แพตซ์อัปเดตความปลอดภัยของ Windows 10 ในเดือนตุลาคมไม่สามารถติดตั้งได้

Microsoft รายงานว่าการอัปเดตแพตซ์ความปลอดภัยของ Windows 10 ที่ถูกปล่อยในช่วง "Patch Tuesday" ประจำเดือนนี้อาจล้มเหลวในการติดตั้ง พร้อมกับเกิดข้อผิดพลาด 0x8007000d แม้ว่าตอนแรกจะแสดงผลความคืบหน้าในการติดตั้ง (more…)

ไฟล์ ISO ของ Windows 10 แบบละเมิดลิขสิทธิ์ แอบติดตั้งมัลแวร์ clipper ผ่าน EFI partitions [EndUser]

แฮ็กเกอร์กำลังแพร่กระจายไฟล์ Windows 10 ที่แอบซ่อน hijackers cryptocurrency ใน EFI (Extensible Firmware Interface) เพื่อหลีกเลี่ยงการตรวจจับ

EFI partition เป็น system partition ขนาดเล็กที่มี bootloader และไฟล์ที่เกี่ยวข้อง ซึ่งเรียกทำงานก่อนที่จะเริ่มระบบปฏิบัติการ โดยจำเป็นสำหรับระบบ UEFI-powered systems แทนที่ BIOS ที่เลิกใช้แล้วในปัจจุบัน

การโจมตีโดยใช้ EFI partition ที่ดัดแปลงเพื่อเปิดใช้งานมัลแวร์จากภายนอกของระบบปฏิบัติการ และเครื่องมือป้องกัน เช่น ในกรณีของ BlackLotus ที่ใช้ไฟล์ ISO ของ Windows 10 แบบละเมิดลิขสิทธิ์ ซึ่งถูกพบโดยนักวิจัยจาก Dr. Web ซึ่งใช้ EFI เป็นพื้นที่จัดเก็บสำหรับส่วนประกอบของมัลแวร์ clipper เนื่องจากอุปกรณ์ป้องกันมัลแวร์โดยทั่วไปมักไม่ตรวจสอบ EFI partition มัลแวร์จึงสามารถหลีกเลี่ยงการตรวจจับได้

Windows 10 builds ซ่อนแอปที่เป็นอันตรายไว้ในไดเร็กทอรีระบบต่อไปนี้ :

\Windows\Installer\iscsicli.

มัลแวร์ QBot ใช้ Windows WordPad EXE เพื่อทำให้อุปกรณ์ติดมัลแวร์

มัลแวร์ QBot เริ่มใช้ช่องโหว่ DLL hijacking ในโปรแกรม WordPad บนวินโดวส์ 10 เพื่อทำให้คอมพิวเตอร์ติดมัลแวร์ เพื่อหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย

DLL คือไฟล์ไลบรารีที่มีฟังก์ชันที่สามารถถูกใช้โดยโปรแกรมมากกว่าหนึ่งโปรแกรมในเวลาเดียวกัน โดยเมื่อมีการเปิดแอปพลิเคชัน แอปพลิเคชันจะพยายามโหลด DLL ที่จำเป็นต้องเรียกใช้งาน ซึ่งวินโดวส์จะจัดลำดับความสำคัญของ DLL ให้กับไฟล์ DLL ที่อยู่ในโฟลเดอร์เดียวกันกับไฟล์ของแอปพลิเคชัน โดยจะโหลดก่อนเป็นอันดับแรก

DLL hijacking คือวิธีการที่ผู้โจมตีสร้าง DLL ที่เป็นอันตรายซึ่งมีชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง และวางไว้ในเส้นทางการค้นหาไฟล์ DLL ของวินโดวส์ก่อน ซึ่งมักจะเป็นโฟลเดอร์เดียวกับไฟล์ของแอปพลิเคชัน ทำให้เมื่อเรียกใช้ไฟล์ของแอปพลิเคชันนั้น มันจะโหลด DLL ของมัลแวร์แทนไฟล์ที่ถูกต้อง และดำเนินการคำสั่งที่เป็นอันตราย

QBot หรือที่รู้จักกันในชื่อ Qakbot เป็นมัลแวร์ชื่อดังบนวินโดวส์ ซึ่งเดิมทีเป็นโทรจันที่ถูกใช้สำหรับขโมยข้อมูลธนาคาร แต่ต่อมาถูกพัฒนาจนกลายมาเป็นมัลแวร์เริ่มต้นของกลุ่มแรนซัมแวร์ต่าง ๆ ได้แก่ Black Basta, Egregor และ Prolock ซึ่งร่วมมือกันในการใช้มัลแวร์เพื่อเข้าถึงเครือข่ายขององค์กรเพื่อทำการเรียกค่าไถ่

