Yaron Zinar นักวิจัยด้านความปลอดภัยจากบริษัท Preempt ได้เปิดเผยถึงรายละเอียดของช่องโหว่ใน Windows NT LAN Manager (NTLM) ที่ Microsoft ได้ทำการแก้ไขช่องโหว่ดังกล่าวแล้วในการอัปเดตความปลอดภัยประจำเดือนหรือ Patch Tuesday เมื่อต้นเดือนที่ผ่านมา

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-1678 (CVSSv3: 4.3/10) ซึ่งช่องโหว่ดังกล่าวได้รับการอธิบายจาก Microsoft ว่าเป็นช่องโหว่ที่สามารถ Bypass ฟีเจอร์ความปลอดภัยของ Windows NT LAN Manager (NTLM) โดยช่องโหว่ดังกล่าวอยู่ใน IRemoteWinSpool MSRPC interface ซึ่งเป็นอินเทอร์เฟซสำหรับ Printer Remote Procedure Call (RPC) ที่ออกแบบมาสำหรับการจัดการตัวจัดคิวของเครื่องพิมพ์เอกสารจากระยะไกล ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถรีเลย์เซสชันการตรวจสอบสิทธิ์ NTLM ไปยังเครื่องที่ถูกโจมตีและใช้ MSRPC interface ของ Printer spooler เพื่อเรียกใช้โค้ดจากระยะไกลบนเครื่องที่ถูกโจมตี

ช่องโหว่จะส่งผลกระทบกับ Windows ทุกรุ่น ได้แก่ Windows Server, Windows Server 2012 R2, Windows Server 2008, Windows Server 2016, Windows Server 2019, RT 8.1, 8.1, 7 และ 10

ทั้งนี้นักวิจัยด้านความปลอดภัยได้กล่าวว่าพวกเขามีโค้ด Proof-of-Concept (POC) สำหรับช่องโหว่และสามารถใช้งานได้ แต่จะยังไม่ทำการเผยเเพร่สู่สาธารณะ อย่างไรก็ดีผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: securityweek | thehackernews

Microsoft ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินสำหรับ Windows 8.1 และ Windows Server 2012 R2 เพื่อเเก้ปัญหาช่องโหว่ใน Windows Remote Access

Microsoft ได้ออกแพตซ์อัปเดตความปลอดภัย KB4578013 สำหรับ Windows 8.1 และ Windows Server 2012 R2 เป็นกรณีฉุกเฉิน โดยเเพตซ์ที่ได้รับการอัปเดตนี้จะเเก้ไขช่องโหว่จำนวน 2 รายการ คือ CVE-2020-1530 และ CVE-2020-1537 ซึ่งเป็นช่องโหว่ Elevation-of-privilege (EoP) หรือการยกระดับสิทธ์ที่จะส่งผลต่อเซอร์วิส Windows Remote Access

ช่องโหว่เเรกถูกติดตามด้วยรหัส CVE-2020-1530 (CVSS: 7.8/10) ช่องโหว่เกิดจาก Windows Remote Access จัดการหน่วยความจำไม่ถูกต้อง ซึ่งการจะใช้ช่องโหว่ให้สำเร็จผู้โจมตีต้องรันโค้ดบนระบบของเป้าหมายก่อน จากนั้นผู้โจมตีจึงจะสามารถเรียกใช้แอปพลิเคชันที่ออกแบบมาเป็นพิเศษเพื่อทำการยกระดับสิทธิ์

ช่องโหว่ที่สองถูกติดตามด้วยรหัส CVE-2020-1537 (CVSS: 7.8/10) ช่องโหว่เกิดจาก Windows Remote Access จัดการการทำงานของไฟล์อย่างไม่เหมาะสม การใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีต้องรันโค้ดบนระบบของเป้าหมายก่อน จากนั้นผู้โจมตีจึงจะสามารถเรียกใช้แอปพลิเคชันที่ออกแบบมาเป็นพิเศษเพื่อทำการยกระดับสิทธิ์

เพื่อเป็นการเเก้ไขปัญหา Microsoft ได้เเนะนำให้ผู้ใช้ Windows 8.1 และ Windows Server 2012 R2 ทำการอัปเดตแพตซ์อัปเดตความปลอดภัย KB4578013 โดยเร็วที่สุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์ช่องโหว่ทำการโจมตีระบบ

ที่มา: threatpost | bleepingcomputer

ช่องโหว่สำคัญในแพตช์ประจำเดือนมกราคม 2020 จากไมโครซอฟต์
ไมโครซอฟต์ออกแพตช์ประจำเดือนมกราคม 2020 แก้ไขทั้งหมด 49 ช่องโหว่ โดยแพตช์นี้จะเป็นแพตช์ด้านความปลอดภัยสุดท้ายสำหรับ Windows Server 2008 และ Windows 7 ที่หมดระยะการสนับสนุนแล้ว ในช่องโหว่เหล่านั้นมีช่องโหว่ที่สำคัญและควรให้ความสนใจเป็นพิเศษ 4 ช่องโหว่ เป็นช่องโหว่ระดับ Critical ทั้งหมด เป็นช่องโหว่ใน CryptoAPI 1 ช่องโหว่ (CVE-2020-0601) และช่องโหว่ใน Windows RD Gateway และ Windows Remote Desktop Client 3 ช่องโหว่ (CVE-2020-0609, CVE-2020-0610 และ CVE-2020-0611)
ช่องโหว่ใน CryptoAPI (CVE-2020-0601) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถปลอม digital certificate เพื่อทำให้โปรแกรมอันตรายน่าเชื่อถือได้ หรือปลอมเพื่อทำ man-in-the-middle (MiTM) เพราะ Windows CryptoAPI ทำการตรวจสอบความถูกต้องของ digital certificate ได้ไม่ดีพอ ช่องโหว่นี้ส่งผลกระทบกับ Windows 10 ทั้งหมดซึ่งจะรวมไปถึง Windows Server 2016 และ 2019 ช่องนี้ค้นพบโดย National Security Agency (NSA) ซึ่งได้ให้คำแนะนำเกี่ยวกับช่องโหว่ไว้ที่ Media Defense

ช่องโหว่ใน Windows RD Gateway (CVE-2020-0609 และ CVE-2020-0610) เป็นช่องโหว่ที่ทำให้สามารถรันคำสั่งจากระยะไกลได้ (Remote Code Execution) โดยที่ผู้โจมตีไม่จำเป็นต้องเข้าสู่ระบบ เพียงแค่เชื่อมต่อด้วย RDP และส่ง request อันตรายไปยังเครื่องเป้าหมายเท่านั้น ส่งผลกระทบ Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 และ Windows Server 2019
ช่องโหว่ใน Windows Remote Desktop Client (CVE-2020-0611) เป็นช่องโหว่ที่ทำให้สามารถรันคำสั่งจากระยะไกลได้ (Remote Code Execution) เมื่อ Windows Remote Desktop Client เชื่อมต่อไปยัง server ที่เป็นอันตราย ซึ่งการเชื่อมต่อไปยัง server ที่เป็นอันตรายอาจเกิดได้จาก social engineering, Domain Name Server (DNS) poisoning, man-in the-middle หรือผู้โจมตีสามารถควบคุมเครื่อง server ได้ ส่งผลกระทบ Windows ทุกรุ่นที่ยังได้รับการสนับสนุน และมีแพตช์ให้กับ Windows 7 และ Windows 2008 R2
ผู้ใช้งานและผู้ดูแลระบบควรอัปเดตแพตช์เพื่อความปลอดภัย

ที่มา - bleepingcomputer - Us-Cert

more info
https://thehackernews.