Microsoft Patch Tuesday ประจำเดือนมีนาคม 2021 โดยในเดือนนี้ Microsoft ได้ออกเเพตช์เพื่อเเก้ไขช่องโหว่เป็นจำนวน 82 รายการ ซึ่งช่องโหว่จำนวน 10 รายการ ถูกจัดเป็นช่องโหว่ที่มีระดับความรุนแรง Critical และอีก 72 รายการ เป็นช่องโหว่ที่มีระดับความรุนแรง Important ซึ่งช่องโหว่จำนวน 82 รายการนี้ไม่รวมช่องโหว่ของ Microsoft Exchange จำนวน 7 รายการและ Chromium Edge อีก 33 รายการที่เผยแพร่เมื่อต้นเดือนนี้ที่ผ่านมา สำหรับเเพตช์ที่ได้รับการเเก้ไขและน่าสนใจมีดังนี้

ช่องโหว่ Zero-day ถูกติดตามด้วยรหัส CVE-2021-26411 ถูกจัดเป็นช่องโหว่ประเภท Memory Corruption ใน Internet Explorer ที่ถูกแฮกเกอร์ชาวเกาหลีเหนือนำไปใช้โจมตีนักวิจัยด้านความปลอดภัย

ช่องโหว่ Zero-day อีกช่องโหว่หนึ่งที่น่าสนใจถูกติดตามด้วยรหัส CVE-2021-27077 ถูกจัดเป็นช่องโหว่ประเภทการยกระดับสิทธิ์ (Elevation of Privilege) ใน Windows Win32k โดยช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะโดย Trend Micro Zero Day Initiative

นอกจากช่องโหว่ที่กล่าวมานี้ Microsoft ยังออกแพตช์อัปเดตด้านความปลอดภัยสำหรับฟีเจอร์และบริการต่าง ๆ เช่น Microsoft Windows Codecs Library, Windows Admin Center, DirectX, Event Tracing, Registry, Win32K และ Windows Remote Access API

ทั้งนี้ผู้ใช้ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีจากผู้ประสงค์ร้าย สำหรับข้อมูลเกี่ยวกับการอัปเดตเเพตช์ของ Windows สามารถดูรายละเอียดเพิ่มเติมได้ที่: microsoft

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยพบ Malware ตัวใหม่ชื่อว่า ComboJack ซึ่งมีความสามารถในการตรวจจับหากว่าผู้ใช้งานมีการก็อป cryptocurrency address เอาไว้ใน clipboard โดยจะนำ Address ที่ตัวเองสร้างขึ้นมาไปแทนที่

Malware ตัวนี้มีความคล้ายคลึงกับ Evrial และ CryptoShuffler แต่แตกต่างตรงที่สามารถรองรับ Cryptocurrencies ได้หลายตัวไม่ใช่แค่เพียง Bitcoin สืบเนื่องจากข้อมูลของ Palo Alto Network ตัว ComboJack สามารถตรวจจับได้ว่าเมื่อใดก็ตามที่มีการก็อป Address ของ Bitcoin, Litecoin, Ethereum, และ Monero รวมไปถึงระบบจ่ายเงินดิจิตอลตัวอื่นๆ ด้วย เช่น Qiwi, Yandex

ขั้นตอนการแพร่กระจายตัวของ ComboJack มีความซับซ้อน เริ่มจากการที่ Hacker ส่งอีเมลซึ่งอ้างว่ามีการสแกนข้อมูลพาสพอร์ทที่หายไปเอาไว้ ไฟล์แนบมาจะอยู่ในรูปแบบของไฟล์ PDF เมื่อผู้ใช้ทำการโหลดและเปิดไฟล์ PDF ตัวไฟล์จะทำการเปิด RTF file ซึ่งภายในมี Embedded HTA Object ที่จะพยายามเจาะช่องโหว่ของ DirectX (CVE-2017-8579) เมื่อทำการเจาะสำเร็จ HTA File ซึ่งอยู่ภายใน RTF File ซึ่งอยู่ภายในไฟล์ PDF อีกชั้นหนึ่ง จะสั่งรันคำสั่ง PowerShell Commands ที่จะโหลดไฟล์มาและสั่งรันตัวเอง เป็นไฟล์ประเภท Self-Extracting Executable (SFX) หลังจากนั้นตัว SFX จะโหลดและสั่งรัน "password-protected SFX" ที่จะทำการติดตั้งตัว ComboJack
ComboJack จะได้สิทธิ์ในการบูทเครื่อง และจะเริ่มทำการวสแกนข้อมูลที่มีการก็อปไว้ใน Windows Clipboard ทุกๆ ครึ่งวินาทีเผื่อว่ามีการก็อปข้อมูลใหม่ เมื่อไรก็ตามที่ผูใช้งานมีการก็อปข้อมูล(ในที่นี้หมายถึง Address ของ Cryptocurrency) ซึ่งตรงกับฐานข้อมูลของ ComboJack ตัว ComboJack จะแทนที่ Address เก่าที่ผู้ใช้ก็อปไว้ด้วย Address ใหม่ที่สร้างขึ้นเองจากฐานข้อมูล

ที่มา : bleepingcomputer