the Web ได้ ทั้งนี้ฟีเจอร์การรักษาความปลอดภัยดังกล่าวได้ถูกค้นพบช่องโหว่อย่างต่อเนื่อง จึงตกเป็นเป้าหมายการโจมตีใน phishing campaign อย่างต่อเนื่อง ช่องโหว่ดังกล่าวถูกค้นพบโดย Peter Girnus จาก Zero Day Initiative ของ Trend Micro แต่ไม่ได้เปิดเผยว่ามีการนำช่องโหว่นี้ไปใช้ในการโจมตีได้อย่างไร
CVE-2024-38106 - Windows Kernel Elevation of Privilege Vulnerability
เป็นช่องโหว่ในการยกระดับสิทธิ์ของ Windows Kernel ทำให้ได้รับให้สิทธิ์ของระบบ ทั้งนี้การโจมตีโดยใช้ช่องโหว่ดังกล่าว Hacker จะต้องใช้ race condition และ Microsoft ยังไม่ได้เปิดเผยว่าใครเป็นผู้เปิดเผยช่องโหว่ดังกล่าว และถูกใช้โจมตีอย่างไร
CVE-2024-38107 - Windows Power Dependency Coordinator Elevation of Privilege Vulnerability
เป็นช่องโหว่ที่ทำให้ผู้โจมตีได้รับสิทธิ์ SYSTEM บนอุปกรณ์ Windows และ Microsoft ยังไม่ได้เปิดเผยว่าใครเป็นผู้เปิดเผยช่องโหว่ดังกล่าว และถูกใช้โจมตีอย่างไร
CVE-2024-38189 - Microsoft Project Remote Code Execution Vulnerability
เป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลของ Microsoft Project ซึ่งจำเป็นต้องปิดใช้งานคุณสมบัติด้านความปลอดภัยที่ป้องกันการโจมตีในส่วนของ Block macros from running in Office files from the Internet policy และ VBA Macro Notification Settings ซึ่งจะทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้
โดย Hacker จะหลอกให้เป้าหมาย เปิดไฟล์ที่เป็นอันตรายผ่าน phishing attacks หรือหลอกล่อเป้าหมายไปยังเว็บไซต์ที่โฮสต์ไฟล์อันตรายดังกล่าว Microsoft ยังไม่ได้เปิดเผยว่าใครเป็นผู้เปิดเผยช่องโหว่ดังกล่าว และถูกใช้โจมตีอย่างไร
ช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะ 4 รายการ ได้แก่ :
CVE-2024-38199 - Windows Line Printer Daemon (LPD) Service Remote Code Execution Vulnerability
เป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลใน Windows Line Printer Daemon โดย Hacker ที่ไม่ได้ผ่านการยืนยันตัวตนสามารถส่ง print task ที่ออกแบบมาเป็นพิเศษไปยังบริการ Windows Line Printer Daemon (LPD) ที่มีช่องโหว่ร่วมกันผ่านเครือข่าย ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้
ช่องโหว่ดังกล่าวถูกเปิดเผยต่อสาธารณะ และได้รับการแก้ไขแล้ว แต่บุคคลที่เปิดเผยช่องโหว่ไม่ต้องการเปิดเผยตัวตน
CVE-2024-21302 - Windows Secure Kernel Mode Elevation of Privilege Vulnerability
เป็นช่องโหว่ที่ทำให้ Hacker ได้รับสิทธิ์ที่สูงขึ้นเพื่อติดตั้งการอัปเดตที่เป็นอันตราย Windows Downdate attack โดยจะยกเลิกแพตช์ในระบบ Windows 10, Windows 11 และ Windows Server ที่อัปเดตเต็มรูปแบบเพื่อสร้างช่องโหว่เก่า ๆ ขึ้นมาอีกครั้งโดยใช้การอัปเดตที่สร้างขึ้นเป็นพิเศษ
ช่องโหว่ดังกล่าวได้รับการเปิดเผยโดยนักวิจัยด้านความปลอดภัยของ SafeBreach Alon Leviev ในงานพูดคุยเกี่ยวกับการโจมตี Windows Downdate downgrade attack ในงาน Black Hat 2024
CVE-2024-38200 - Microsoft Office Spoofing Vulnerability
เป็นช่องโหว่ Microsoft Office ที่เปิดเผย NTLM hashes โดย Hacker สามารถโจมตีช่องโหว่ดังกล่าวด้วยการหลอกล่อให้บุคคลอื่นเปิดไฟล์ที่เป็นอันตราย ซึ่งจะบังคับให้ Office สร้างการเชื่อมต่อขาออกไปยังการแชร์ระยะไกล ทำให้ Hacker สามารถขโมย NTLM hashes ที่ส่งมาได้
CVE-2024-38202 - Windows Update Stack Elevation of Privilege Vulnerability
เป็นช่องโหว่การยกระดับสิทธิ์ของ Windows Update Stack ปัจจุบัน Microsoft กำลังพัฒนาการอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าว แต่ยังไม่พร้อมใช้งาน
ช่องโหว่ดังกล่าวเป็นส่วนหนึ่งของการพูดคุยเกี่ยวกับการโจมตีแบบ Windows Downdate downgrade attack ในงาน Black Hat 2024
การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ
นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนสิงหาคม 2024 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :
- ช่องโหว่ 0.0.0.0 Day ที่ช่วยให้เว็บไซต์ที่เป็นอันตรายสามารถหลีกเลี่ยงคุณสมบัติด้านความปลอดภัยของเบราว์เซอร์ Google Chrome, Mozilla Firefox และ Apple Safari และเข้าถึงบริการบน local network ได้
- การอัปเดตความปลอดภัยของ Android ประจำเดือนสิงหาคม เพื่อแก้ไขการโจมตีแบบ RCE
- CISA ออกแจ้งเตือนว่าฟีเจอร์ Cisco Smart Install (SMI) อาจถูกนำไปใช้อย่างผิดวิธีในการโจมตี
- Cisco แจ้งเตือนช่องโหว่ RCE ที่ร้ายแรงใน IP phones รุ่น Small Business SPA 300 และ SPA 500 ที่หมดอายุการใช้งาน
- ช่องโหว่ GhostWrite ที่ช่วยให้ Hacker ที่ไม่มีสิทธิ์เข้าถึงสามารถอ่าน และเขียนลงในหน่วยความจำของคอมพิวเตอร์บน CPU T-Head XuanTie C910 และ C920 RISC-V ทำให้สามารถควบคุมอุปกรณ์ต่อพ่วงได้
- Ivanti ออกแพตซ์อัปเดตความปลอดภัยสำหรับช่องโหว่การหลีกเลี่ยงการตรวจสอบสิทธิ์ vTM ระดับ Critical
- Microsoft แจ้งเตือนเกี่ยวกับช่องโหว่ใหม่ของ Office หมายเลข CVE-2024-38200 ซึ่งอาจทำให้ NTLM hashes รั่วไหล
- ช่องโหว่ SinkClose ที่ทำให้ Hacker ได้รับสิทธิ์ Ring -2 บน CPU ของ AMD
- ช่องโหว่ใหม่ของ Linux SLUBStick ที่ทำการแปลง limited heap ที่มีช่องโหว่ ทำให้ได้รับสิทธิ์ arbitrary memory read-and-write
- ช่องโหว่ Windows DownDate ทำให้ Hacker สามารถ downgrade attackers ระบบปฏิบัติการเพื่อสร้างช่องโหว่เก่าขึ้นมาอีกครั้ง
ที่มา : bleepingcomputer
You must be logged in to post a comment.