Microsoft ออกอัพเดทแก้ไขช่องโหว่ Windows PrintNightmare ที่เหลืออยู่ก่อนหน้านี้

Microsoft ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ล่าสุดที่เหลืออยู่ของ PrintNightmare ซึ่งอนุญาตให้ผู้โจมตีได้รับสิทธิ์ในระดับผู้ดูแลระบบบน Windows เรียบร้อยแล้ว

ในเดือนมิถุนายน ช่องโหว่ zero-day ของ Windows print spooler ที่ชื่อว่า PrintNightmare (CVE-2021-34527) ถูกเปิดเผยออกมาโดยไม่ได้ตั้งใจ ช่องโหว่เกิดจาก Windows Point and Print ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) และได้รับสิทธิ์ SYSTEM บนระบบอีกด้วย

แม้ว่า Microsoft จะออกอัปเดตความปลอดภัยสองรายการเพื่อแก้ไขช่องโหว่ต่างๆ ของ PrintNightmare ไปแล้วก่อนหน้านี้ แต่นักวิจัยด้านความปลอดภัย Benjamin Delpy ยังพบว่าการโจมตีในลักษณะที่ได้รับสิทธิ์ SYSTEM บนระบบยังสามารถทำได้ผ่านทาง Remote print server

การทดสอบช่องโหว่ของ Delpy ใช้วิธีการสั่ง CopyFiles directive ทำการคัดลอก และเรียกใช้ DLL ที่เป็นอันตราย บนเครื่องที่ผู้ใช้ติดตั้ง Remote printer เมื่อการโจมตีด้วยการรัน DLL ที่เป็นอันตรายได้สำเร็จ จะสามารถเปิด Command Prompt ขึ้นมาได้โดยอัตโนมัติ ซึ่งคำสั่งทั้งหมดจะถูกดำเนินการด้วยสิทธิ์ SYSTEM privileges ทันที

แย่ไปกว่านั้น กลุ่ม Ransomware ที่ชื่อว่า Vice Society, Magniber และ Conti ได้เริ่มใช้วิธีการนี้ในการยกระดับสิทธิ์ของ User เมื่อเข้าควบคุมเครื่องเหยื่อได้แล้ว

ช่องโหว่ PrintNightmare ที่ยังเหลืออยู่นี้ได้หมายเลข CVE-2021-36958 และถือว่า Victor Mata จาก Fusion X, Accenture Security เป็นผู้ค้นพบ เนื่องจากเป็นผู้รายงานช่องโหว่นี้ให้กับ Microsoft เป็นครั้งแรกในช่วงเดือนธันวาคมปี 2020

Security update ล่าสุดแก้ไขช่องโหว่ของ PrintNightmare ครบหมดแล้ว

ในการอัปเดต Patch Tuesday เดือนกันยายน 2021 Microsoft ได้ออกอัปเดตความปลอดภัยสำหรับช่องโหว่ CVE-2021-36958 ซึ่งแก้ไขช่องโหว่ PrintNightmare ที่เหลืออยู่ Delpy ผู้ทดสอบช่องโหว่ยืนยันกับ BleepingComputer ว่าช่องโหว่นี้ได้รับการแก้ไขแล้ว นอกเหนือจากการแก้ไขช่องโหว่แล้ว Benjamin Delpy ยังบอกกับ BleepingComputer ว่า Microsoft ได้ปิดใช้งานคุณลักษณะ CopyFiles โดยค่าเริ่มต้น และเพิ่ม Group policy ซึ่งช่วยให้ผู้ดูแลระบบสามารถเปิดใช้งานได้อีกครั้ง นโยบายนี้สามารถกำหนดค่าได้ใน Windows Registry ภายใต้คีย์ HKLM\Software\Policies\Microsoft\Windows NT\Printers และโดยการเพิ่มค่าชื่อ CopyFilesPolicy เมื่อตั้งค่าเป็น '1' ระบบจะเปิดใช้งาน CopyFiles อีกครั้ง ซึ่งแม้จะเปิดใช้งานแล้ว Benjamin Delpy บอก BleepingComputer ว่า Microsoft จะอนุญาตให้ใช้เฉพาะไฟล์ C:\Windows\System32\mscms.

