ผู้เชี่ยวชาญเผยรายละเอียดใหม่ของช่องโหว่ Zero-Click Outlook RCE

ข้อมูลทางเทคนิคเกี่ยวกับช่องโหว่ด้านความปลอดภัยสองรายการที่ได้รับการแก้ไขแล้วใน Microsoft Windows ซึ่งอาจถูกใช้ร่วมกันจากผู้โจมตีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอีเมล Outlook โดยไม่ต้องมีการโต้ตอบจากผู้ใช้

Ben Barnea นักวิจัยด้านความปลอดภัยจาก Akamai ผู้ค้นพบช่องโหว่ ยืนยันในรายงานที่แชร์กับ The Hacker News ว่า "ผู้โจมตีจากอินเทอร์เน็ตสามารถเชื่อมโยงช่องโหว่ทั้งสองเข้าด้วยกันเพื่อสร้างช่องโหว่ Remote Code Execution (RCE) แบบ zero-click ที่สมบูรณ์บนไคลเอ็นต์ Outlook ได้"

รายการช่องโหว่ด้านความปลอดภัย ซึ่ง Microsoft ได้แก้ไขไปเมื่อเดือนสิงหาคม และตุลาคม 2023 ตามลำดับ

CVE-2023-35384 (CVSS score: 5.4) - ช่องโหว่ Windows HTML Platforms Security Feature Bypass
CVE-2023-36710 (CVSS score: 7.8) - ช่องโหว่ Windows Media Foundation Core Remote Code Execution

นักวิจัยจาก Akamai ระบุว่า CVE-2023-35384 เป็นการ bypass ช่องโหว่ด้านความปลอดระดับ Critical ที่ Microsoft แก้ไขไปในเดือนมีนาคม 2023 ช่องโหว่นั้นคือ CVE-2023-23397 (CVSS score: 9.8) ซึ่งเกี่ยวข้องกับการยกระดับสิทธิ์ ซึ่งอาจนำไปสู่การขโมยข้อมูล NTLM credentials และช่วยให้ผู้โจมตีสามารถใช้เพื่อโจมตีต่อได้

ช่วงต้นเดือนนี้ Microsoft, Proofpoint และ Palo Alto Networks Unit 42 ได้เปิดเผยว่า กลุ่มแฮ็กเกอร์ชาวรัสเซียที่รู้จักกันในชื่อ APT28 (หรือ Forest Blizzard) กำลังโจมตีโดยใช้ช่องโหว่ดังกล่าวหลายครั้ง เพื่อเข้าถึงบัญชีผู้ใช้บนเซิร์ฟเวอร์ Exchange โดยไม่ได้รับอนุญาต

น่าสังเกตว่า CVE-2023-35384 เป็นการ bypass แพตช์ครั้งที่สองต่อจาก CVE-2023-29324 ซึ่งถูกค้นพบโดย Barnea และถูกแก้ไขโดย Microsoft ในอัปเดตความปลอดภัยเดือนพฤษภาคม 2023

Barnea ระบุว่า "เราพบวิธีการ bypass การแก้ไขช่องโหว่เดิมของ Outlook ซึ่งทำให้เราสามารถบังคับให้ไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม และดาวน์โหลดไฟล์ที่เป็นอันตราย"

CVE-2023-35384 เช่นเดียวกับ CVE-2023-29324 มีต้นตอมาจากปัญหาการวิเคราะห์เส้นทางโดยฟังก์ชัน MapUrlToZone ซึ่งสามารถถูกโจมตีได้โดยการส่งอีเมลที่มีไฟล์อันตรายหรือ URL ไปยังไคลเอ็นต์ Outlook

Microsoft ระบุในประกาศเตือนว่า "มีช่องโหว่ที่ทำการ bypass ความปลอดภัยเกิดขึ้นเมื่อแพลตฟอร์ม MSHTML ไม่สามารถตรวจสอบ Security Zone ที่ถูกต้องของ request สำหรับ URL ที่เจาะจงได้ ซึ่งอาจทำให้ผู้โจมตีสามารถหลอกให้ผู้ใช้เข้าถึง URL ใน Internet Security Zone ที่มีข้อจำกัดน้อยกว่าที่ตั้งใจไว้"

ด้วยวิธีนี้ ช่องโหว่ดังกล่าวไม่เพียงแต่ใช้เพื่อขโมยข้อมูล NTLM credentials เท่านั้น แต่ยังสามารถเชื่อมโยงกับช่องโหว่ CVE-2023-36710 เพื่อดาวน์โหลดไฟล์เสียงที่ปรับแต่งพิเศษ ซึ่งเมื่อเล่นอัตโนมัติผ่านฟีเจอร์เสียงเตือนของ Outlook จะสามารถทำให้เกิดการเรียกใช้โค้ด zero-click บนเครื่องของเหยื่อได้

