Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่มีระดับความรุนแรงสูง (CVE-2025-21420) ในเครื่องมือ Windows Disk Cleanup ของ Windows (cleanmgr.exe) อย่างเร่งด่วนในระหว่างการอัปเดต Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025
ช่องโหว่นี้มีคะแนน CVSS 7.8 ซึ่งทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ SYSTEM ผ่านเทคนิค DLL sideloading ได้
เทคนิคของการใช้ช่องโหว่
ช่องโหว่นี้ใช้การทำงานของ cleanmgr.exe ที่มีสิทธิ์สูง เพื่อโหลด Unsigned DLLs
ผู้ไม่หวังดีสามารถฝังไลบรารีที่เป็นอันตราย เช่น dokannp1.dll ลงในไดเรกทอรีของระบบผ่านเทคนิค Path Interception หรือ File Replacement โดยนักวิจัยด้านความปลอดภัยได้แสดงให้เห็นวิธีการใช้ช่องโหว่นี้จาก
โดยโค้ดนี้จะ bypass การตรวจสอบ signature validation โดยการใช้ประโยชน์จากช่องโหว่ Directory Traversal ใน Disk Cleanup scheduler
การโจมตีโดยใช้ช่องโหว่นี้สำเร็จ ต้องการการเปิดใช้งานเครื่องมือด้วยตนเอง หรือการดำเนินการอัตโนมัติผ่าน disk space thresholds ที่กำหนดไว้ ตามที่รายงานโดย Cyber Security News
การอัปเดตในเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ 67 รายการของ Windows ซึ่งรวมถึงช่องโหว่แบบ zero-day 4 รายการ โดยการอัปเดตที่สำคัญได้แก้ไข
- CVE-2025-21418: การยกระดับสิทธิ์ใน Windows Ancillary Function Driver
- CVE-2025-21391: การยกระดับสิทธิ์ใน Storage Spaces Direct
- CVE-2025-21194: การ Bypass การรักษาความปลอดภัยในเฟิร์มแวร์ของ Microsoft Surface
- CVE-2025-21377: ช่องโหว่ในการเปิดเผย NTLM hash
คำแนะนำจาก Microsoft เน้นย้ำถึงการติดตั้งอัปเดตโดยทันที เนื่องจากช่องโหว่ CVE-2025-21418 และ CVE-2025-21377 กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง
การลดผลกระทบ และแนวทางการปฏิบัติ
- ติดตั้งแพตช์เดือนกุมภาพันธ์ 2025 ผ่าน Windows Update หรือ WSUS
- ตรวจสอบไดเรกทอรีของระบบสำหรับ DLL ที่ไม่ได้รับอนุญาต
- ใช้แอปพลิเคชันที่ช่วยในการแสดงรายการยูทิลิตี้ของระบบ
การวิเคราะห์ทางเทคนิคทั้งหมด และคำแนะนำในการลดความเสี่ยงสามารถดูได้จากคำแนะนำด้านความปลอดภัยของ Microsoft หมายเลข ADV25002
ทีม Security ควรให้ความสำคัญกับการตรวจสอบ scheduled tasks และ service configurations เพื่อป้องกันไม่ให้เกิดช่องทางการยกระดับสิทธิ์ที่คล้ายกันในอนาคต
ที่มา : gbhackers.com
You must be logged in to post a comment.