เครื่องมือที่ใช้โจมตีช่องโหว่ RCE ใน ReportLab PDF library ถูกเผยแพร่ออกสู่สาธารณะ

นักวิจัยได้เผยแพร่เครื่องมือที่ใช้สำหรับการโจมตีช่องโหว่ Remote Code Execution (RCE) ที่ส่งผลกระทบต่อ ReportLab Toolkit ซึ่งเป็น Python library ยอดนิยมที่หลาย project ใช้เพื่อสร้างไฟล์ PDF จากอินพุต HTML

Proof-of-Concept (PoC) สำหรับ CVE-2023-33733 ถูกเผยแพร่เมื่อวานนี้ (30 พฤษภาคม 2023) บน GitHub พร้อมกับรายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ ซึ่งเป็นการเพิ่มโอกาสให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าว

ReportLab Toolkit ถูกใช้โดยหลาย project สำหรับเป็น PDF library และมีการดาวน์โหลดไปแล้วประมาณ 3.5 ล้านครั้งต่อเดือนบน PyPI (Python Package Index)

Bypass การแก้ไขช่องโหว่ครั้งก่อน

โดยช่องโหว่เกิดจากการสามารถ bypass ข้อจำกัดของ sandbox ใน 'rl_safe_eval' ซึ่งมีหน้าที่ป้องกันการเรียกใช้โค้ดที่เป็นอันตราย ทำให้ผู้โจมตีเข้าถึงฟังก์ชันของ Python ที่อาจเป็นอันตรายได้

ฟังก์ชัน 'rl_safe_eval' ถูกนำมาใช้เป็นมาตรการเพื่อป้องกันช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในลักษณะคล้ายกัน ซึ่งถูกค้นพบในปี 2019 ดังนั้นนักวิจัยจึงมุ่งเน้นไปที่การ bypass ฟังก์ชันดังกล่าว

PoC ที่ถูกเผยแพร่จะดึงฟังก์ชัน 'type' ที่สร้างขึ้นมาเพื่อช่วยสร้างคลาสใหม่ที่ชื่อว่า 'Word' ซึ่งสืบทอดมาจากคลาส 'str' ซึ่งสามารถหลีกเลี่ยงการตรวจสอบด้านความปลอดภัย และให้สิทธิ์เข้าถึงแอตทริบิวต์ที่มีความสำคัญ เช่น 'code' ได้

จากนั้น 'type' จะถูกเรียกใช้ในตัวมันเองเพื่อเลี่ยงการตรวจสอบ eval ที่เกี่ยวกับข้อจำกัดจำนวนอาร์กิวเมนต์ ทำให้ผู้โจมตีสามารถใช้ฟังก์ชัน 'type' เดิมที่ติดตั้งไว้สำหรับการสร้างคลาส และอ็อบเจ็กต์ใหม่ได้

จึงนำไปสู่การสร้างฟังก์ชันที่เป็นอันตรายจาก bytecode ของฟังก์ชันที่คอมไพล์ ซึ่งอาจทำให้สามารถรันโค้ดได้ตามที่ต้องการ โดยจาก PoC ของนักวิจัย จะทำการเรียกคำสั่งบน OS เพื่อสร้างไฟล์ชื่อ 'exploited' ในไดเร็กทอรี "/tmp/"

Elyas Damej นักวิจัยของ Cure53 แจ้งเตือนในรายงานว่า การใช้ประโยชน์จากช่องโหว่ CVE-2023-33733 ทำได้ง่ายมาก เพียงแค่ใส่โค้ดที่เป็นอันตรายไว้ในไฟล์ HTML ซึ่งจะถูกแปลงเป็น PDF บนซอฟต์แวร์ที่ใช้ไลบรารี ReportLab

คำแนะนำ

ช่องโหว่ส่งผลกระทบต่อไลบรารีเวอร์ชันก่อนหน้านี้ทั้งหมด
ทำการอัปเดตเป็นเวอร์ชัน 3.6.13

 

ที่มา : bleepingcomputer

เครื่องมือสำหรับโจมตีช่องโหว่ระดับ Critical ในไลบรารี VM2 JavaScript sandbox ถูกเผยแพร่ออกสู่สาธารณะแล้ว

Proof of concept (POC) exploit code ของช่องโหว่ที่มีระดับ critical ในไลบรารียอดนิยม 'VM2' JavaScript sandbox ซึ่งถูกนำไปใช้ในซอฟต์แวร์จำนวนมากเพื่อความปลอดภัยสำหรับการทำงานแบบ virtualized

โดยไลบรารีดังกล่าวออกแบบมาเพื่อทดสอบโค้ดที่อาจไม่น่าเชื่อถือ บนเซิร์ฟเวอร์แยกของ Node.

