นักวิจัยด้านความปลอดภัยทางไซเบอร์พบพฤติกรรมคล้ายแบ็คดอร์ในระบบของ Gigabyte ซึ่งทำให้เฟิร์มแวร์ UEFI ของอุปกรณ์สามารถส่งไฟล์ปฏิบัติการ (executable file) ของ Windows และเรียกข้อมูลอัปเดตในรูปแบบที่ไม่ปลอดภัยได้

บริษัทความปลอดภัยด้านเฟิร์มแวร์ 'Eclypsium' ระบุว่า พวกเขาตรวจพบความผิดปกติครั้งแรกในเดือนเมษายน 2023 ซึ่งต่อมา Gigabyte ได้ทราบปัญหา และดำเนินการแก้ไขปัญหาดังกล่าวเรียบร้อยแล้ว

John Loucaides รองประธานบริหารฝ่ายกลยุทธ์ของ Eclypsium ให้ข้อมูลกับ The Hacker News ว่า "พวกเขาพบว่าเฟิร์มแวร์ Gigabyte ส่วนใหญ่มีไฟล์ปฏิบัติการแบบ Windows Native Binary ถูกฝังอยู่ภายในเฟิร์มแวร์ UEFI"

ไฟล์ปฏิบัติการของ Windows ที่ตรวจพบ จะถูกเก็บลงดิสก์ และทำงานเป็นส่วนหนึ่งของ process เริ่มต้น Windows คล้ายการโจมตีแบบ double agent ของ LoJack ซึ่งไฟล์ปฏิบัติการนี้จะดาวน์โหลด และเรียกใช้ไบนารีเพิ่มเติมด้วยวิธีการที่ไม่ปลอดภัย

จากรายงานของ Eclypsium ไฟล์ปฏิบัติการนี้จะถูกฝังอยู่ในเฟิร์มแวร์ UEFI และจะถูกเขียนลงดิสก์โดยเฟิร์มแวร์ ซึ่งเป็นส่วนหนึ่งของกระบวนการบูตระบบ และจากนั้นจะถูกเรียกใช้ในลักษณะ update service

แอปพลิเคชันถูกพัฒนาด้วย .NET โดยทำการตั้งค่าให้ดาวน์โหลด และเรียกใช้เพย์โหลดจากเซิร์ฟเวอร์อัปเดตของ Gigabyte ผ่าน HTTP ธรรมดา ซึ่งทำให้กระบวนการดังกล่าวอาจตกเป็นเป้าหมายของการโจมตีแบบ adversary-in-the-middle (AitM) ผ่านเราท์เตอร์ที่ถูกโจมตี

Loucaides ระบุว่า "ซอฟต์แวร์มีจุดประสงค์ให้ดูเหมือนเป็นแอปพลิเคชันสำหรับการอัปเดตที่ดูถูกต้องตามปกติ และอาจส่งผลกระทบต่อ Gigabyte systems ประมาณ 364 ระบบ โดยมีอุปกรณ์ประมาณ 7 ล้านเครื่อง"

เนื่องจากผู้ไม่หวังดีพยายามมองหาวิธีที่จะไม่ถูกตรวจจับอยู่เสมอ และทิ้งร่องรอยการโจมตีให้น้อยที่สุด ช่องโหว่ในการอัปเดตเฟิร์มแวร์ที่มีสิทธิ์พิเศษอาจเป็นการเปิดทางให้เกิดการโจมตีบน UEFI bootkits ซึ่งจะหลบเลี่ยงอุปกรณ์ด้านความปลอดภัยได้ทั้งหมด

สิ่งที่แย่ไปกว่านั้นคือ UEFI code อยู่บนเมนบอร์ด มัลแวร์ที่ถูกฝังในเฟิร์มแวร์สามารถคงอยู่ถาวรแม้ว่าไดรฟ์จะถูกฟอร์แมต และติดตั้งระบบปฏิบัติการใหม่ก็ตาม

แนะนำให้องค์กรต่าง ๆ ควรอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ยังแนะนำให้ตรวจสอบ และปิดการใช้งานคุณสมบัติ "APP Center Download & Install" ในการตั้งค่า UEFI/BIOS และตั้งรหัสผ่าน BIOS เพื่อป้องกันการเปลี่ยนแปลงที่อาจเป็นอันตราย

อ้างอิง : https://thehackernews.