Microsoft Patch Tuesday ประจำเดือนมีนาคม 2021 โดยในเดือนนี้ Microsoft ได้ออกเเพตช์เพื่อเเก้ไขช่องโหว่เป็นจำนวน 82 รายการ ซึ่งช่องโหว่จำนวน 10 รายการ ถูกจัดเป็นช่องโหว่ที่มีระดับความรุนแรง Critical และอีก 72 รายการ เป็นช่องโหว่ที่มีระดับความรุนแรง Important ซึ่งช่องโหว่จำนวน 82 รายการนี้ไม่รวมช่องโหว่ของ Microsoft Exchange จำนวน 7 รายการและ Chromium Edge อีก 33 รายการที่เผยแพร่เมื่อต้นเดือนนี้ที่ผ่านมา สำหรับเเพตช์ที่ได้รับการเเก้ไขและน่าสนใจมีดังนี้

ช่องโหว่ Zero-day ถูกติดตามด้วยรหัส CVE-2021-26411 ถูกจัดเป็นช่องโหว่ประเภท Memory Corruption ใน Internet Explorer ที่ถูกแฮกเกอร์ชาวเกาหลีเหนือนำไปใช้โจมตีนักวิจัยด้านความปลอดภัย

ช่องโหว่ Zero-day อีกช่องโหว่หนึ่งที่น่าสนใจถูกติดตามด้วยรหัส CVE-2021-27077 ถูกจัดเป็นช่องโหว่ประเภทการยกระดับสิทธิ์ (Elevation of Privilege) ใน Windows Win32k โดยช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะโดย Trend Micro Zero Day Initiative

นอกจากช่องโหว่ที่กล่าวมานี้ Microsoft ยังออกแพตช์อัปเดตด้านความปลอดภัยสำหรับฟีเจอร์และบริการต่าง ๆ เช่น Microsoft Windows Codecs Library, Windows Admin Center, DirectX, Event Tracing, Registry, Win32K และ Windows Remote Access API

ทั้งนี้ผู้ใช้ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีจากผู้ประสงค์ร้าย สำหรับข้อมูลเกี่ยวกับการอัปเดตเเพตช์ของ Windows สามารถดูรายละเอียดเพิ่มเติมได้ที่: microsoft

ที่มา: bleepingcomputer

Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 มาแล้ว

ไมโครซอฟต์ประกาศ Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 แล้ววันนี้ โดยในรอบเดือนนี้นั้นมีช่องโหว่ทั้งหมด 112 รายการที่ถูกแพตช์ จาก 112 รายการที่ถูกแพตช์มี 17 ช่องโหว่ที่ถูกระบุว่าเป็นช่องโหว่ระดับวิกฤติ รวมไปถึงมีการแพตช์ Zero-day ที่ถูกแจ้งโดย Google Project Zero

เมื่อช่วงปลายเดือนที่ผ่านมา Google Project Zero มีการแจ้งเตือนไปยังไมโครซอฟต์หลังจาก Google Threat Analysis Group ตรวจพบการใช้ช่องโหว่ Zero-day ในการโจมตีจริง โดยช่องโหว่ดังกล่าวถูกระบุด้วยรหัส CVE-2020-17087 เป็นช่องโหว่ยกระดับสิทธิ์ในส่วน Windows Kernel Cryptography Driver

อ้างอิงจากข้อมูลสรุปโดย Bleeping Computer ช่องโหว่ 10 จาก 17 รายการที่ถูกระบุอยู่ในระดับวิกฤติอยู่ในส่วน Microsoft Windows Codecs Library, ส่วนของ Windows Kernel อีก 2 ช่องโหว่, ส่วน Microsoft Scripting Engine 3 ช่องโหว่ และ Microsoft Browsers และ Azure Sphere อย่างละหนึ่งช่องโหว่

ที่มา: bleepingcomputer | bleepingcomputer | threatpost | zdnet | theregister | securityweek