นักวิจัยให้ข้อมูลรายละเอียดของช่องโหว่ RCE ใน vm2 JavaScript Sandbox ที่กำลังได้รับความนิยม

นักวิจัยระบุว่า ช่องโหว่ด้านความปลอดภัยที่ปัจจุบันได้รับการแก้ไขไปแล้วใน vm2 JavaScript (sandbox module) ทำให้ผู้โจมตีสามารถ bypass การป้องกันจาก sandbox และสั่งรันโค้ดที่เป็นอันตรายบนเครื่องที่กำลังรัน sandbox ได้

ช่องโหว่มีหมายเลข CVE-2022-36067 ชื่อว่า Sandbreak โดยมีระดับความรุนแรงสูงสุดที่ 10 โดยปัจจุบันได้รับการแก้ไขไปแล้วในเวอร์ชัน 3.9.11 ที่เผยแพร่เมื่อวันที่ 28 สิงหาคม 2022 ทั้งนี้ VM2 เป็น Node library ที่ค่อนข้างได้รับความนิยม เพื่อใช้ในการเรียกใช้งาน untrusted code ด้วย allowlisted built-in modules นอกจากนี้ยังเป็นหนึ่งในซอฟต์แวร์ที่มีการดาวน์โหลดจำนวนมากที่สุดอีกด้วย โดยมีการดาวน์โหลดเกือบ 3.5 ล้านครั้งต่อสัปดาห์

บริษัทรักษาความปลอดภัยของแอปพลิเคชัน Oxeye ผู้ค้นพบช่องโหว่นี้ระบุว่า ช่องโหว่นี้เกิดจากกลไลของ Node.

Google Project Zero พาแกะ 3 ฟีเจอร์ใหม่ใน iMessage ของ iOS 14 ลดโอกาสโดน Zero-CLick Exploit ได้

Samuel Groß นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้มีการเผยแพร่งานวิจัยใหม่เกี่ยวกับฟีเจอร์ด้านความปลอดภัยใน iOS 14 ในส่วนของ iMessage ซึ่งตกเป็นเป้าหมายในการถูกโจมตีแบบ Zero-click อยู่บ่อยครั้ง โดยงานวิจัยนี้เกิดจากการทำ Reverse engineering กับกระบวนการทำงานของ iMessage ในเวลาเพียงแค่ 1 สัปดาห์

สำหรับฟีเจอร์แรกนั้นถูกเรียกว่าเซอร์วิส BlastDoor ซึ่งเป็นส่วนโมดูลใหม่สำหรับประมวลผลข้อมูลไบนารี อาทิ ไฟล์แนบ, ลิงค์และไฟล์รูปข้างใน Sandbox ซึ่งไม่สามารถเชื่อมต่อออกสู่เครือข่ายได้ ผลลัพธ์ของการแยกประมวลผลนี้ทำให้การจัดเรียงกันของหน่วยความจำนั้นแตกต่างออกไปและเพิ่มความเป็นไปได้ยากในการที่จะทำการโจมตีในลักษณะของ Memory corruption

ฟีเจอร์ส่วนที่สองนั้นถูกเรียกว่า Shared cache resliding โดยเป็นการปรับปรุงส่วนของ Shared cache ในหน่วยความจำ ส่วนของ Shared cache เป็นส่วนหนึ่งของหน่วยความจำที่มีการเก็บตำแหน่งของฟังก์ชันของระบบเอาไว้และจะถูกสุ่มภายใต้ฟีเจอร์ ASLR เฉพาะเมื่อมีการบูต เนื่องจากการสุ่มตำแหน่งโดย ASLR ไม่ได้เกิดขึ้นบ่อยนัก การโจมตีในบางเทคนิคสามารถนำไปสู่การระบุหาแอดเดรสใน Shared cache ซึ่งนำไปสู่การข้ามผ่านฟีเจอร์ ASLR ได้ ใน iOS 14 ปัญหาในส่วนนี้ถูกแก้โดยการเพิ่มเงื่อนไขในการสุ่มตำแหน่งของข้อมูลใน Shared cache สำหรับเซอร์วิสใดๆ เมื่อเซอร์วิสเริ่มทำงานแทน ซึ่งทำให้การข้ามผ่านฟีเจอร์ ASLR เป็นไปได้ยากขึ้นหรือแทบเป็นไปไม่ได้เลย

