ผู้ใช้ Windows 10 ทั่วโลกประสบปัญหาในการติดตั้งการอัปเดต Patch Tuesday เดือนมกราคมของ Microsoft โดยพบข้อผิดพลาด 0x80070643 ขณะพยายามติดตั้งแพตซ์อัปเดตความปลอดภัย KB5034441 สำหรับ BitLocker
เมื่อวานนี้ ในส่วนหนึ่งของ Patch Tuesday เดือนมกราคม 2024 ของ Microsoft ได้มีการเผยแพร่อัปเดตความปลอดภัย (KB5034441) สำหรับ CVE-2024-20666 ซึ่งเป็นช่องโหว่ bypass การเข้ารหัส BitLocker ที่อนุญาตให้ผู้ใช้เข้าถึงข้อมูลที่เข้ารหัสไว้ (more…)
Microsoft เผยแพร่สคริปต์ที่ช่วยแก้ไขช่องโหว่จากการ bypass BitLocker ใน Windows Recovery Environment (WinRE) ซึ่งสคริปต์ PowerShell ดังกล่าว ช่วยลดความเสี่ยงของ WinRE จากการถูกโจมตีโดยใช้ช่องโหว่ CVE-2022-41099 ซึ่งจะทำให้ผู้โจมตีสามารถ bypass ฟีเจอร์ BitLocker Device Encryption ใน storage devices
โดย Microsoft ระบุว่า หากผู้ใช้งานเปิดใช้งานการป้องกัน BitLocker TPM + PIN จะทำให้ผู้โจมตีไม่สามารถใช้ประโยชน์จากช่องโหว่นี้ได้ ซึ่งสคริปต์ PowerShell ดังกล่าวได้รับการพัฒนาโดยทีมงาน Microsoft เพื่อช่วยในการอัปเดต WinRE images อัตโนมัติบนอุปกรณ์ Windows 10 และ Windows 11
สคริปต์ที่ใช้ในการรัน คือ PatchWinREScript_2004plus.
มัลแวร์ TrickBot เพิ่มฟีเจอร์ใหม่ TrickBoot ทำให้มัลแวร์สามารถเข้าควบคุมเฟิร์มแวร์ในระดับ UEFI ได้
นักวิจัยจากบริษัท Advanced Intelligence (AdvIntel) และ Eclypsium ได้ออกรายงานถึงการพบความสามารถใหม่ในโมดูล TrickBot ที่จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสได้
ตามรายงานของนักวิจัยด้านความปลอดภัยซึ่งได้ระบุว่ามัลแวร์ TrickBot ได้ทำการปรับใช้โมดูล bootkit ซึ่งเป็นฟีเจอร์นี้จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสและมัลแวร์สามารถคงอยู่ได้ต่อไปหลังจากผู้ใช้ทำการติดตั้งระบบปฏิบัติการ อีกทั้งภายในโมดูลยังมีความสามารถที่จะช่วยให้ผู้ประสงค์ร้ายสามารถทำได้ดังนี้
สามารถปิดการเข้าถึงอุปกรณ์จากระยะไกลที่ระดับเฟิร์มแวร์ผ่านการเชื่อมต่อระยะไกลของมัลแวร์ทั่วไป สามารถ Bypass ระบบ Security control เช่น BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, Endpoint Protection และซอฟต์แวร์ป้องกันไวรัส เป็นต้น
สามารถทำให้ผู้ประสงค์ร้ายกำหนดเป้าหมายการโจมตีช่องโหว่ Intel CSME หรือบางส่วนของ SPI controller ได้
สามารถ Reverse ACM หรือการอัปเดตไมโครโค้ดที่แก้ไขช่องโหว่ของ CPU เช่น Spectre, MDS เป็นต้น
นักวิจัยด้านความปลอดภัยยังกล่าวอีกว่ามัลแวร์มีโค้ดสำหรับอ่านเขียนและลบเฟิร์มแวร์ ซึ่งปัจจุบันโมดูลของ TrickBot ยังสามารถทำงานกับคอนโทรลเลอร์ SPI เท่านั้น ด้วยมัลแวร์ TrickBot มีความเกี่ยวเนื่องกับกลุ่ม Ransomware ในอนาคตอาจมีความเป็นไปได้ว่ากลุ่มผู้ประสงค์ร้ายนั้นจะใช้ฟีเจอร์ใหม่ของมัลแวร์ TrickBot นี้ทำการทำลายระบบของบริษัทหรือองค์กรต่างๆ ปฏิเสธการจ่ายเงินที่ถูกเรียกร้อง ทั้งนี้โมดูลนี้ยังสามารถใช้เพื่อป้องกันไม่ให้ทำการค้นหาหลักฐานทางนิติวิทยาศาสตร์ที่สำคัญได้โดยทำให้ความสามารถในการบู๊ตของระบบล้มเหลว
ผู้ใช้งานควรหลีกเลี่ยงการการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่รู้จักและทำการอัปเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อป้องกันการตกเป็นเหยื่อของมัลแวร์
ที่มา: zdnet | thehackernews