CERT-UA ของยูเครน เตือนถึงการโจมตีครั้งใหม่โดย Armageddon APT. ที่เชื่อมโยงกับรัสเซีย

Ukraine Computer Emergency Response Team (CERT-UA) ได้รายงาน phishing campaign ที่ใช้ข้อความโดยมี subject ชื่อ “On revenge in Kherson!” และมีไฟล์แนบ "Plan Kherson.

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.

มีการเปิดเผยหลักฐานใหม่ ที่เกี่ยวข้องกับการโจมตีการแลกเปลี่ยนสกุลเงินดิจิทัลในช่วง 3 ปีที่ผ่านมา โดยคาดกันว่าแฮกเกอร์ได้รับการสนับสนุนจากประเทศเกาหลีเหนือ ซึ่งการโจมตีดังกล่าวมีความเป็นไปได้ที่จะเกี่ยวข้องกับกลุ่ม Lazarus (aka APT38 or Hidden Cobra)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของอิสราเอล ClearSky กล่าวว่าแคมเปญนี้มีชื่อว่า "CryptoCore" ซึ่งกำหนดเป้าหมายการโจมตีเป็นการแลกเปลี่ยนคริปโตในอิสราเอล, ญี่ปุ่น, ยุโรปและสหรัฐอเมริกา ส่งผลให้มีการขโมยสกุลเงิน มูลค่าหลายล้านดอลลาร์ การค้นพบนี้เป็นผลมาจากการปะติดปะต่อจากรายงานที่คล้ายคลึงกันซึ่งมีรายละเอียดจากทาง F-Secure, CERT JPCERT / CC และ NTT Security ในช่วงไม่กี่เดือนที่ผ่านมา

นับตั้งแต่ปี 2552 กลุ่ม Hidden Cobra ได้ดำเนินการจารกรรมสกุลเงินดิจิทัล โดยมีการกำหนดเป้าหมายให้สอดคล้องกับผลประโยชน์ทางเศรษฐกิจและภูมิรัฐศาสตร์ของเกาหลีเหนือ ซึ่งส่วนใหญ่เน้นไปทางการเงินเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ ซึ่งไม่กี่ปีที่ผ่านมาได้ขยายการโจมตีเพิ่มเติมไปที่อุตสาหกรรมการป้องกันและการบินและอวกาศ

CyptoCore หรือ CryptoMimic, Dangerous Password, CageyChameleon, และ Leery Turtle, ไม่ได้มีความแตกต่างกันมาก โดยกลุ่ม Lazarus ซึ่งมุ่งเน้นไปที่การขโมยสกุลเงินดิจิทัลเป็นหลักเช่นกัน ในปี 2018 มีการใช้ประโยชน์จาก spear-phishing เพื่อเป็นการขโมยรหัสผ่านและบัญชีของเหยื่อเพื่อทำการโอนเงินไปยังบัญชีของผู้โจมตี

ปัจจุบันกลุ่ม Lazarus มีการขโมยเงินไปแล้วประมาณ 200 ล้านดอลลาร์ตามรายงานของ ClearSky ที่เผยแพร่ในเดือนมิถุนายน 2020 ซึ่งเชื่อมโยง CryptoCore กับเหยื่อ 5 รายที่อยู่ในสหรัฐอเมริกา ญี่ปุ่น เมื่อรวมกับงานวิจัยล่าสุดแสดงให้เห็นว่าการดำเนินการดังกล่าวส่งผลกระทบเป็นวงกว้างมากกว่าที่บันทึกไว้ก่อนหน้านี้ รวมถึงมีการพัฒนาการโจมตีหลายส่วนไปพร้อม ๆ กันอีกด้วยในปัจจุบัน

ที่มา : thehackernews

เมื่อวันพฤหัสบดีที่ผ่านมา ทาง Microsoft ออกมาแจ้งเตือนถึง campaign "massive email" โดยมัลแวร์ชื่อ STRRAT ซึ่งใช้ Java-based เพื่อขโมยข้อมูลที่เป็นความลับจากระบบ ในขณะที่ปลอมตัวเป็นมัลแวร์เรียกค่าไถ่

RAT(Remote Access Trojan) ตัวนี้ จะมีพฤติกรรมคล้าย ransomware โดยจะเปลี่ยนชื่อไฟล์ ต่อท้ายด้วยนามสกุล .crimson โดยที่ไม่ได้ทำการเข้ารหัสจริง ๆ ซึ่งถ้าส่วนที่ต่อท้ายนามสกุลของไฟล์นี้ถูกลบออกไป ก็จะสามารถเปิดไฟล์ได้ตามปกติ