ฟีเจอร์ส่วนสุดท้ายยังคงอยู่ในแนวทางของการป้องกันการข้ามผ่านฟีเจอร์ ASLR ซึ่งมาในลักษณะของการ Brute force โดยใน iOS 14 นั้นเซอร์วิสอย่าง BlastDoor จะถูกตั้งค่าและควบคุมให้อยู่ในกลไกที่ชื่อ ExponentialThrottling ซึ่งจะทำการหน่วงเวลาของการรีสตาร์ทหากโปรเซสหรือเซอร์วิสมีการแครช ฟีเจอร์ ExponentialThrottling ถูกบังคับใช้เฉพาะกับกลไกที่สำคัญ ดังนั้นผลกระทบของเวลาที่ถูกหน่วงในแต่ละครั้งจะไม่กระทบต่อการใช้งานทั่วไป จากการตรวจสอบโดย Samuel เวลาหน่วงที่มากที่สุดหลังจากมีการแครชและจำนวนเวลาถูกเพิ่มไปเรื่อยๆ นั้นคือ 20 นาที

สำหรับใครที่สนใจทางด้าน Exploitation โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมของ macOS และ iOS สามารถอ่านรายละเอียดจากการ Reverse engineer ได้ที่ : googleprojectzero

ที่มา: zdnet

Microsoft เผยแคมเปญฟิชชิ่ง Office 365 ใหม่ที่หาทางหลบหลีก sandbox

Microsoft ได้เผยถึงแคมเปญฟิชชิ่ง Office 365 ซึ่งผู้ประสงค์ร้ายได้ใช้วิธีที่มีความซับซ้อนและหลากหลายในการหลบเลี่ยงการป้องกัน,การวิเคราะห์และการตรวจจับอัตโนมัติ เช่น การใช้ sandbox

หนึ่งในกลยุทธ์การหลบเลี่ยงการตรวจจับที่ถูกใช้ในการโจมตีขโมย credential ขององค์กรที่เป็นเป้าหมายคือการรีไดเร็ค URL โดยกลยุทธ์การที่ผู้ประสงค์ร้ายใช้คือ เมื่อผู้ใช้ทำการคลิก URL อันตราย แล้วมีการป้องกันด้วยการนำ URL ดังกล่าวไปทดลองรันใน sandbox เมื่อผู้ประสงค์ร้ายตรวจพบการเชื่อมต่อกับ sandbox ผู้ประสงค์ร้ายจะทำการรีไดเร็คการเชื่อมต่อของ sandbox ไปที่ปลายทางที่ถูกต้องและไม่เป็นอันตราย ในขณะที่ถ้าตรวจพบว่าเป็นผู้คลิกเป็นบุคคลจริงๆ ถึงจะรีไดเร็คการเชื่อมต่อของเหยื่อไปยังหน้า Landing Page ที่เป็นหน้าเพจฟิชชิ่ง ด้วยวิธีการนี้จะทำให้การตรวจจับและการวิเคราะห์โดยอัตโนมัติใด ๆ ถูกมองว่าผู้ใช้ได้ทำการคลิกไปยังเว็บไซต์ที่ถูกต้อง ซึ่งจะช่วยลดโอกาสในการถูกบล็อกการโจมตีได้อย่างมากและเพิ่มโอกาสที่ผู้ที่ตกเป็นเหยื่อจริงๆ จะถูกล่อลวงมายังไซต์ฟิชชิ่งของผู้ประสงค์ร้าย

ในส่วนของกลยุทธ์นี้ยังมีการสร้าง subdomains ที่เฉพาะเจาะจงกับเหยื่อเพื่อใช้กับเว็บไซต์ที่จะทำการรีไดเร็ค URL เพื่อเป็นวิธีการทำให้ URL ฟิชชิ่งน่าเชื่อถือมากขึ้นในสายตาของเป้าหมายและจะช่วยเพิ่มอัตราความสำเร็จของการโจมตี โดย URL ของฟิชชิงมักมีชื่อของเหยื่อและองค์กรของเหยื่อ โดยส่วนมากจะมีจุดพิเศษคือด้านหลัง โดเมนระดับบนสุด (TLD) จะตามด้วย Email address ที่ถูก endcode เป็น Base64 ของผู้รับ

