ผู้เชี่ยวชาญเผยรายละเอียดใหม่ของช่องโหว่ Zero-Click Outlook RCE

ข้อมูลทางเทคนิคเกี่ยวกับช่องโหว่ด้านความปลอดภัยสองรายการที่ได้รับการแก้ไขแล้วใน Microsoft Windows ซึ่งอาจถูกใช้ร่วมกันจากผู้โจมตีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอีเมล Outlook โดยไม่ต้องมีการโต้ตอบจากผู้ใช้

Ben Barnea นักวิจัยด้านความปลอดภัยจาก Akamai ผู้ค้นพบช่องโหว่ ยืนยันในรายงานที่แชร์กับ The Hacker News ว่า "ผู้โจมตีจากอินเทอร์เน็ตสามารถเชื่อมโยงช่องโหว่ทั้งสองเข้าด้วยกันเพื่อสร้างช่องโหว่ Remote Code Execution (RCE) แบบ zero-click ที่สมบูรณ์บนไคลเอ็นต์ Outlook ได้"

รายการช่องโหว่ด้านความปลอดภัย ซึ่ง Microsoft ได้แก้ไขไปเมื่อเดือนสิงหาคม และตุลาคม 2023 ตามลำดับ

CVE-2023-35384 (CVSS score: 5.4) - ช่องโหว่ Windows HTML Platforms Security Feature Bypass
CVE-2023-36710 (CVSS score: 7.8) - ช่องโหว่ Windows Media Foundation Core Remote Code Execution

นักวิจัยจาก Akamai ระบุว่า CVE-2023-35384 เป็นการ bypass ช่องโหว่ด้านความปลอดระดับ Critical ที่ Microsoft แก้ไขไปในเดือนมีนาคม 2023 ช่องโหว่นั้นคือ CVE-2023-23397 (CVSS score: 9.8) ซึ่งเกี่ยวข้องกับการยกระดับสิทธิ์ ซึ่งอาจนำไปสู่การขโมยข้อมูล NTLM credentials และช่วยให้ผู้โจมตีสามารถใช้เพื่อโจมตีต่อได้

ช่วงต้นเดือนนี้ Microsoft, Proofpoint และ Palo Alto Networks Unit 42 ได้เปิดเผยว่า กลุ่มแฮ็กเกอร์ชาวรัสเซียที่รู้จักกันในชื่อ APT28 (หรือ Forest Blizzard) กำลังโจมตีโดยใช้ช่องโหว่ดังกล่าวหลายครั้ง เพื่อเข้าถึงบัญชีผู้ใช้บนเซิร์ฟเวอร์ Exchange โดยไม่ได้รับอนุญาต

น่าสังเกตว่า CVE-2023-35384 เป็นการ bypass แพตช์ครั้งที่สองต่อจาก CVE-2023-29324 ซึ่งถูกค้นพบโดย Barnea และถูกแก้ไขโดย Microsoft ในอัปเดตความปลอดภัยเดือนพฤษภาคม 2023

Barnea ระบุว่า "เราพบวิธีการ bypass การแก้ไขช่องโหว่เดิมของ Outlook ซึ่งทำให้เราสามารถบังคับให้ไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม และดาวน์โหลดไฟล์ที่เป็นอันตราย"

CVE-2023-35384 เช่นเดียวกับ CVE-2023-29324 มีต้นตอมาจากปัญหาการวิเคราะห์เส้นทางโดยฟังก์ชัน MapUrlToZone ซึ่งสามารถถูกโจมตีได้โดยการส่งอีเมลที่มีไฟล์อันตรายหรือ URL ไปยังไคลเอ็นต์ Outlook

Microsoft ระบุในประกาศเตือนว่า "มีช่องโหว่ที่ทำการ bypass ความปลอดภัยเกิดขึ้นเมื่อแพลตฟอร์ม MSHTML ไม่สามารถตรวจสอบ Security Zone ที่ถูกต้องของ request สำหรับ URL ที่เจาะจงได้ ซึ่งอาจทำให้ผู้โจมตีสามารถหลอกให้ผู้ใช้เข้าถึง URL ใน Internet Security Zone ที่มีข้อจำกัดน้อยกว่าที่ตั้งใจไว้"