ProxyLife นักวิจัยด้านความปลอดภัยให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งของ QBot แคมเปญใหม่ เริ่มใช้วิธีการโจมตีแบบ DLL hijacking ในโปรแกรม WordPad บน Windows 10

แม้ว่า BleepingComputer จะยังไม่เห็นอีเมลฟิชชิ่งต้นฉบับ แต่มีข้อมูลของลิงก์ที่ใช้สำหรับดาวน์โหลดไฟล์ ซึ่งเมื่อคลิกลิงก์มันจะทำการดาวน์โหลดไฟล์ ZIP มา ซึ่งไฟล์ ZIP นี้จะประกอบด้วยไฟล์สองไฟล์คือ document.

Hacker ปลอมเว็บไซต์ของ CapCut เพื่อขโมยข้อมูล

แคมเปญการแพร่กระจายมัลแวร์ตัวใหม่ กำลังใช้วิธีการเลียนแบบเว็บไซต์เครื่องมือตัดต่อวิดีโออย่าง CapCut เพื่อหลอกติดตั้งมัลแวร์บนเครื่องเหยื่อ

CapCut เป็นโปรแกรมตัดต่อวิดีโออย่างเป็นทางการของ ByteDance สำหรับ TikTok ซึ่งมีการดาวน์โหลดไปใช้งานแล้วมากกว่า 500 ล้านครั้งบน Google Play และเว็บไซต์ของบริษัทมีผู้เข้าชมมากกว่า 30 ล้านครั้งต่อเดือน

ความนิยมของแอปพลิเคชัน รวมถึงการถูกแบนในประเทศไต้หวัน อินเดีย และอีกบางประเทศ ทำให้ผู้ใช้งานพยายามหาวิธีในการดาวน์โหลดโปรแกรม จึงทำให้เป็นช่องทางให้ผู้โจมตีใช้ประโยชน์จากเหตุการณ์นี้ โดยการสร้างเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์ที่ปลอมเป็นตัวติดตั้งของโปรแกรม CapCut

เว็บไซต์ที่เป็นอันตรายถูกพบโดย Cyble ซึ่งรายงานว่าพบสองแคมเปญที่ใช้แพร่กระจายมัลแวร์ ยังไม่มีรายละเอียดเกี่ยวกับวิธีการ แต่โดยทั่วไปแล้วผู้โจมตีมักจะใช้วิธีการโฆษณาบนหน้าการค้นหาของ Google และโซเชียลมีเดียเพื่อโปรโมต โดยเว็บไซต์ที่เป็นอันตรายมีดังนี้:

capcut-freedownload[.]com
capcutfreedownload[.]com
capcut-editor-video[.]com
capcutdownload[.]com
capcutpc-download[.]com

แคมเปญแรก

นักวิเคราะห์ของ Cyble ตรวจพบเว็บไซต์ CapCut ปลอมที่มีปุ่มดาวน์โหลด ซึ่งจะเป็นการดาวน์โหลด Offx Stealer ไปติดตั้งบนคอมพิวเตอร์ของผู้ใช้งาน โดยจะทำงานได้บน Windows 8, 10 และ 11 เท่านั้น

เมื่อเหยื่อเรียกใช้ไฟล์ที่ดาวน์โหลดมา จะได้รับข้อความแสดงข้อผิดพลาดปลอมที่อ้างว่าการเปิดใช้แอปพลิเคชันไม่สำเร็จ

มัลแวร์จะพยายามดึงรหัสผ่าน และคุกกี้จากเว็บเบราว์เซอร์ และประเภทไฟล์บางอย่าง เช่น .txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp และ .db จากโฟลเดอร์เดสก์ท็อปของผู้ใช้งาน

นอกจากนี้ยังกำหนดเป้าหมายไปยังข้อมูลที่จัดเก็บไว้ในแอปพลิเคชันรับส่งข้อความเช่น Discord และ Telegram แอปกระเป๋าเงินดิจิตอล (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda และ Zcash) และซอฟต์แวร์ remote access เช่น UltraViewer และ AnyDesk

ข้อมูลที่ถูกขโมยทั้งหมดจะถูกบันทึกไว้ในไดเร็กทอรีที่สร้างขึ้นแบบสุ่มในโฟลเดอร์ %AppData% Zip แล้วส่งไปยังผู้โจมตีผ่านช่องทาง Telegram ส่วนตัว โดยผู้โจมตียังใช้บริการโฮสต์ไฟล์ AnonFiles เพื่อความสมบูรณ์ในขั้นตอนการขโมยข้อมูล