ทาง Microsoft พบเห็นการโจมตีเมื่อสัปดาห์ที่แล้ว จาก spam emails ซึ่งถูกส่งจาก email account ที่ถูกยึด มี subject ชื่อ "Outgoing Payments" เพื่อล่อให้ผู้รับเปิดเอกสาร PDF ที่เป็นอันตรายซึ่งอ้างว่าเป็นการโอนเงิน แต่ในความเป็นจริงแล้วเป็นการ เชื่อมต่อกับโดเมนหลอกลวงเพื่อดาวน์โหลดมัลแวร์ STRRAT และยังมีการเชื่อมต่อไปยัง command-and-control server อีกด้วย มัลแวร์ตัวนี้ยังมีคุณสมบัติที่สามารถรวบรวมรหัสผ่านของเบราว์เซอร์, บันทึกการกดแป้นพิมพ์, การเรียกใช้คำสั่งควบคุมจากระยะไกล และสคริปต์ PowerShell

STRRAT ถูกพบครั้งแรกในเดือนมิถุนายนปี 2020 โดย G Data บริษัทรักษาความปลอดภัยทางไซเบอร์ของเยอรมันที่สังเกตเห็น Windows malware (เวอร์ชัน 1.2) ในอีเมลฟิชชิ่งที่มีไฟล์แนบ Jar (หรือ Java Archive) ที่เป็นอันตราย

มัลแวร์มีเป้าหมายในการขโมยข้อมูล credentials ของเบราว์เซอร์, email clients และ passwords ผ่าน keylogging" ส่งผลกระทบกับเบราว์เซอร์และ email clients ดังต่อไปนี้ : Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird

Microsoft ตั้งข้อสังเกตว่าเวอร์ชัน 1.5 มีความซับซ้อนมากกว่าเวอร์ชันก่อนหน้า ซึ่งบ่งบอกว่าผู้ที่อยู่เบื้องหลังการโจมตี กำลังพัฒนาเครื่องมืออย่างเต็มที่ และพฤติกรรมการเข้ารหัสแบบหลอก ๆ ยังคงเป็นสัญญาณว่ากลุ่มนี้อาจมีเป้าหมายที่จะสร้างรายได้อย่างรวดเร็ว จากผู้ใช้ที่ไม่สงสัยในการข่มขู่ด้วย Ransomware

Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญสามารถเข้าถึงได้ผ่าน GitHub

ที่มา : thehackernews

เซิร์ฟเวอร์ที่เก็บข้อมูลของสายการบินแห่งชาติของอินเดีย (Air India) ถูกโจมตีทางไซเบอร์ ส่งผลกระทบต่อข้อมูลของลูกค้าประมาณ 4.5 ล้านรายทั่วโลกถูกบุกรุก
จากรายงานพบว่ามีการโจมตีครั้งแรกในเดือน กุมภาพันธ์ รายละเอียดข้อมูลที่ถูกบุกรุกนั้นประกอบไปด้วย หนังสือเดินทาง, ข้อมูลตั๋ว รวมไปถึงข้อมูลบัตรเครดิต "แต่ในส่วนของ ข้อมูลด้านความปลอดภัยของบัตรเครดิต หมายเลข CVV หรือ CVC นั้นไม่ได้ถูกเก็บอยู่บนเซิร์ฟเวอร์ข้อมูลที่ถูกโจมตี" และ "หลังจากการโจมตีที่เกิดขึ้นยังไม่พบสัญญาณหรือพฤติกรรมที่ผิดปกติเพิ่มเติม" ตามที่สายการบินแห่งชาติของอินเดีย กล่าว
ปัจจุบันนั้นยังไม่มีการออกมายอมรับ หรือรู้ตัวของผู้อยู่เบื้องหลังการโจมตีครั้งนี้
ทาง Air India เองก็ได้ออกมาประกาศให้ลูกค้าของตนนั้นดำเนินการเปลี่ยนรหัสผ่านการเข้าถึงบัญชีผู้ใช้ของพวกเขาบนเว็บไซต์
เมื่อปีที่แล้ว British Airways เองก็ถูกปรับ 20 ล้านปอนด์ (ประมาณ 800 ล้านบาท) เนื่องจากการละเมิดข้อมูลซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคลและข้อมูลบัตรเครดิตของลูกค้ามากกว่า 400,000 ราย เมื่อปี 2018
นอกจากนี้ในปีเดียวกัน EasyJet ยังออกมายอมรับว่าข้อมูล อีเมล และรายละเอียดการเดินทางของลูกค้าประมาณ 9 ล้านราย ถูกขโมยในการโจมตีทางไซเบอร์เช่นเดียวกัน