รูปแบบหัวอีเมลที่แสดงเช่น "Password Update", "Exchange protection", "Helpdesk-#", "SharePoint" และ "Projects_communications" ยังสามารถถูกใช้เป็นตัวล่อในด้าน social engineering เพื่อเพิ่มความน่าสนใจที่เป้าหมายจะทำการคลิกลิงก์ฟิชชิง URL ที่ฝังอยู่ในอีเมลแต่ละฉบับ

ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์ในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: bleepingcomputer.

Watch out! Malware Analysis Sandboxes could expose sensitive data of your organization

นักวิจัยพบองค์กรทำข้อมูลหลุดผ่าน Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์
ผู้เชี่ยวชาญที่บริษัทข่าวกรองภัยคุกคาม Cyjax ได้วิเคราะห์ไฟล์ที่อัปโหลดโดยองค์กรขึ้นไปบน Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์แล้วพบว่าองค์กรได้อัปโหลดเอกสารที่มีข้อมูลสำคัญขึ้นไป นักวิจัยวิเคราะห์เฉพาะเอกสาร PDF และไฟล์อีเมล (.msg และ. eml) ที่อัปโหลดไปยัง Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ที่ไม่เปิดเผยชื่อสามเจ้าเป็นเวลาสามวัน โดย Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ทั้งสามเจ้าที่นำมาวิเคราะห์นี้เปิด public feed ให้ผู้ใช้งานสามารถดูและดาวน์โหลดตัวอย่างไฟล์ที่ผู้ใช้งานคนอื่นอัปโหลดขึ้นไปได้
จากการคัดแยกเอกสาร PDF และไฟล์อีเมล (.msg และ. eml) ที่ถูกอัปโหลดขึ้นไป พบไฟล์ที่ไม่มีอันตราย 200 ไฟล์ซึ่งเป็นใบแจ้งหนี้และคำสั่งซื้อ ในกรณีนี้ผู้เชี่ยวชาญพบว่าบริษัทที่ให้บริการเครื่องมือในการใช้งานที่ได้รับความนิยมสำหรับผู้ดูแลระบบวินโดว์เคยส่งใบคำสั่งซื้อลงใน Sandbox ซึ่งบริษัทไม่สนใจว่าไฟล์เหล่านี้ถูกเผยแพร่สู่สาธารณะผ่าน feed ของ Sandbox
จากการตรวจสอบใบแจ้งหนี้ทำให้เราสามารถระบุได้ว่าใครกำลังใช้ซอฟต์แวร์รวมถึงรายละเอียดการติดต่อของผู้รับผิดชอบในการจัดซื้อในแต่ละองค์กร : นี่เป็นข้อมูลที่มีประโยชน์อย่างยิ่งสำหรับผู้ไม่หวังดีที่ต้องการทำ spear phishing หรือทำการโจมตีด้วย Business Email Compromise (BEC)
นักวิจัยสรุปว่าปริมาณของเอกสารสำคัญที่รวบรวมได้ในเวลาเพียงสามวันก็เพียงพอที่จะทำให้หลายๆ องค์กรขาดความมั่นคง ในหนึ่งเดือนผู้ไม่หวังดีจะมีข้อมูลเพียงพอที่จะกำหนดเป้าหมายหลายอุตสาหกรรมและขโมยข้อมูลประจำตัวของผู้ที่ตกเป็นเหยื่อหลายราย
โดยนักวิจัยแนะนำว่าองค์กรควรทำความเข้าใจการทำงานของ Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ว่าจะมีการแชร์ไฟล์ที่ถูกอัปโหลดให้ผู้ใช้งานคนอื่นสามารถดูและดาวน์โหลดตัวอย่างไฟล์ได้ จึงไม่ควรอัปโหลดไฟล์ที่มีข้อมูลสำคัญ

ที่มา:securityaffairs

FireEye Security Bug: Connection to physical host and adjacent network possible during analysis in Live-Mode

แจ้งเตือนช่องโหว่ด้านความปลอดภัยบน FireEye AX 5400 ทำให้มัลแวร์สามารถเข้าถึง Appliance ได้