โดย CVE-2023-36710 ส่งผลกระทบต่อ Audio Compression Manager (ACM) component ซึ่งเป็นเฟรมเวิร์กมัลติมีเดียของ Windows รุ่นเก่าที่ใช้สำหรับจัดการตัวแปลงสัญญาณเสียง (audio codecs) ช่องโหว่นี้เกิดจาก integer overflow ที่เกิดขึ้นเมื่อเล่นไฟล์ WAV

เพื่อลดความเสี่ยง แนะนำให้องค์กรควรดำเนินการดังนี้

ควรใช้วิธีการ Microsegmentation เพื่อบล็อกการเชื่อมต่อ SMB ออกไปยัง public IP
ปิดการใช้งาน NTLM
เพิ่มผู้ใช้เข้าไปในกลุ่มความปลอดภัย Protected Users ซึ่งจะป้องกันการใช้ NTLM เป็นกลไกลการยืนยันตัวตน

ที่อยู่ : thehackernews

Microsoft ออกอัปเดตเพื่อแก้ไขช่องโหว่การเปิดเผยข้อมูลใน Windows Kernel ที่ส่งผลกระทบต่อระบบที่ใช้ Windows หลายเวอร์ชัน รวมถึง Windows 10, Windows Server และ Windows 11 ซึ่งเป็นส่วนหนึ่งของการอัปเดตด้านความปลอดภัยประจำเดือนมิถุนายน 2023

CVE-2023-32019 (คะแนน CVSS 4.7/10 ระดับความรุนแรงปานกลาง) เป็นช่องโหว่ที่ทำให้ Hacker ที่ผ่านการตรวจสอบสิทธิ์สามารถเข้าถึง heap memory ของ process พิเศษที่ทำงานบนระบบ ซึ่งช่องโหว่นี้ได้ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ Google Project Zero (more…)

Nokoyawa Ransomware ใช้ประโยชน์จากช่องโหว่ของไดรเวอร์ Common Log File System (CLFS) บน Windows หมายเลข CVE-2023-28252 ซึ่งหากสามารถโจมตีผ่านช่องโหว่นี้ได้สำเร็จ จะสามารถยกระดับสิทธิ์ของผู้ใช้งานได้ โดยหลังจากช่องโหว่ถูกเผยแพร่ออกมา Microsoft ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ไปแล้วเมื่อวันที่ 11 เมษายน 2566 โดยมาพร้อมกับ Patch Tuesday ประจำเดือนเมษายน

ลักษณะการทำงาน

จากรายงานพบว่า กลุ่ม Nokoyawa Ransomware ซึ่งเป็นกลุ่มที่เชี่ยวชาญด้านการใช้ช่องโหว่ของไดรเวอร์ Common Log File System (CLFS) โดยตั้งแต่เดือนมิถุนายน 2565 เป็นต้นมาพบว่ามีการใช้ช่องโหว่ของ CLFS ที่ต่างกันถึง 5 รูปแบบ เป้าหมายของการโจมตีนี้คือบริษัทค้าปลีก และค้าส่ง บริษัทพลังงาน บริษัทการผลิต บริษัทการดูแลสุขภาพ และบริษัทการพัฒนาซอฟต์แวร์ เป็นต้น
การโจมตีด้วยช่องโหว่ CVE-2023-28252 จะสำเร็จได้ก็ต่อเมื่อ User ที่ดำเนินการมีสิทธิ์ในการรันโค้ดบนเครื่องเป้าหมายที่จะยกระดับสิทธิ์ได้
หลังจาก Nokoyawa Ransomware ถูกติดตั้ง จะมี Payload เพื่อดาวน์โหลด Cobal Strike มาติดตั้งบนเครื่องเป้าหมาย นอกจากนี้ยังมีการใช้งาน Mimikatz, Z0Miner และ Boxter บนเครื่องเป้าหมายอีกด้วยหากมีการติดตั้งไว้
ปัจจุบัน Microsoft ยังไม่ให้ข้อมูลรายละเอียดเกี่ยวกับการโจมตีด้วยช่องโหว่นี้ เพียงแต่แนะนำให้ผู้ใช้งานทำการอัปเดตแพตซ์
ผู้ใช้งานสามารถทำการตรวจสอบที่เครื่องได้เอง โดย Ransomware จะวางไฟล์บน Directory เหล่านี้
C:\Users\Public\.container*
C:\Users\Public\MyLog*.blf
C:\Users\Public\p_*

แนวทางการป้องกัน

Update Patch (Release 11 เมษายน 2566)
Update Endpoint ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
ควรพิจารณาใช้งาน Next-Gen AV และ EDR