ด้วยวิธีนี้ ช่องโหว่ดังกล่าวไม่เพียงแต่ใช้เพื่อขโมยข้อมูล NTLM credentials เท่านั้น แต่ยังสามารถเชื่อมโยงกับช่องโหว่ CVE-2023-36710 เพื่อดาวน์โหลดไฟล์เสียงที่ปรับแต่งพิเศษ ซึ่งเมื่อเล่นอัตโนมัติผ่านฟีเจอร์เสียงเตือนของ Outlook จะสามารถทำให้เกิดการเรียกใช้โค้ด zero-click บนเครื่องของเหยื่อได้

โดย CVE-2023-36710 ส่งผลกระทบต่อ Audio Compression Manager (ACM) component ซึ่งเป็นเฟรมเวิร์กมัลติมีเดียของ Windows รุ่นเก่าที่ใช้สำหรับจัดการตัวแปลงสัญญาณเสียง (audio codecs) ช่องโหว่นี้เกิดจาก integer overflow ที่เกิดขึ้นเมื่อเล่นไฟล์ WAV

เพื่อลดความเสี่ยง แนะนำให้องค์กรควรดำเนินการดังนี้

ควรใช้วิธีการ Microsegmentation เพื่อบล็อกการเชื่อมต่อ SMB ออกไปยัง public IP
ปิดการใช้งาน NTLM
เพิ่มผู้ใช้เข้าไปในกลุ่มความปลอดภัย Protected Users ซึ่งจะป้องกันการใช้ NTLM เป็นกลไกลการยืนยันตัวตน

ที่อยู่ : thehackernews

พบแพ็กเกจมัลแวร์ 116 แพ็กเกจบน PyPI สามารถใช้เพื่อโจมตีระบบ Windows และ Linux ได้

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบชุดแพ็กเกจมัลแวร์จำนวน 116 รายการบน Python Package Index (PyPI) ซึ่งออกแบบมาเพื่อโจมตีระบบ Windows และ Linux ด้วย custom backdoor

Marc-Etienne M.Léveillé และ Rene Holt นักวิจัยจาก ESET ระบุในรายงานที่เผยแพร่ในต้นสัปดาห์ที่ผ่านมาว่าในบางกรณี โปรแกรมที่ถูกดาวน์โหลดมาได้นั้นอาจเป็นรูปแบบต่าง ๆ ของ "W4SP Stealer" ซึ่งมีชื่อเสียงด้านการขโมยข้อมูล หรือ clipboard monitor เพื่อใช้ในการขโมย cryptocurrency หรือทั้งสองอย่าง

แพ็กเกจเหล่านี้คาดว่าถูกดาวน์โหลดไปแล้วกว่า 10,000 ครั้ง ตั้งแต่เดือนพฤษภาคม 2023

โดยผู้โจมตีที่อยู่เบื้องหลังพฤติกรรมนี้ ถูกพบว่าใช้เทคนิคสามวิธีในการรวมโค้ดอันตรายลงในแพ็กเกจ Python ได้แก่ ผ่านสคริปต์ test.

Qbot Malware กลับมาอีกครั้ง โดยมุ่งเป้าไปที่อุตสาหกรรมการบริการ

พบ Qbot Malware กลับมาอีกครั้ง ภายหลังจากที่ถูกระงับปฏิบัติการไปในเดือนสิงหาคม 2023 โดยหน่วยงานบังคับใช้กฎหมายนานาชาติที่เรียกว่า Operation Duck Hunt โดยได้เข้าถึงเซิร์ฟเวอร์ของผู้ดูแลระบบของ QakBot และโครงสร้างพื้นฐานของ Botnet ซึ่งภายหลังจากสามารถเข้าถึง encryption key ของ Botnet ที่ใช้สำหรับการสื่อสารระหว่าง C2 Server กับ Botnet เพื่อส่ง custom Windows DLL ไปยังอุปกรณ์ที่ถูกโจมตี ทาง FBI ก็ได้ปิดระบบของ Qbot ลง ตั้งแต่นั้นมาก็ไม่พบรายงานการโจมตีของ Qbot อีกเลย จนกระทั่งพบการกลับมาของแคมเปญ Qbot ใหม่อีกครั้งในวันที่ 11 ธันวาคม 2023

การกลับมาของ Qbot

Microsoft แจ้งเตือนว่าได้พบการโจมตี phishing campaign ของ QakBot กลับมาอีกครั้ง โดยได้ปลอมเป็นอีเมลจากพนักงาน IRS ซึ่งพบการโจมตีของแคมเปญดังกล่าวตั้งแต่วันที่ 12 ธันวาคม ทั้งนี้ Microsoft พบว่าแคมเปญการโจมตีของ Qbot ได้มุ่งเป้าหมายไปยังอุตสาหกรรมทางด้านการบริการ

