Microsoft ออกแพตซ์อัปเดตสำหรับเดือนพฤษภาคม 2023 เพื่อแก้ไขช่องโหว่ 38 รายการ รวมถึงช่องโหว่ Zero-day ที่พบว่ากำลังถูกนำมาใช้ในการโจมตี โดยจากช่องโหว่ทั้งหมด 38 รายการ มี 6 รายการที่ได้รับการจัดอยู่ในระดับ Critical อีก 32 รายการที่อยู่ในระดับอื่น ๆ ซึ่งมีช่องโหว่ 8 รายการที่มีแนวโน้มว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน
เดือนพฤษภาคมนี้ Microsoft ได้แก้ไขช่องโหว่เหล่านี้บนเบราว์เซอร์ Chromium-based Edge หลังจากที่พึ่งมีการออกอัปเดต Patch Tuesday ในเดือนเมษายนที่ผ่านมา
ช่องโหว่ที่น่าสนใจในรอบนี้ คือ CVE-2023-29336 (คะแนน CVSS: 7.8) เป็นช่องโหว่ที่สามารถทำการเพิ่มสิทธิ์ใน Win32k แต่ยังไม่มีข้อมูลที่แน่ชัดว่ามีขอบเขตของการโจมตีกว้างแค่ไหน
Microsoft ให้เครดิตกับนักวิจัย Avast Jan VojtŞshek, Milánek และ Luigino Camastra เป็นผู้รายงานรายงานช่องโหว่นี้ ซึ่งผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จจะได้รับสิทธิ์ SYSTEM บนระบบ โดยสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา หรือ CISA ได้เพิ่มช่องโหว่ดังกล่าวเข้าสู่ Known Exploited Vulnerabilities (KEV) เพื่อแจ้งเตือนให้องค์กรต่าง ๆ ภายใต้การกำกับดูแล ให้รีบทำการอัปเดตทันที
นอกจากนี้ยังมีช่องโหว่ที่สำคัญอีก 2 ช่องโหว่ ซึ่งหนึ่งในนั้นคือช่องโหว่ remote code execution ที่ส่งผลกระทบต่อ Windows OLE (CVE-2023-29325, คะแนน CVSS: 8.1) ซึ่งอาจถูกโจมตีโดยการส่งอีเมลอันตรายที่ถูกสร้างขึ้นเป็นพิเศษไปยังเหยื่อ อีกหนึ่งช่องโหว่คือ CVE-2023-24932 (คะแนน CVSS:6.7) ซึ่งเป็นการ bypass ฟีเจอร์ Secure Boot security ของ BlackLotus UEFI เพื่อใช้ประโยชน์จาก CVE-2022-21894 (หรือที่เรียกว่า baton drop) ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดในระดับ UEFI (unified extensible firmware interface) เมื่อเปิดใช้งาน Secure Boot
ผู้โจมตีนิยมใช้วิธีนี้เป็นกลไกในการหลีกเลี่ยงการตรวจจับ การจะโจมตีได้สำเร็จผู้โจมตีต้องสามารถเข้าถึงอุปกรณ์เป้าหมาย หรือได้สิทธิ์ local admin ให้ได้ก่อน
Microsoft ระบุว่ากําลังใช้มาตรการด้านความปลอดภัยแบบค่อยเป็นค่อยไปเพื่อปิดกั้นการโจมตี เพื่อลดผลกระทบกับการใช้งาน และคาดว่ามาตรการดังกล่าวจะดําเนินต่อไปจนถึงไตรมาสแรกของปี 2024 ซึ่งบริษัทรักษาความปลอดภัยด้านเฟิร์มแวร์อย่าง Binary ระบุไว้เมื่อต้นเดือนมีนาคมนี้ว่า โซลูชัน Secure Boot ที่ใช้ UEFI มีความซับซ้อนมาก และไม่สามารถกำหนดค่าได้อย่างถูกต้อง กล่าวคืออาจจะยังพบการโจมตีกับ bootloader อยู่
ผู้ให้บริการรายอื่น ๆ
นอกจาก Microsoft แล้ว ยังมีผู้ให้บริการรายอื่น ๆ ได้ทำการอัปเดตด้านความปลอดภัยในช่วงไม่กี่สัปดาห์ที่ผ่านมาเพื่อแก้ไขช่องโหว่ ได้แก่
Adobe
AMD
Android
Apache Projects
Apple
Aruba Networks
Cisco
Citrix
Dell
Drupal
F5
Fortinet
GitLab
Google Chrome
Hitachi Energy
HP
IBM
Intel
Juniper Networks
Lenovo
Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
MediaTek
Mitsubishi Electric
Mozilla Firefox, Firefox ESR, and Thunderbird
NETGEAR
NVIDIA
Palo Alto Networks
Qualcomm
Samsung
SAP
Schneider Electric
Siemens
SolarWinds
Synology
Veritas
VMware
Zoho
Zyxel
ที่มา : thehackernews