IOC

ที่มา: kaspersky, trendmicro, securelist

US Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้ประกาศเพิ่มช่องโหว่ 5 รายการ โดยเป็นช่องโหว่ใน Veritas Backup Exec 3 รายการ ที่พบว่ากำลังถูก Hacker นำมาใช้ในการโจมตี ไปยังแคตตาล็อกของ Known Exploited Vulnerabilities (KEV) โดยพบว่าได้ถูกใช้ในการโจมตีเว็บเบราว์เซอร์ของ Samsung และสามารถเพิ่มสิทธิ์ใน Windows ได้ (more…)

ในช่วงวันอาทิตย์ที่ผ่านมา กลุ่ม Lapsus$ ได้โพสต์ภาพแคปเจอร์หน้าจอบนช่องทาง Telegram ของพวกเค้า โดยระบุว่าสามารถแฮ็กเซิร์ฟเวอร์ Azure DevOps ของ Microsoft ได้และอ้างว่ามีซอร์สโค้ดของ Bing, Cortana และ Project ภายในอื่นๆ อีกหลายอย่าง

ต่อมาในช่วงวันจันทร์ กลุ่มแฮ็คเกอร์ได้โพสต์ข้อมูล torrent ไฟล์ ที่เป็นไฟล์ 7zip ขนาด 9 GB ที่มีซอร์สโค้ดมากกว่า 250 projects ที่อ้างว่าเป็นของ Microsoft โดยกลุ่ม Lapsus$ อ้างว่าข้อมูล 90% เป็นซอร์สโค้ดของ Bing และประมาณ 45% เป็นซอร์สโค้ดของ Bing Maps และ Cortana

(more…)

Microsoft ประกาศออกเเพตซ์ฉุกเฉิน 2 รายการที่จะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

Microsoft ประกาศออกเเพตซ์ด้านความปลอดภัยฉุกเฉินสองรายการ เพื่อเเก้ปัญหาช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ที่พบว่าจะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

ช่องโหว่ CVE-2020-17022 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Microsoft Windows Codecs Library ซึ่งเกิดจากวิธีการที่ Microsoft Windows Codecs Library จัดการกับวัตถุในหน่วยความจำ ซึ่งการใช้ช่องโหว่ให้ประสบความสำเร็จนั้นผู้โจมตีจำเป็นต้องทำให้แอปพลิเคชันทำการประมวลผลไฟล์ภาพที่สร้างขึ้นเป็นพิเศษ โดยช่องโหว่จะมีผลต่ออุปกรณ์ทั้งหมดที่ใช้ Windows 10 เวอร์ชัน 1709 หรือใหม่กว่าและไลบรารีเวอร์ชันที่มีช่องโหว่ ทั้งนี้ช่องโหว่นี้ถูกค้นพบและรายงานโดย Dhanesh Kizhakkinan จาก FireEye

ช่องโหว่ CVE-2020-17023 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Visual Studio JSON โดยเมื่อผู้ใช้เปิดไฟล์ 'package.

นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดและรหัสการทดสอบการใช้โปรแกรม (PoC) สำหรับช่องโหว่ของ Windows ที่ยังไม่ได้แก้ไข ซึ่งทำให้ส่งผลกระทบต่อ Windows handles vCard files (VCFs) โดยช่องโหว่ดังกล่าวถูกค้นพบเมื่อปีแล้วโดย John Page (@hyp3rlinx) นักวิจัยด้านความปลอดภัยรายงานไปยัง Microsoft ผ่านทางโปรแกรมการเปิดเผยช่องโหว่ Zero Day Initiative (ZDI) ของ Trend Micro

บริษัทไมโครซอฟท์เปิดเผยว่าเดือนตุลาคมมีการแก้ไขช่องโหว่ VCF และอัพเดท patch การรักษาความปลอดภัยในเร็วๆนี้ ทางผู้ผลิตระบบปฏิบัติวินโด้จะเปลี่ยนชื่อวินโด้เวอร์ชั่นใหม่เป็น Windows v.Next (ชื่อเวอร์ชันหลักถัดไปของระบบปฏิบัติการ Windows ปัจจุบันรู้จักกันในนาม 19H1 ซึ่งจะเปิดตัวในเดือนเมษายน 2019)

นักวิจัยด้านภัยคุกคามทางไซเบอร์สามารถสร้างไฟล์อันตราย VCF ที่จะแสดงการเชื่อมโยงที่เป็นอันตราย เมื่อผู้ใช้คลิกลิ้งจะทำให้เปิดใช้งานและเรียกใช้โค้ดที่เป็นอันตราย ซึ่งข่าวดีก็คือช่องโหว่นี้สามารถนำไปสู่การเรียกใช้โค้ดจากระยะไกลได้ แต่ไม่สามารถใช้ประโยชน์จากการเรียกใช้โค้ดระยะไกลเนื่องจากต้องมีการตอบกลับจากผู้ใช้ก่อนเพื่อให้เป้าหมายเข้าไปที่หน้าเว็บที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตราย แม้ว่าการโจมตีจะต้องอาศัยการโต้ตอบจากผู้ใช้