โดยสิ่งที่ถูกแนบมากับอีเมลคือไฟล์ PDF ที่เป็นอันตราย ที่ปลอมแปลงเป็นรายชื่อที่ระบุว่า "Document preview is not available," และแจ้งให้เป้าหมายดาวน์โหลดไฟล์ PDF เพื่อเปิดดูเอกสาร ทั้งนี้เมื่อเป้าหมายทำการดาวน์โหลด ไฟล์ MSI จะถูกติดตั้ง เมื่อติดตั้งเสร็จสิ้นก็จะทำการเรียกใช้งาน Qakbot malware DLL ลงใน memory

รวมถึง Microsoft ได้พบว่า DLL ดังกล่าวถูกสร้างขึ้นมาในวันที่ 11 ธันวาคม 2023 ซึ่งเป็นวันเดียวกับที่เริ่มพบ phishing campaign โดยใช้ชื่อแคมเปญว่า “tchk06” และมี C2 Server ดังนี้ : 45[.]138[.]74[.]191:443 และ 65[.]108[.]218[.]24:443 รวมถึงยังพบว่าเพย์โหลดของ Qakbot ยังได้ถูกตั้งค่าด้วยเวอร์ชัน 0x500 ซึ่งไม่เคยถูกพบมาก่อน แสดงถึงการพัฒนาของ Qakbot

ทั้งนี้นักวิจัยด้านความปลอดภัย Pim Trouerbach และ Tommy Madjar ยังได้ยืนยันว่าเพย์โหลดของ Qakbot ที่กำลังถูกใช้ในการโจมตีอยู่นั้นเป็นเวอร์ชันใหม่ที่มีการเปลี่ยนแปลงอัปเดตเพิ่มขึ้นเล็กน้อยใน QakBot DLL ใหม่ รวมถึงการใช้ AES เพื่อถอดรหัสสตริงแทนที่จะเป็น XOR แบบในเวอร์ชันก่อนหน้านี้ แต่นักวิจัยยังพบว่าเวอร์ชันใหม่ยังอยู่ระหว่างการพัฒนา เนื่องจากยังมีข้อผิดพลาดบางประการอยู่ สิ่งเหล่านี้แสดงให้เห็นถึงความพยายามในการกลับมาของ Qbot ดังนั้นผู้ดูแลระบบจึงควรเฝ้าระวังการโจมตีจาก phishing email อย่างสม่ำเสมอ

Qbot malware คืออะไร

QakBot หรือที่รู้จักในชื่อ Qbot เริ่มต้นจากการเป็น banking trojan ในปี 2021 โดยกลุ่ม Hacker ได้พัฒนามัลแวร์ดังกล่าวเพื่อขโมยข้อมูล credentials ของธนาคาร คุกกี้ของเว็บไซต์ และข้อมูลบัตรเครดิต เพื่อการฉ้อโกงทางการเงิน ต่อมา Qbot ได้ถูกพัฒนาเป็น malware-as-a-Service โดยร่วมมือกับ Hacker กลุ่มอื่น ๆ เพื่อนำมาใช้ในการเข้าถึงเครือข่ายในเบื้องต้นสำหรับการโจมตีด้วยแรนซัมแวร์ การจารกรรม หรือการขโมยข้อมูล

QakBot ใช้การโจมตีแบบ phishing campaign ที่ใช้เหยื่อล่อหลากหลายรูปแบบ รวมถึงการโจมตีด้วยอีเมลตอบกลับ โดยใช้อีเมลที่ถูกแฮ็กในการโจมตี แล้วตอบกลับด้วยข้อความของตนเอง และแนบเอกสารที่เป็นอันตราย หรือลิงก์เพื่อดาวน์โหลดไฟล์ที่เป็นอันตรายซึ่งจะติดตั้งมัลแวร์ Qakbot บนอุปกรณ์ของเป้าหมาย เช่น เอกสาร Word หรือ Excel ที่มี macro อันตราย, OneNote ไฟล์ที่มีไฟล์ฝังอยู่, ไฟล์แนบ ISO พร้อมไฟล์ปฏิบัติการ และ Windows shortcut บางส่วนยังได้รับการออกแบบให้สามารถโจมตีผ่านช่องโหว่ Zero-day ใน Windows ได้อีกด้วย

เมื่อเป้าหมายทำการติดตั้งไฟล์อันตรายแล้ว มัลแวร์จะแทรก DLL เข้าไปใน Process ของ Windows ปกติ เช่น wermgr.