ที่มา : bbc

แฮกเกอร์เปิดเผยวิธีเลี่ยงแพตช์ของช่องโหว่ที่ได้รับการแก้ไขแล้วใน Windows 10

เมื่อวันที่ 7 มิถุนายน 2019 SandboxEscaper ได้เปิดเผยวิธีโจมตีเพื่อเลี่ยงการแพตช์ช่องโหว่ CVE-2019-0841 ที่ถูกแพตช์ไปแล้ว ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้อีกครั้ง

SandboxEscaper เป็นที่รู้จักกันดีในเรื่องการหาช่องโหว่ zero-day ที่ยังไม่ได้แก้ไขของ Windows ในปีที่ผ่านมาแฮกเกอร์ได้เปิดเผยช่องโหว่ zero-day มากกว่าครึ่งโหลใน Windows OS โดยไม่สนใจที่จะแจ้งให้ Microsoft ทราบถึงปัญหาก่อน ได้ทำการเปิดเผยวิธี Bypass ช่องโหว่ CVE-2019-0841 เป็นวิธีที่สองเพิ่มจากที่เคยเปิดเผยวิธีแรกไปแล้วก่อนหน้านี้

ช่องโหว่ CVE-2019-0841 เป็นช่องโหว่ที่เกิดจาก Windows AppX Deployment Service (AppXSVC) จัดการ hard link อย่างไม่ถูกต้อง ทำให้สามารถใช้เพื่อยกระดับสิทธิ์ผู้ใช้งานได้ ได้รับการแพตช์แล้วเมื่อเดือนเมษายน 2019 แต่ SandboxEscaper อ้างว่าได้ค้นพบวิธีใหม่ในการเลี่ยงแพตช์ของช่องโหว่ โดยทำวิดีโอสาธิตการเลี่ยงด้วยการใช้เบราวเซอร์ Edge เพื่อเขียน discretionary access control list (DACL) ด้วยสิทธิ์ระดับ SYSTEM

โดยในแพตช์ประจำเดือนมิถุนายน 2019 ที่เพิ่งออกนี้ยังไม่มีการแก้ไขกรณีดังกล่าว

ที่มา : thehackernews

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

โดยเมื่อไฟล์ RTF ถูกเปิดมันจะรันสคริปต์หลายประเภทที่แตกต่างกัน (VBScript, PowerShell, PHP, อื่น ๆ ) เพื่อดาวน์โหลด Payload โดย Payload สุดท้ายคือ Backdoor trojan ซึ่งผู้โจมตีไม่สามารถสั่งคำสั่งไปยัง Backdoor trojan ดังกล่าวได้แล้วเนื่องจากเซิร์ฟเวอร์ที่ถูกควบคุมถูกปิดไปแล้ว แต่ Microsoft ยังคงเตือนภัยว่าอาจมีการโจมตีในลักษณะเดียวกันโดยใช้ Backdoor trojan ตัวใหม่ได้

อย่างไรก็ตามช่องโหว่ CVE-2017-11882 ได้รับการแพตช์แล้วตั้งแต่เดือนพฤศจิกายน 2017 แนะนำให้ผู้ใช้ Windows ทุกคนติดตั้งแพตช์การรักษาความปลอดภัยสำหรับช่องโหว่นี้ เนื่องจากช่องโหว่นี้กำลังถูกใช้โจมตีอยู่บ่อยครั้ง โดยบริษัท Recorded Future ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดเป็นอันดับสามในปี 2018 และ Kaspersky ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดอันดับหนึ่งในปี 2018 รวมถึงมีการเตือนจาก FireEye ในวันที่ 5 มิถุนายน 2019 ถึงการโจมตีด้วยช่องโหว่นี้ไปยังเอเชียกลางด้วย Backdoor ตัวใหม่ที่ชื่อว่า HawkBall

ที่มา : zdnet

แจ้งเตือนระดับวิกฤติ ช่องโหว่ล่าสุดบน WhatsApp ถูกโจมตีเพื่อฝัง Spyware สัญชาติอิสราเอล

นิตยสาร Financial Times ออกรายงานเมื่อช่วงเช้าที่ผ่านมาหลังจากมีการตรวจพบข้อมูลที่เชื่อถือได้ว่าบริษัทสัญชาติ NSO Group ซึ่งอยู่เบื้องหลังการโจมตีระบบมือถือเพื่อสอดแนม ได้ทำการโจมตีช่องโหว่ใน WhatsApp ซึ่งส่งผลให้ผู้โจมตีสามารถฝังมัลแวร์ลงที่เครื่องเป้าหมายได้