ที่มา: Zdnet

Microsoft อุดช่องโหว่จำนวนมากกว่า 92 ช่องโหว่ โดยมีช่องโหว่ที่เป็น Critical ถึง 17 ช่องโหว่และช่องโหว่ระดับสำคัญ (Important) 75 ช่องโหว่. กระทบทั้ง Edge, Internet Explorer, Office, Sharepoint, Skype for Business, Lync, และตัว Windows เอง สำคัญคือมี patch ให้ Windows XP, Windows Vista, Windows 8, Windows Server 2003 หรือ Windows Server 2003 R2 ให้อีกด้วย

Microsoft กล่าวในเรื่องการ update ให้กับ Windows รุ่นเก่าๆนั้นเพราะเป็นช่องโหว่ที่รุนแรงและหากปล่อยไปอาจส่งผลกระทบพอๆกับ WannaCry ได้นั่นเอง Microsoft จึงตัดสินใจที่จะให้บริการในการ patch ช่องโหว่ต่างๆนั่นเอง (ที่สำคัญคือ patch แต่ละตัวที่ปล่อยให้ update นั้น มีการระบุไว้ด้วยว่าจะไม่มีการตรวจสอบความถูกต้องของ License ที่ใช้งานแต่อย่างใด นั่นหมายความว่าไม่ว่าจะใช้ Windows เถื่อนหรือไม่มีการใช้งาน License ก็ยังสามารถ update ได้ปกตินั่นเอง)

ในส่วนของ patch ใน Windows version ใหม่ๆมีการติดตั้ง Patch ที่น่าสนใจหลายตัว เช่น

- ช่องโหว่ Remote Code Execution ในชุด API ที่ใช้ในการจัดการการพิมพ์ และการประมวลผล script ที่ซับซ้อน (Windows Uniscribe) ซึ่งมีข้อผิดพลาดในการจัดการ object ใน Memory (CVE-2017-0283, CVE-2017-8528)
- ช่องโหว่ Remote Code Execution ในการเปิดไฟล์ pdf ที่ถูกสร้างขึ้นมาพิเศษ (CVE-2017-0291 / CVE-2017-0292)
ช่องโหว่ Remote Code Execution ที่เกิดจากการจัดการไฟล์ CAB File ที่ไม่ดี ทำให้กลายเป็นติดตั้ง Malicious Driver และเกิด Remote Code Execution ได้ (CVE-2017-0294)
- ช่องโหว่ Remote Code Execution ในการเปิดไฟล์ LNK file หรือก็คือ shortcut นั่นเอง ซึ่งจะทำงานก็ต่อเมื่อ icon ของไฟล์นั้นๆถูกแสดง (CVE-2017-8464)
- ช่องโหว่ Remote Code Execution ใน Microsoft Edge Browser (CVE-2017-8496 / CVE-2017-8497)
ช่องโหว่ Remote Code Execution ใน Javascript scripting Engine ของ Microsoft Edge Browser (CVE-2017-8499, CVE-2017-8520, )
- ช่องโหว่ Remote Code Execution ใน Javascript Engine ของ Microsoft Edge Browser (CVE-2017-8517, CVE-2017-8522, CVE-2017-8524, CVE-2017-8548 / CVE-2017-8549)
- ช่องโหว่ Remote Code Execution ในการจัดการ embed font ซึ่งมีความเป็นไปได้ที่จะทำงานผ่านการ view Website ที่ฝัง font อันตรายได้ (CVE-2017-8527)
- ช่องโหว่ Remote Code Execution ใน Windows Search โดย Attacker สามารถส่ง SMB Message ไปยัง Windows Search Service ได้อีกด้วย(CVE-2017-8543)

Source:: technet.

Adobe ออก Patch สำหรับ Flash Player ใน OS X, Windows, Linux และ Android โดยมี 75 ช่องโหว่ที่เปิดให้ทำ Remote Code Execution ได้ ในขณะที่อีก 3 ช่องโหว่นั้นเปิดให้ทำ Security Bypass ได้

นักวิจัยยังออกมาเผยว่า ถึงแม้จะทำการ Disable Flash บน Browser ไปแล้ว แต่ถ้าถูก Inject Flash Object ผ่านเอกสารอื่นๆ เข้ามาได้ ก็ถูกโจมตีได้อยู่ดี ยกเว้นเสียแต่ว่าจะถอดการติดตั้งทิ้ง หรือ Patch ให้เรียบร้อย ซึ่งผู้ใช้งาน Adobe AIR และ AIR SDK สามารถอัพเดต Patch ได้แล้ว

ที่มา : theregister