CISA ได้เพิ่มช่องโหว่ที่มีผลกระทบกับแพลตฟอร์ม MSHTML ของ Microsoft Windows และโซลูชันการตรวจสอบเครือข่าย Progress WhatsUp Gold ลงในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (KEV) หลังจากที่มีการเปิดเผยหลักฐานว่าพบเครื่องมือที่ใช้สำหรับทดสอบการโจมตี (PoCs) และนักวิจัยด้านความปลอดภัยได้พบการโจมตีจากช่องโหว่เหล่านี้อย่างต่อเนื่อง
CVE-2024-6670: Progress WhatsUp Gold
CVE-2024-6670 (คะแนน CVSS:9.8/10) ความรุนแรงระดับ critical เป็นช่องโหว่ SQL Injection ซึ่งส่งผลกระทบต่อเวอร์ชันของ Progress WhatsUp Gold ที่เผยแพร่ก่อน 2024.0.0
ช่องโหว่ในเวอร์ชันที่ได้รับผลกระทบของซอฟต์แวร์การตรวจสอบเครือข่าย ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตันสามารถดึงรหัสผ่านที่เข้ารหัสของผู้ใช้ได้ หากแอปพลิเคชันถูกกำหนดค่าให้มีผู้ใช้เพียงคนเดียว
การโจมตีเกิดขึ้นภายในไม่กี่ชั่วโมงหลังจากที่ POC สำหรับช่องโหว่นี้ถูกเผยแพร่สู่สาธารณะบน GitHub แม้จะมีแพตช์สำหรับช่องโหว่ดังกล่าวแล้วตั้งแต่เดือนสิงหาคม ซึ่งแสดงให้เห็นว่ายังมีผู้ใช้งานบางรายอาจไม่ได้ดำเนินการอัปเดตเวอร์ชัน
นักวิจัยจาก Trend Micro ตรวจพบการโจมตีโดยการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่โจมตี WhatsUp Gold โดยใช้ Active Monitor PowerShell Script ซึ่งใช้ประโยชน์จากช่องโหว่ CVE-2024-6670 และ CVE-2024-6671 ซึ่งเป็นช่องโหว่ที่เกี่ยวข้อง และมีระดับ Critical (คะแนน 9.8)
ช่องโหว่ทั้งสองนี้ได้รับการแก้ไขไปแล้วตั้งแต่เวอร์ชัน 2024.0.0 เป็นต้นไป
เครื่องมือ Cyble ODIN ตรวจพบ Progress WhatsUp Gold ที่เข้าถึงได้จากอินเทอร์เน็ตจำนวน 381 รายการ ตามภาพด้านล่าง แนะนำให้ผู้ใช้ Progress WhatsUp Gold อัปเกรดโดยเร็วที่สุด และตรวจสอบสัญญาณของการถูกโจมตีในองค์กรของตน
CVE-2024-43461: Microsoft Windows MSHTML
CVE-2024-43461(คะแนน CVSS:8.8/10) ความรุนแรงระดับ High เป็นช่องโหว่ในแพลตฟอร์ม MSHTML ของเบราว์เซอร์ Internet Explorer บน Microsoft Windows ซึ่งมีข้อบกพร่องในการแสดงผล UI ที่ทำให้ผู้โจมตีสามารถปลอมแปลงหน้าเว็บไซต์ได้ ช่องโหว่นี้ถูกใช้ร่วมกับ CVE-2024-38112 ในการโจมตี
Microsoft ได้ประกาศยกเลิกการใช้งาน Internet Explorer 11 และเลิกใช้ Microsoft Edge Legacy อย่างไรก็ตาม MSHTML, EdgeHTML และแพลตฟอร์มสคริปต์ที่เกี่ยวข้องยังคงได้รับการสนับสนุน MSHTML ถูกใช้ในโหมด Internet Explorer ใน Microsoft Edge และแอปพลิเคชันอื่น ๆ ผ่านการควบคุม WebBrowser ขณะที่ WebView และแอปพลิเคชัน UWP บางตัวใช้ EdgeHTML การอัปเดตสำหรับช่องโหว่ใน MSHTML และแพลตฟอร์มสคริปต์จะถูกรวมอยู่ในการอัปเดตสะสมของ IE แต่การอัปเดตสำหรับ EdgeHTML และ Chakra จะไม่ได้รับการรวมในนั้น
ช่องโหว่ CVE-2024-43461 ถูกใช้ร่วมกับ CVE-2024-38112 ก่อนเดือนกรกฎาคม 2024 การแก้ไขช่องโหว่สำหรับ CVE-2024-38112 ที่ปล่อยออกมาในเดือนกรกฎาคม 2024 ได้ขัดขวางการโจมตีที่ใช้ช่องโหว่เหล่านี้ร่วมกัน เพื่อความปลอดภัยผู้ใช้งานควรติดตั้งการอัปเดตด้านความปลอดภัยทั้งจากเดือนกรกฎาคม 2024 และเดือนกันยายน 2024
Windows ที่ได้รับผลกระทบ
Windows Server 2012
Windows Server 2012 R2
Windows Server 2008 R2
Windows Server 2008
Windows Server 2016
Windows 10
Windows Server 2022
Windows 11
คำแนะนำ
ตรวจสอบการอัปเดตด้านความปลอดภัยล่าสุดสำหรับระบบที่ได้รับผลกระทบทั้งหมด และติดตั้งการอัปเดตอย่างสม่ำเสมอ
ดำเนินการติดตามเพื่อค้นหาพฤติกรรมที่ผิดปกติ เช่น การใช้ประโยชน์จากช่องโหว่เหล่านี้, การเชื่อมต่อบนเครือข่าย, system logs และพฤติกรรมของผู้ใช้
ควบคุมการเข้าถึง และสิทธิ์การใช้งาน ให้แน่ใจว่าแอปพลิเคชันไม่ได้เปิดให้เข้าถึงจากอินเทอร์เน็ตโดยไม่จำเป็น และเปิดใช้งานระบบการพิสูจน์ตัวตน
ประเมินช่องโหว่ และทดสอบเจาะระบบเป็นระยะเพื่อระบุ และแก้ไขช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นก่อนที่จะถูกนำมาใช้ในการโจมตี
ใช้วิธีการ network segmentation เพื่อปกป้องระบบที่สำคัญจากการถูกเข้าถึงจากอินเทอร์เน็ต
ที่มา : cyble.com
You must be logged in to post a comment.