Andreas Dewald ได้เปิดเผยช่องโหว่ด้านความปลอดภัยบนอุปกรณ์ FireEye AX รุ่น 5400 ซึ่งส่งผลให้มัลแวร์หรือโปรแกรมซึ่งถูกสร้างมาเป็นพิเศษเพื่อโจมตีช่องโหว่ดังกล่าวสามารถเข้าถึง appliance หรือโจมตีเพื่อแพร่ระบาดตัวเองไปยังโฮสต์อื่นในเครือข่ายได้

FireEye AX เป็นอุปกรณ์ที่ถูกออกแบบมาเพื่อใช้ในการตรวจสอบและพิสูจน์มัลแวร์หรือไฟล์ที่เป็นอันตรายในสภาพแวดล้อมที่มีการควบคุม (sandbox) อุปกรณ์ดังกล่าวมีรูปแบบการทำงานอยู่ด้วยกัน 2 ลักษณะคือ รูปแบบการทำงานแบบ sandbox และรูปแบบการทำงานแบบ live โดยในรูปแบบการทำงานแบบ sandbox นั้น สภาพแวดล้อมในการทดสอบจะถูกควบคุมอย่างเข้มงวด แตกต่างกันในรูปแบบการทำงานแบบ live ที่มีการยินยอมให้โปรแกรมที่เป็นอันตรายส่งข้อมูลออกไปยังอินเตอร์เน็ตได้

Andreas Dewald ค้นพบว่า เมื่ออุปกรณ์ถูกตั้งค่าให้ทำงานในรูปแบบ live โปรแกรมที่ถูกวิเคราะห์นั้นสามารถเข้าถึงพอร์ตของ SSH ที่ใช้ในการตั้งค่าของอุปกรณ์ได้ด้วย ทำให้โปรแกรมที่เป็นอันตรายนั้นสามารถทำการโจมตีแบบ brute force หรือหากรู้รหัสผ่านอยู่แล้วก็สามารถเข้าควบคุมอุปกรณ์ผ่านทาง SSH ได้ ผู้โจมตีเพียงแค่ส่งไฟล์ที่เป็นอันตรายในช่องทางใดๆ ก็ตามที่อุปกรณ์จะทำการวิเคราะห์ เช่น ช่องทางอีเมล ก็จะสามารถโจมตีช่องโหว่ดังกล่าวได้

Recommendation: ช่องโหว่ดังกล่าวได้ถูกแก้ไขแล้วในซอฟต์แวร์รุ่น 7.7.7 และ 8.0.1 แนะนำให้ผู้ใช้งานอุปกรณ์ดังกล่าวอยู่ทำการอัพเกรดซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยทันที รายละเอียดของช่องโหว่และโค้ดสำหรับทดสอบโจมตีช่องโหว่สามารถตรวจสอบได้จากแหล่งที่มา

ที่มา: insinuator

PoC Malware Exploits Cloud Anti-Virus for Data Exfiltration

ในงาน BlackHat USA 2017 ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ SafeBreach ได้นำเสนอมัลแวร์ที่ได้สร้างขึ้นมาทดสอบ ซึ่งมีความสามารถในการขโมยข้อมูลจากเครื่องที่ไม่ได้มีการเชื่อมต่ออินเทอร์เน็ตโดยตรง โดยการใช้ประโยชน์จาก Anti-Virus ที่เมื่อมีการตรวจพบว่ามีการทำงานของโปรแกรมที่ผิดปกติบนเครื่อง Endpoint จะทำการส่งข้อมูลขึ้นไปวิเคราะห์บน Cloud แต่มัลแวร์ตัวนี้จะมีการฝัง Code อีกชุดนึงเอาไว้ เมื่อ Code ชุดนี้ถูก Execute มันจะทำหน้าที่ในการค้นหาเครื่อง Endpoint อื่นๆที่มีการติดต่อกับ Cloud ตัวนี้อยู่ เพื่อทำการขโมยข้อมูล ดังนั้นหากผลิตภัณฑ์ Anti-Virus ใช้ sandbox ที่มีการเชื่อมต่ออินเทอร์เน็ต ก็มีความเป็นไปได้ที่จะใช้วิธีนี้ได้สำเร็จ โดยวิธีการบรรเทาผลกระทบที่ดีที่สุดคือการบล็อก sandbox ไม่ให้มีการติดต่อกับอินเตอร์เน็ต แต่ทั้งนี้ก็จะเป็นการจำกัดความสามารถในการวิเคราะห์มัลแวร์ที่มีพฤติกรรมการติดต่อไปยังเครื่อง C&C ไปในตัวด้วย