หลังจากไฟล์ที่ถูกขโมยถูกส่งไปยังผู้โจมตี ไดเร็กทอรีในเครื่องที่สร้างขึ้นสำหรับโฮสต์ข้อมูลชั่วคราวจะถูกลบออกเพื่อลบร่องรอยของการติดมัลแวร์

แคมเปญที่สอง

แคมเปญที่สองที่เกี่ยวข้องกับเว็บไซต์ CapCut ปลอมจะปล่อยไฟล์ชื่อ 'CapCut_Pro_Edit_Video.

Microsoft ออกอัปเดตฉุกเฉินเพื่อแก้ปัญหา Microsoft 365 บน Arm devices

Microsoft ได้ทำการแผยแพร่อัปเดต Windows แบบ Out-of-band (OOB) เพื่อแก้ไขปัญหาเกี่ยวกับการลงชื่อเข้าใช้ Azure Active Directory และ Microsfot 365 บน Arm Devices หลังจากที่มีการอัพเดตแพตซ์ในรอบ Patch Tuesday ของเดือนมิถุนายน 2565

ในการอัปเดท OOB ครั้งนี้ ผู้ใช้งานสามารถอัปเดตโดยอัตโนมัติผ่านทาง Windows Update และยังสามารถดาวน์โหลด และติดตั้งด้วยตัวเองผ่าน Microsoft Update Catalog (KB5016139 สำหรับ Windows 10 และ KB5016138 สำหรับ Windows 11)

Microsoft ได้ระบุเกี่ยวกับปัญหาที่พบว่า ปัญหานี้มีผลเฉพาะกับอุปกรณ์ที่ใช้ Windows ARM-based และจะทำให้ผู้ใช้งานไม่สามารถลงชื่อเข้าใช้โดย Azure Active Directory (ADD) รวมถึงแอป และบริการที่ใช้ AAD เพื่อลงชื่อเข้าใช้ เช่น VPN, Microsoft Teams และ MS Outlook ก็อาจได้รับผลกระทบด้วยเช่นกัน

เวอร์ชั่น Windows ที่ได้รับผลกระทบจากปัญหานี้มีดังนี้

Windows 11 21H2

Windows 10 21H2

Windows 10 21H1

Windows 10 20H2

โดยอาจมีผลกระทบกับการใช้งานบางส่วนดังนี้

App และ Service ที่ใช้ Azure Active Directory (Azure AD) ในการลงชื่อเข้าใช้
VPN connections
Microsoft Teams desktop
OneDrive for Business
Outlook Desktop client

Microsoft ได้ระบุเพิ่มเติมเกี่ยวกับการอัปเดตว่า หากผู้ใช้งานที่ยังไม่ได้ทำการอัปเดท Patch Tuesday ของเมื่อวันที่ 14 มิถุนายน 2565 ที่ผ่านมา ให้อัปเดทจาก OOB Update นี้ได้เลย เนื่องจากเป็น OOB update แบบรวมของวันที่ 14 มิถุนายนมาให้แล้ว แต่ถ้าหากมีการอัปเดตของวันที่ 14 มิถุนายนมาแล้ว ก็จะมีการดาวน์โหลดเฉพาะแพคเกจใหม่ที่มีอยู่ในอัปเดตไปติดตั้งเท่านั้น

ในส่วนขอองค์กรที่ยังไม่สามารถอัปเดตการแก้ไขนี้ได้ในทันที สามารถใช้งานผ่านทางรูปแบบ Website ไปก่อนได้ เช่น OneDrive, Microsoft Teams และ Outlook.

Microsoft แนะนำวิธีการแก้ไขเบื้องต้นสำหรับช่องโหว่ zero-day ของ Office 365 ที่กำลังถูกโจมตีในช่วงนี้

Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.