บริษัท NSO Group เป็นบริษัทสัญชาติอิสราเอลที่มีชื่อเสียงในเรื่องของการพัฒนาเทคโนโลยีสอดแนม โดยเคยมีผลงานในการพัฒนาหนึ่งในมัลแวร์บนระบบ iOS "Pegasus" ตามคำสั่งของลูกค้า อีกทั้งยังมีประวัติในการโจมตีช่องโหว่ zero-day หลายรายการด้วย โดยเชื่อกันว่า NSO Group ใช้ช่องโหว่นี้ในการโจมตีและติดตั้งมัลแวร์ลงในเป้าหมายที่ถูกจ้างวาน

ทางตัวแทนของ WhatsApp ได้ออกมาให้ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ว่า ช่องโหว่ดังกล่าวที่รหัส CVE-2019-3568 เป็นช่องโหว่ซึ่งพึ่งถูกค้นพบเมื่อต้นเดือนที่ผ่านมา โดยลักษณะของช่องโหว่ Buffer Overflow ในส่วน VOIP stack ของแอป ซึ่งส่งผลให้ผู้โจมตีสามารถโจมตีระบบและรันโค้ดที่เป็นอันตรายจากระยะไกลได้ด้วยการส่งแพ็คเกต SRTCP มายังเบอร์โทรศัพท์ หรือหมายถึงการโทรหาเป้าหมายทั้งในระบบปฏิบัติการ iOS และแอนดรอยด์เท่านั้นเอง ช่องโหว่จะถูกโจมตีทันทีแม้ว่าเป้าหมายจะไม่ได้รับสายที่โทรเข้ามา

ทางตัวแทนของ WhatsApp ยังยืนยันเพิ่มเติมว่า มีการตรวจพบหมายเลขจำนวนหนึ่งซึ่งตกเป็นเป้าหมายและถูกโจมตี ซึ่งหนึ่งนั้นเป็นนักเคลื่อนไหวทางสิทธิมนุษยชนชาวอังกฤษ

Recommendation
ในขณะนี้ทาง WhatsApp ได้มีการปล่อยแอปพลิเคชันที่มีการแพตช์ช่องโหว่ดังกล่าวให้แก่ผู้ใช้งานแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตโดยด่วนทันที

ที่มา : cnet

CVE-2019-11815 Remote Code Execution affects Linux Kernel prior to 5.0.8

ระบบปฏิบัติการลินุกซ์ซึ่งรันบนเคอร์เนลรุ่นต่ำกว่า 5.0.8 อาจมีความเสี่ยงหลังจากมีการตรวจพบช่องโหว่ race condition ซึ่งนำไปสู่เงื่อนไขของ use-after-free ส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

ช่องโหว่ CVE-2019-11815 นี้เป็นช่องโหว่ซึ่งอยู่ในส่วนโค้ดที่อิมพลีเมนต์โปรโตคอล TCP/IP โดยการโจมตีนั้นสามารถทำได้เพียงแต่ส่งแพ็คเกต TCP ไปยังระบบเป้าหมายที่มีช่องโหว่จนกว่าจะเกิดเงื่อนไขที่ทำให้การโจมตช่องโหว่นั้นสำเร็จโดยไม่ต้องมีการพิสูจน์ตัวตนและไม่ต้องอาศัยการมีปฏิสัมพันธ์จากผู้ใช้งาน

อย่างไรก็ตามแม้ว่าความรุนแรงของช่องโหว่ตามมาตรฐานของ CVSSv3 จะสูงถึง 8.1/10 แต่ความง่ายในการโจมตีช่องโหว่นั้นกลับได้คะแนนเพียงแค่ 2.2/10 หรือค่อนข้างยาก ส่งผลให้คะแนน CVSSv3 โดยรวมนั้นมีเพียงแค่ 5.9/10 คะแนน

นักพัฒนาเคอร์เนลได้มีการประกาศแพตช์สำหรับช่องโหว่นี้แล้วในช่วงปลายเดือนมีนาคม โดยคาดว่าเคอร์เนลรุ่นใหม่ในรุ่น 5.0.8 ซึ่งจะถูกปล่อยในเร็วๆ นี้จะมีการรวมแพตช์ของช่องโหว่ดังกล่าวไปด้วย

ที่มา : securityaffairs