โดยปกตินั้นไอ-ซีเคียวจะมีการกระจายข่าวการอัปเดตประจำเดือนของแพตช์จากไมโครซอฟต์ในลักษณะของ "ข่าวสั้น" ซึ่งจะปรากฎทาง Blog และ Facebook แต่จากการประเมินแพตช์ในเดือนตุลาคม 2020 แล้ว เราตัดสินใจที่จะลงรายละเอียดให้ลึกกว่าเดิมด้วยความเชื่อที่ว่ามันอาจจะช่วยให้การแพตช์ได้รับความสนใจและถูกเห็นความสำคัญมากยิ่งขึ้นว่ามันอาจจะช่วยชีวิตเราได้ในอนาคตจริง ๆ

ในโพสต์นี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะขอสรุปแพตช์และช่องโหว่ซึ่งประกาศใหม่ รวมไปถึงลงรายละเอียดช่องโหว่ที่น่าสนใจอย่าง Bad Neighbor และช่องโหว่ RCE ใน SharePoint เพิ่มเติมครับ

Overview
CVE-2020-16898 "Bad Neighbor" Vulnerability
CVE-2020-16952 SharePoint RCE Vulnerability

Overview
ในรอบเดือนตุลาคม 2020 นี้ ไมโครซอฟต์มีการประกาศแพตช์มาซึ่งครอบคลุมช่องโหว่ 87 รายการ แยกตามกลุ่มผลิตภัณฑ์ของไมโครซอฟต์ดังนี้

กลุ่ม Windows กระทบ Windows 8.1, 8.1 RT, 10, Server 2012, 2016, 2019 มีทั้งหมด 53 ช่องโหว่
กลุ่ม Office, Office Service และ Office Web Apps มีทั้งหมด 23 ช่องโหว่
กลุ่ม Azure Functions มีทั้งหมด 2 ช่องโหว่
กลุ่ม Dynamics มีทั้งหมด 4 ช่องโหว่
กลุ่ม Exchange Server, Visual Studio, PowershellGet, .NET Framework และ Flash Player for Edge and IE มีทั้งหมดกลุ่มละ 1 ช่องโหว่

แยกทั้งหมด 87 ช่องโหว่และกลุ่มผลิตภัณฑ์ที่ได้รับแพตช์ด้านบน ทีมตอบสนองการโจมตีและภัยคุกคามขอสลับมาดูในมุมของผลกระทบจากช่องโหว่ (impact/severity) ซึ่งเป็นจะปัจจัยสำคัญในการทำ prioritization โดยช่องโหว่ที่ถูกระบุว่ามีผลกระทบที่สูงตามมาตรฐานของ CVSSv3 ทั้งหมด 5 อันดับแรก ซึ่งมีตามรายการดังนี้

CVE-2020-16898 "Bad Neighbor" เป็นช่องโหว่ remote code execution ใน Windows IPv6 stack (CVSSv3: 9.8)
CVE-2020-16891 เป็นช่องโหว่ remote code execution ใน Windows Hyper-V  (CVSSv3: 8.8)
CVE-2020-16911 เป็นช่องโหว่ remote code execution ใน Windows Graphics Device Interface (GDI) (CVSSv3: 8.8)
CVE-2020-16952 เป็นช่องโหว่ remote code execution ใน Windows SharePoint (CVSSv3: 8.6)
CVE-2020-16947 เป็นช่องโหว่ remote code execution ในซอฟต์แวร์ Microsoft Outlook (CVSSv3: 8.1)

แม้จะยังไม่มีการเผยแพร่ของโค้ดสำหรับโจมตีช่องโหว่ (exploit) ออกมา แต่มีการตรวจพบการใช้ช่องโหว่ 6 รายการจากทั้งหมด 87 รายการจากการโจมตีจริงแล้ว ซึ่งอาจแปลความหมายได้ว่ามีการโจมตีโดยใช้ช่องโหว่เกิดขึ้นก่อน และการตรวจจับการโจมตีนั้นนำไปสู่การค้นพบช่องโหว่ใหม่ ช่องโหว่ที่ถูกใช้ในการโจมตีจริงแล้ว ณ วันที่บทความนี้ถูกเขียน ได้แก่