Microsoft: Windows 10 version 1803, 1809 และ 1909 สิ้นสุดการให้บริการเรียบร้อยแล้ว

Windows 10 version 1803, 1809 และ 1909 หลายรุ่นได้สิ้นสุดการให้บริการ (End of Service - EOS) ใน Patch Tuesday ของเดือนนี้ Windows 10 รุ่นที่มาถึง EoS จะไม่ได้รับ Technical Support อีกต่อไป รวมไปถึงการแก้ไขข้อบกพร่อง และความปลอดภัยรายเดือนเพื่อปกป้องอุปกรณ์เหล่านี้จากภัยคุกคาม

โดยปกติแล้ว Microsoft จะแนะนำให้ผู้ใช้ผลิตภัณฑ์ที่สิ้นสุดการให้บริการอัปเกรดเป็นเวอร์ชันล่าสุดที่มีให้โดยเร็วที่สุดเพื่อรักษาระบบของตนให้ปลอดภัย แต่บริษัทเองก็จะยังเปิดให้อัปเดต Feature โดยอัตโนมัติสำหรับ Windows บางรุ่นที่เข้าข่าย EoS ไปอีกสักพักหลังจากที่ EoS ไปแล้ว และก็ยังสามารถเลือกเวลาในการรีบูต และอัปเดตให้เสร็จสมบูรณ์ได้

มีข้อยกเว้น 2 ประการสำหรับประกาศการสิ้นสุดการให้บริการ
1) Windows 10 เวอร์ชัน 1809 Enterprise LTSC 2019 และ Windows 10 IoT Core / Enterprise 2019 LTSC จะยังคงได้รับการอัปเดตจนถึงวันที่ 9 มกราคม 2572

2) Windows 10 เวอร์ชัน 1909 Education, Enterprise และ IoT Enterprise จะยังคงได้รับการอัปเดตจนถึงวันที่ 11 พฤษภาคม 2565

ผู้ใช้งานที่ยังคงใช้งาน Windows 10 ที่กำลังจะ EoS แนะนำให้อัปเดตเป็นเวอร์ชันล่าสุดเพื่อรับการอัปเดตด้านความปลอดภัยและการแก้ไขข้อบกพร่องอย่างทันท่วงที

ที่มา : bleepingcomputer.

Google shares PoC exploit for critical Windows 10 Graphics RCE bug

ทีม Project Zero เผยเเพร่โค้ด PoC ของช่องโหว่ที่อยู่ใน Graphics ของ Windows 10

ทีม Project Zero จาก Google ได้เปิดเผยรายละเอียดทางเทคนิคและโค้ดซึ่งใช้ประโยชน์จากช่องโหว่หรือ Proof-of-Concept (PoC) สำหรับช่องโหว่การเรียกใช้โค้ดระยะไกล (Remote Code Execution - RCE) ที่ส่งผลต่อส่วนประกอบกราฟิกบนระบบปฏิบัติการ Windows โดยช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-24093 เป็นช่องโหว่ใน Windows API ที่มีชื่อว่า Microsoft DirectWrite

เนื่องจาก DirectWrite API ถูกใช้เป็นเครื่องมือในการอ่านแบบอักษรเริ่มต้นที่ถูกใช้โดยเว็บเบราว์เซอร์หลัก ๆ เช่น Chrome, Firefox และ Edge สำหรับการแสดงตัวอักษรบนเว็บ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการทำ memory corruption เพื่อให้เกิดความเสียหายในหน่วยความจำซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตระบบของเป้าหมายได้จากระยะไกล หรือผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้โดยการหลอกล่อเป้าหมายให้เข้าเยื่ยมชมเว็บไซต์ของผู้โจมตีที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งเว็บไซต์อาจทำให้เกิด Heap-based buffer overflow ในฟังก์ชัน fsg_ExecuteGlyph API ซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตระบบของเป้าหมายได้จากระยะไกลgเช่นเดียวกันกับกรณีเเรก

ช่องโหว่นี้จะส่งผลกระทบต่อ Windows 10 และ Windows Server หลายรุ่นจนถึง Windows 10 เวอร์ชัน 20H2 ซึ่งเป็นเวอร์ชันล่าสุดที่เพิ่งเปิดตัว โดยหลังจากทีม Project Zero พบช่องโหว่เป็นเวลา 90 วันได้ทำการเผยเเพร่โค้ด PoC สำหรับช่องโหว่สู่สาธารณะ ทั้งนี้ผู้ใช้ควรทำการอัปเดตเเพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

ACROS Security ประกาศเปิดตัวไมโครแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ Zero-day ใน IE ที่ถูกใช้ประโยชน์ในแคมเปญการโจมตีนักวิจัยด้านความปลอดภัย

บริษัท ACROS Security บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์และผู้ให้บริการแพลตฟอร์มอัปเดตความปลอดภัย 0patch ได้ประกาศเปิดตัวไมโครแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ Zero-day ใน Microsoft Internet Explorer (IE) ที่เชื่อว่าถูกแฮกเกอร์ชาวเกาหลีเหนือใช้ประโยชน์ในแคมเปญที่กำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัย

ช่องโหว่ถูกเผยเพร่โดยนักวิจัยจากบริษัท ENKI ซึ่งเป็นบริษัทผู้ให้บริการด้านความปลอดภัยของเกาหลีใต้ที่ได้ทำการเผยแพร่รายงานเกี่ยวกับช่องโหว่ Zero-day บน IE เมื่อต้นเดือนกุมภาพันธ์ที่ผ่านมา โดยช่องโหว่จะเป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบน IE เมื่อผู้ใช้เข้าชมเว็บไซต์ที่เป็นอันตราย ซึ่งช่องโหว่จะส่งผลกระทบกับ Windows 7, Windows 10, Server 2008 R2, Server 2016, 2019 สำหรับช่องโหว่นี้นักวิจับเชื่อว่าแฮกเกอร์ชาวเกาหลีเหนือได้ใช้ประโยชน์เพื่อกำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัยด้วยไฟล์ MHTML ที่เป็นอันตรายซึ่งอาจนำไปสู่การดาวน์โหลดเพย์โหลดที่เป็นอันตราย

Microsoft ได้รับการรายงานและยืนยันรายงานเกี่ยวกับช่องโหว่แล้ว อย่างไรก็ตามการแก้ไขสำหรับช่องโหว่ Zero-day ไม่ได้ถูกบรรจุในการปรับปรุงการรักษาความปลอดภัยที่ไมโครซอฟท์เปิดตัว Patch Tuesday February 2021 ที่ผ่านมา

ประกาศเปิดตัวไมโครแพตช์สำหรับช่องโหว่ Zero-day ใน IE นี้ทาง ACROS Security ได้ทำการร่วมมือกับ ENKI ซึ่งทำการแชร์ Proof-of-Concept เพื่อช่วยในการแก้ไขและพัฒนาไมโครแพตช์สำหรับช่องโหว่ Zero-day โดยขณะนี้แพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่พร้อมให้บริการแล้วผ่านบริการ 0patch

ทั้งนี้ผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยสามารถทำการอัปเดตแพตช์ได้แล้วผ่านบริการ 0patch สำหรับผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยจาก Microsoft ควรทำการติดตามการประกาศการอัปเดตด้านความปลอดภัยอย่างเป็นทางการจาก Microsoft ในเร็วๆ นี้

ที่มา : securityweek

นักวิจัยด้านความปลอดภัยค้นพบข้อบกพร่องที่จะทำให้ Windows 10 เกิด Blue Screen of Death เมื่อเข้าถึงพาธเฉพาะ

Jonas Lykkegaard นักวิจัยด้านความปลอดภัยด้านระบบปฏิบัติการ Windows ได้เปิดเผยถึงการค้นพบพาธที่จะทำให้ Windows 10 เกิดขัดข้องและจะแสดง Blue Screen of Death (BSOD) ทันทีเพียงแค่เปิดพาทในแถบ Address bar ของเบราว์เซอร์หรือใช้คำสั่งอื่นๆ

Lykkegaard กล่าวว่าเขาได้ค้นพบพาธสำหรับ Win32 device namespace สำหรับอุปกรณ์ในกลุ่ม "console multiplexer driver" ที่สามารถอ้างถึงได้ผ่านพาธ \\.\globalroot\device\condrv\kernelconnect โดยหากมีการพยายามเข้าถึงพาธนี้ไม่ว่าจะในลักษณะใดก็ตาม ระบบจะเกิดการแครชและแสดงหน้า Blue Screen of Death ทันที การวิเคราะห์เบื้องต้นพบว่าพาธดังกล่าวนั้นจำเป็นจะต้องมีการระบุพารามิเตอร์อย่างน้อยหนึ่งรายการ ทั้งนี้หากเรียกพาธดังกล่าวโดยไม่ระบุค่าใดๆ ไป ระบบจะเกิดข้อผิดพลาดจากการตรวจสอบเงื่อนไขนี้ไม่สมบูรณ์ และทำให้เกิดสถานการณ์ดังกล่าว

หลังจากพบข้อบกพร่องนักวิจัยได้ทำการแจ้งต่อ Microsoft แล้วเมื่อสัปดาห์ที่ผ่านเพื่อให้ Microsoft ทำการตรวจสอบปัญหาด้านความปลอดภัยที่ได้รับรายงานและจัดเตรียมการอัปเดตสำหรับอุปกรณ์ที่ได้รับผลกระทบโดยเร็วที่สุด

ที่มา: bleepingcomputer