ทั้งนี้ได้มีการตั้งชื่อมัลแวร์ตัวนี้ว่า Spacebin และได้มีการเผยแพร่ไว้บน GitHub เรียบร้อยแล้ว ซึ่งมีทั้ง Source Code ทั้งที่เป็นฝั่ง Client Side และ Server Side อย่างไรก็ตามงานวิจัยนี้เป็นเพียงการทดสอบแนวคิดที่นักวิจัยได้คิดค้นขึ้นมาเท่านั้น ไม่ควรนำไปทดสอบภายใต้ระบบที่อาจจะส่งผลกระทบ หรือสร้างความเดือดร้อนแก่ผู้อื่น

ที่มา : securityweek

Google Project Zero (Natalie Silvanovich และ Tavis Ormandy) พบช่องโหว่ใน Malware Protection service (MsMpEng)

Google Project Zero (Natalie Silvanovich และ Tavis Ormandy) พบช่องโหว่ใน Malware Protection service (MsMpEng) ซึ่งเป็น module ที่ถูก enable โดย default ใน Windows 8, 8.1, 10 และ Windows Server 2012 และอื่นๆ ทำให้ผู้ใช้งานทั่วไปตกเป็นเหยื่อของการยึดเครื่องจากระยะไกลได้

MsMpEng ถูก enable ใน Windows รุ่นต่างๆ รวมถึงเป็น core engine ที่ใช้งานร่วมกับ Windows Security Essential, System Centre Endpoint Protection, และ product ทางด้าน security ใดๆของ Microsoft อีกด้วย ซึ่ง MsMpEng ถูกรันโดยใช้สิทธิ์ NT AUTHORITY\SYSTEM อีกทั้ง engine ดังกล่าวไม่มีการรันผ่าน Sandbox และสามารถเข้าถึง service ได้โดยไม่จำเป็นต้อง authentication ผ่าน service ต่างๆไม่ว่าจะเป็น Windows services, Exchange, IIS และอื่นๆอีกด้วย ทำให้หากมีการโจมตีเกิดขึ้น Hacker จะสามารถได้ทั้งสิทธิ์สูงสุดของเครื่องพร้อมทั้งสามารถสั่งงานเครื่องได้ทันทีโดยไม่ต้องเหนื่อย bypass Sandbox แต่อย่างใด

ตัว MsMpEng มีส่วน scan และ analysis ที่ชื่อว่า mpengine ซึ่งเป็นช่องโหว่ของการโจมตีขนาดใหญ่และซับซ้อน เนื่องด้วย engine ดังกล่าวมีการ scan และ analysis ไฟล์ที่หลากหลายมาก ทำให้ Hacker สามารถเข้าถึงได้หลากหลายนั่นเอง โดย NScript เป็นส่วนหนึ่ง (Component) ของ mpengine ที่จะใช้ประเมิณ filesystem และการใช้งานทางด้าน network ใดๆที่ดูแล้วน่าจะเป็น javascript แต่ NScript ไม่มีการตรวจสอบ input ที่ดีพอทำให้เกิด Remote Code Execution (RCE) ได้

หากเป็นเครื่อง Workstation ใช้งานทั่วไป Hacker สามารถเข้าถึง Engine ดังกล่าวได้โดยการส่ง email ไปยัง user หาก user ทำการกด link ใน browser หรือใดๆก็แล้วแต่ MsMpEng ก็จะทำงานขึ้นมาเพื่อทำการตรวจสอบ filesystem ต่างๆที่เกิดจาก event การเปิดไฟล์นั้น ซึ่งจะทำให้ MsMpEng ได้รับไฟล์ input จากที่ Hacker เขียนลงไปใน Harddisk ซึ่งไฟล์ดังกล่าวจะเป็นการเขียนไฟล์อันตรายที่ทำให้เกิด Remote Code Execution หรือ Privilege Escalation ได้นั่นเอง

ตอนนี้ทาง Microsoft ได้ออก patch ออกมาแก้ไขแล้วครับ (CVE-2017-0290)
ระบบที่ได้รับผลกระทบ: Microsoft Malware Protection version About จะพบ Engine Version

ที่มา: technet.