CVE-2020-16937 เป็นช่องโหว่ information disclosure ใน .NET Framework
CVE-2020-16909 เป็นช่องโหว่ privilege escalation ใน Windows Error Reporting
CVE-2020-16901 เป็นช่องโหว่ information disclosure ใน Windows Kernel
CVE-2020-16938 เป็นช่องโหว่ information disclosure ใน Windows Kernel
CVE-2020-16908 เป็นช่องโหว่ privilege escalation ใน Windows Setup
CVE-2020-16885 เป็นช่องโหว่ privilege escalation ใน Windows Storage VSP Driver

CVE-2020-16898 "Bad Neighbor" Vulnerability
Vulnerability Details
ทีม McAfee Advanced Threat Research พบช่องโหว่ใน Windows IPv6 stack ซึ่งทำให้ผู้โจมตีสามารถส่งแพ็คเกตแบบพิเศษมายังเป้าหมายที่มีช่องโหว่ จากนั้นรันโค้ดที่เป็นอันตรายในระบบที่มีช่องโหว่ได้ทันที ช่องโหว่นี้มีคุณลักษณะ Wormable ซึ่งหมายถึงสามารถถูกใช้ในการแพร่กระจายของมัลแวร์แบบเวิร์มได้ เช่นเดียวกันช่องโหว่ EternalBlue ที่ถูกใช้โดย WannaCry

ช่องโหว่มีที่มาจากการที่ Windows TCP/IP stack จัดการแพ็คเกตจากโปรโตคอล ICMPv6 Router Advertisement ซึ่งมีการใช้ Option Type 25 (Recursive DNS Server Option) กับค่าในฟิลด์ length เป็นเลขคู่อย่างไม่เหมาะสม ในเบื้องหลังการทำงานซึ่งทำให้เกิดช่องโหว่ Windows มีการทำงานผิดพลาดในส่วนของการจัดการค่าในฟิลด์ length ให้สอดคล้องกับที่ระบุไว้ใน RFC 8106 ซึ่งค่าที่ฟิลด์ length ควรจะต้องเป็นเลขคี่ที่มีค่า 3 เป็นอย่างน้อย

เมื่อมีการส่งค่าในฟิลด์ length เป็นเลขคู่เข้ามา Windows TCP/IP stack จะการจองพื้นที่ในหน่วยความจำเล็กกว่าความเป็นจริงทั้งหมด 8 ไบต์ ซึ่งส่งผลให้เกิดเงื่อนไขของช่องโหว่ประเภท buffer overflow ซึ่งนำไปสู่การโจมตีแบบ denial of service และ remote code execution ได้

ทีม McAfee Advanced Threat Research ให้ความเห็นว่าช่องโหว่ Bad Neighbor จำเป็นจะต้องถูกใช้ร่วมกับช่องโหว่อื่นเพื่อให้สามารถนำไปใช้โจมตีได้จริง สอดคล้องกับทาง SophosLabs ซึ่งลงความเห็นการทำให้ช่องโหว่นำมาใช้เพื่อทำ remote code execution นั้นทำได้ยาก
Attack Surface
ช่องโหว่นี้กระทบ Windows 10 ตั้งแต่รุ่น 1709 จนถึง 2004 และ Windows Server 2019
Detection
ทีม McAfee Advanced Threat Research ให้ความเห็นว่าการตรวจจับการโจมตีช่องโหว่สามารถทำได้ง่ายโดยการตรวจสอบแพ็คเกต ICMPv6 ที่เข้ามาในระบบ โดยให้ตรวจสอบตามเงื่อนไขดังนี้

ตรวจหาแพ็คเกต ICMPv6 ที่มีการกำหนดฟิลด์ Type เป็น 134 ซึ่งหมายถึง Router Advertisement หรือไม่
ตรวจหาว่าการกำหนด ICMPv6 ฟิลด์ Option เป็น 25 ซึ่งหมายถึง Recursive DNS Server (RDNSS) หรือไม่
ตรวจสอบว่าในส่วน RDNSS option นี้มีการกำหนดในฟิลด์ length เป็นเลขคู่หรือไม่

หากแพ็คเกตมีลักษณะครบตามทั้ง 3 เงื่อนไข ให้ทำการบล็อคแพ็คเกตดังกล่าวทันทีเนื่องจากอาจเป็นไปได้ว่าเป็นความพยายามโจมตีช่องโหว่ Bad Neighbor

