Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกันยายน 2024 โดยได้แก้ไขช่องโหว่ 79 รายการ รวมถึงช่องโหว่ที่กำลังถูกใช้ในการโจมตี 3 รายการ และช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ 1 รายการ
Patch Tuesday ประจำเดือนกันยายน 2024 ได้แก้ไขช่องโหว่ระดับ Critical จำนวน 7 รายการ ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution)
ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :
ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 30 รายการ
ช่องโหว่การ Bypass คุณลักษณะด้านความปลอดภัย (Security Feature Bypass) 4 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 23 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 11 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 8 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 3 รายการ
ช่องโหว่ Zero-Days 4 รายการที่ถูกแก้ไข
Patch Tuesday ประจำเดือนกันยายน 2024 ได้แก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตี 3 รายการ และช่องโหว่ zero-day ที่ถูกเปิดเผยต่อสาธารณะอีก 1 รายการ
Microsoft จัดประเภทช่องโหว่ zero-day เป็นช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะ หรือกำลังถูกใช้ในการโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ
ช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตี 3 รายการใน Patch Tuesday ประจำเดือนกันยายน 2024 :
CVE-2024-38014 - Windows Installer Elevation of Privilege Vulnerability
ช่องโหว่นี้ทำให้สามารถได้รับสิทธิ์ SYSTEM บนระบบ Windows ได้ ทั้งนี้ Microsoft ยังไม่ได้เปิดเผยรายละเอียดใด ๆ ว่าถูกนำไปใช้ในการโจมตีได้อย่างไร ช่องโหว่ดังกล่าวถูกค้นพบโดย Michael Baer จาก SEC Consult Vulnerability Lab
CVE-2024-38217 - Windows Mark of the Web Security Feature Bypass Vulnerability
ช่องโหว่นี้ได้รับการเปิดเผยต่อสาธารณะเมื่อเดือนที่แล้วโดย Joe Desimone แห่ง Elastic Security และเชื่อว่าช่องโหว่ถูกใช้ในการโจมตีมาตั้งแต่ปี 2018
ในรายงาน Desimone ได้สรุปเทคนิคที่เรียกว่า LNK stomping ซึ่งช่วยให้ LNK files ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งมีเส้นทางเป้าหมาย หรือโครงสร้างภายในที่ไม่เป็นมาตรฐาน สามารถทำให้ไฟล์ถูกเปิดได้ โดยหลีกเลี่ยง (Bypass) Smart App Control และคำเตือน Mark of the Web security ซึ่งส่งผลกระทบต่อความสมบูรณ์ และความพร้อมใช้งานของฟีเจอร์ความปลอดภัย เช่น SmartScreen Application Reputation security check หรือ legacy Windows Attachment Services security prompt เมื่อโจมตีสำเร็จ จะทำให้คำสั่งใน LNK file ถูกเรียกใช้งานได้โดยไม่มีคำเตือน
CVE-2024-38226 - Microsoft Publisher Security Feature Bypass Vulnerability
ช่องโหว่ของ Microsoft Publisher ที่สามารถหลีกเลี่ยง (Bypass) การป้องกันความปลอดภัยต่อ macros ที่แนบใน downloaded documents
นอกจากนี้ Microsoft ยังได้แก้ไขช่องโหว่ zero-day ที่ถูกเปิดเผยต่อสาธารณะอีกหนึ่งช่องโหว่คือ
CVE-2024-43491 - Microsoft Windows Update Remote Code Execution Vulnerability
ช่องโหว่ของ servicing stack ที่ถูกระบุว่าเป็นการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) แต่จริง ๆ แล้วได้สร้างช่องโหว่ต่าง ๆ ขึ้นมาในระบบที่ได้รับการแก้ไขช่องโหว่ไปแล้วก่อนหน้านี้ ซึ่งส่งผลกระทบต่อ Optional Components บน Windows 10 เวอร์ชัน 1507
Hacker สามารถใช้ช่องโหว่ที่ได้รับการแก้ไขก่อนหน้านี้บนระบบ Windows 10 เวอร์ชัน 1507 (Windows 10 Enterprise 2015 LTSB และ Windows 10 IoT Enterprise 2015 LTSB) ที่ติดตั้งการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่เมื่อวันที่ 12 มีนาคม 2024—KB5035858 (OS Build 10240.20526) หรือการอัปเดตอื่น ๆ ที่เผยแพร่จนถึงเดือนสิงหาคม 2024 ทั้งนี้ Windows 10 เวอร์ชันใหม่กว่าทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว
ช่องโหว่นี้มีผลเฉพาะกับ Windows 10 เวอร์ชัน 1507 เท่านั้น ซึ่งจะสิ้นสุดการสนับสนุน (EoL) ในปี 2017 อย่างไรก็ตามช่องโหว่นี้ยังส่งผลต่อ Windows 10 Enterprise 2015 LTSB และ Windows 10 IoT Enterprise 2015 LTSB ซึ่งยังอยู่ภายใต้การสนับสนุนอีกด้วย
รวมถึงช่องโหว่นี้มีความน่าสนใจเนื่องจากทำให้ Optional Components เช่น Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS และ Windows Media Player สามารถย้อนกลับไปเป็นเวอร์ชัน RTM เดิมได้ ทำให้ Hacker สามารถนำช่องโหว่ CVE เก่า กลับมาใช้ในการโจมตีได้
การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ
นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนกันยายน 2024 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :
Apache แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลระดับ Critical ของ OFBiz ซึ่งเป็นการแก้ไขสำหรับช่องโหว่ที่แก้ไขก่อนหน้านี้
Cisco ได้แก้ไขช่องโหว่หลายรายการ รวมทั้ง backdoor admin account ใน Smart Licensing Utility และช่องโหว่ command injection ใน ISE
การโจมตี extracts ECDSA secret key เพื่อโคลนอุปกรณ์ YubiKey FIDO
Fortinet เปิดตัวแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ใน Fortisandbox และ FortiAnalyzer และ FortiManager
Google แก้ไขช่องโหว่การยกระดับสิทธิ์ของ Pixel ที่ถูกใช้ในการโจมตีไปยังอุปกรณ์ Android อื่นๆ
Ivanti ออกแพตซ์อัปเดตความปลอดภัยสำหรับ vTM auth bypass ที่พบว่ามี Public Exploit
การแก้ไข LiteSpeed Cache plugin สำหรับ WordPress ที่เกิดปัญหาการขโมยบัญชีโดยไม่ได้รับอนุญาต
ช่องโหว่ access control ของ SonicWall ที่ได้รับการแก้ไขเมื่อเดือนที่แล้ว ซึ่งถูกนำไปใช้ในการโจมตีแบบ ransomware แล้ว
Veeam แก้ไขช่องโหว่ RCE ระดับ Critical ในซอฟต์แวร์ Backup & Replication
Zyxel แจ้งเตือนช่องโหว่ OS command injection ระดับ Critical ใน router
ที่มา : https://www.