นักวิจัยด้านความปลอดภัยจาก Yair ค้นพบวิธีการใช้ช่องโหว่จากความสามารถของ Endpoint Detection and Response (EDR) และ Anti-Virus (AV) ที่ใช้กันอย่างแพร่หลายอย่าง Microsoft, SentinelOne, TrendMicro, Avast และ AVG ที่อยู่บนระบบของเหยื่อ เพื่อปกปิดพฤติกรรมการโจมตี, หลีกเลี่ยงการใช้สิทธิผู้ใช้งานระดับสูงในการโจมตี และสามารถลบทำลายข้อมูลได้ ซึ่งเป็นการโจมตีลักษณะเดียวกับ Wipers Malware โดยตั้งชื่อว่า “Aikido Wiper”

Wipers Malware คือ มัลแวร์ชนิดพิเศษที่มีเป้าหมายในการลบ หรือทำลายข้อมูลในระบบที่ถูกโจมตี และป้องกันไม่ให้เหยื่อสามารถกู้คืนข้อมูลได้

การค้นพบช่องโหว่

AV และ EDR มีความสามารถในการสแกนไฟล์ของคอมพิวเตอร์ เพื่อค้นหาไฟล์ที่เป็นอันตราย รวมถึงโหมด Real-Time Protection ที่จะสแกนไฟล์โดยอัตโนมัติ เมื่อไฟล์ถูกสร้างขึ้น และทำการวิเคราะห์ว่าไฟล์นั้นเป็นอันตรายหรือไม่ และถ้าพบว่าไฟล์นั้นเป็นอันตราย ก็จะถูกลบ (Deleted)/ กักกัน(Quarantined) ทันที โดยมี 2 กระบวนการ คือ กระบวนการแรก AV หรือ EDR ระบุได้ว่าไฟล์นั้นเป็นอันตราย และกระบวนการถัดมา AV หรือ EDR ดำเนินการลบไฟล์ที่เป็นอันตราย

แต่ถ้าหากเกิดมีการเปลี่ยนแปลงที่อยู่ของไฟล์ จะทำให้ AV หรือ EDR เปลี่ยนเปลี่ยนแปลงที่อยู่ของไฟล์ที่จะดำเนินการลบไปด้วย ซึ่งวิธีการนี้คือช่องโหว่ที่เรียกว่า time-of-check to time-of-use (TOCTOU)

ลักษณะการโจมตี

นักวิจัยได้ทำการทดสอบการใช้ช่องโหว่ time-of-check to time-of-use (TOCTOU) ด้วยขั้นตอนดังนี้

สร้างไฟล์ที่เป็นอันตรายที่ C:\temp\Windows\System32\drivers\ Mimikatz (ซึ่งไฟล์ Mimikatz จะถูกเปลี่ยนชื่อไฟล์เป็น ndis.

Adobe ได้เผยแพร่แพตช์ความปลอดภัยสำหรับแอปพลิเคชัน Creative Cloud Desktop โดย Adobe ระบุว่ามีการค้นพบช่องโหว่ระดับ 'Critical' ในแอพพลิเคชั่น Creative Cloud Desktop ที่จะทำให้ผู้โจมตีสามารถลบไฟล์บนคอมพิวเตอร์ได้โดยกระทบกับ Creative Cloud Desktop แอพพลิเคชั่นก่อนเวอร์ชัน 5.1

รายละเอียดช่องโหว่

CVE-2020-3808: ช่องโหว่จัดอยู่ในประเภท Time-of-check Time-of-use (TOCTOU) ทำให้ผู้โจมตีจากระยะไกล (REC) สามารถเข้ามาลบไฟล์บนระบบได้โดยพลการ

การเเก้ไขช่องโหว่

ผู้ใช้ควรอัพเกรดเป็น Adobe Creative Cloud Desktop Application เวอร์ชัน 5.1

ที่มา : adobe-fixes-critical-vulnerability-in-creative-cloud-application