ทีม McAfee Advanced Threat Research ยังมีการเผยแแพร่ Suricata signature และ Lua script ในช่วยตรวจจับการพยายามโจมตีช่องโหว่เอาไว้ด้วยที่ advanced-threat-research/CVE-2020-16898
Mitigation
การลดผลกระทบหรือลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ Bad Neighbor มีได้หลายวิธีการ ได้แก่

ปิดการใช้งาน IPv6 ในเน็ตเวิร์คอินเตอร์เฟสที่ไม่มีความจำเป็นต้องใช้ (อาจส่งผลกระทบต่อบางฟีเจอร์ของระบบ)
บล็อคหรือดรอปแพ็คเกต IPv6 ที่มีคุณลักษณะที่ไม่จำเป็นต้องการใช้งานที่ network perimeter โดยเฉพาะอย่างยิ่ง ICMPv6 Router Advertisements
ในขณะนี้ Windows Defender และ Windows Firewall ยังไม่สามารถบล็อคการทดลองโจมตีด้วย Proof of Concept ได้

อาจเป็นไปได้ที่ผู้โจมตีมีการใช้วิธีการ tunneling ให้สามารถส่ง ICMPv6 ผ่าน IPv4 มาได้ด้วยเทคโนโลยีอย่าง 6to4 หรือ Teredo อย่างไรก็ตามยังไม่มีการตรวจสอบในประเด็นนี้ว่าสามารถทำได้จริงหรือไม่
CVE-2020-16952 SharePoint RCE Vulnerability
Vulnerability Details
ทีม Source Incite พบช่องโหว่ใน Windows SharePoint ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายในระบบด้วยสิทธิ์ของผู้ดูแลระบบได้ การโจมตีจะต้องมีการพิสูจน์ตัวตนก่อน ซึ่งหมายถึงว่าผู้โจมตีจะต้องมีบัญชีอยู่ในระบบก่อน

ช่องโหว่นี้เกิดขึ้นในคลาส Microsoft.

Microsoft ได้ประกาศเผยแพร่แพตซ์การเเก้ไขความปลอดภัยประจำเดือนกันยายน 2020 หรือที่เรียกว่า Microsoft Patch Tuesday ซึ่งในเดือนกันยายนนี้ Microsoft ได้ทำการเเก้ไขช่องโหว่จำนวน 129 รายการในผลิตภัณฑ์ของ Microsoft โดยมีช่องโหว่ระดับ Critical 23 รายการ, ระดับ Important 105 รายการและระดับ Moderate 1 รายการ

Microsoft กล่าวว่าเเพตซ์ในเดือนกันยายนนี้ไม่พบช่องโหว่ Zero-day และยังไม่พบการใช้ประโยชน์จากช่องโหว่ทำการโจมตี แต่แพตซ์นี้ก็มีช่องโหว่ที่สามารถใช้ประโยชน์จากระยะไกลได้โดยมีรายละเอียดที่น่าสนใจดังนี้

CVE-2020-16875 ช่องโหว่ Memory Corruption ใน Microsoft Exchange ช่องโหว่จะสามารถทำให้ผู้โจมตีจากระยะไกลทำการเรียกใช้โค้ดจากระยะไกลได้โดยเพียงแค่ส่งอีเมลที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ Microsoft Exchange
CVE-2020-0922 ช่องโหว่ Remote Code Execution (RCE) ใน Microsoft COM ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่โดยการหลอกล่อผู้ใช้ไปยังไซต์ที่มี JavaScript ที่เป็นอันตราย และเรียกใช้โค้ดได้จากระยะไกล
CVE-2020-0908 ช่องโหว่ Remote Code Execution (RCE) ใน Microsoft Windows Text Service ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่โดยการหลอกล่อผู้ใช้ไปยังเว็บไซต์ที่มีเนื้อหาหรือโฆษณาที่เป็นอันตรายของผู้โจมตีและเรียกใช้โค้ดได้จากระยะไกล

ผู้ใช้ควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีผู้ใช้ ทั้งนี้ผู้ที่สนใจรายละเอียดเเพตซ์การเเก้ไขช่องโหว่เพิ่มเติมสามารถดูได้จากเเหล่งที่มา

ที่มา: bleepingcomputer.