มีการตรวจพบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อน ซึ่งมุ่งเป้าไปยังเว็บเซิร์ฟเวอร์ของเกาหลีใต้ โดยผู้ไม่หวังดีได้ใช้มัลแวร์ MeshAgent และ SuperShell เพื่อโจมตีระบบปฏิบัติการ Windows และ Linux
การโจมตีแบบข้ามแพลตฟอร์มครั้งนี้ แสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของการโจมตี โดยผู้ไม่หวังดีจะอาศัยช่องโหว่ในการอัปโหลดไฟล์เพื่อยึดครองเซิร์ฟเวอร์ในสภาพแวดล้อมต่าง ๆ อย่างถาวร (more…)
ช่องโหว่ระดับความรุนแรงสูงในซอฟต์แวร์ ASUS Armoury Crate อาจทำให้ผู้โจมตีสามารถยกระดับสิทธิ์การเข้าถึงขึ้นเป็นระดับ SYSTEM บน Windows ได้
ช่องโหว่นี้มีหมายเลข CVE-2025-3464 และได้รับคะแนน severity score 8.8 จาก 10
ช่องโหว่นี้สามารถถูกนำไปใช้เพื่อ bypass การ authorization และมีผลกระทบต่อ AsIO3.sys ซึ่งเป็นส่วนหนึ่งของระบบจัดการ Armoury Crate
(more…)
Google กำลังทยอยเปลี่ยนแปลง Chromium โดย "ลดระดับสิทธิ์ (de-elevates)" ของ Google Chrome เพื่อไม่ให้เบราว์เซอร์ทำงานในโหมดของผู้ดูแลระบบ ซึ่งเป็นการเพิ่มความปลอดภัยบนระบบปฏิบัติการ Windows (more…)
นักวิจัยด้านความปลอดภัยได้สาธิตวิธีการ Non-Invasive ที่สามารถ Bypass การเข้ารหัสของ Microsoft BitLocker บนอุปกรณ์ Windows ได้ภายในเวลาเพียง 5 นาที โดยไม่ต้องแก้ไขฮาร์ดแวร์ทาง physical
ช่องโหว่ Bitpixie (CVE-2023-21563) สามารถทำให้ผู้ไม่หวังดีสามารถดึงคีย์การเข้ารหัส BitLocker ออกมาได้ในระยะเวลาสั้น ๆ ซึ่งอาจทำให้ข้อมูลสำคัญบนอุปกรณ์ขององค์กร และข้อมูลของผู้ใช้งานทั่วไปที่ไม่มีการยืนยันตัวตนก่อนบูต (Pre-Boot Authentication) ถูกเปิดเผย
ช่องโหว่ Bitpixie ถูกพบครั้งแรกในปี 2022 และถูกนำเสนอที่งาน Chaos Communication Congress (38C3) โดยนักวิจัยด้านความปลอดภัย Thomas Lambertz ซึ่งใช้ประโยชน์จากช่องโหว่ระดับ Critical ในการเข้ารหัสของ BitLocker บน Windows
ต่างจากการโจมตีแบบ TPM Sniffing ที่ใช้ฮาร์ดแวร์แบบเก่า ที่ต้องใช้ทักษะ และความรู้เฉพาะทาง Bitpixie ใช้การโจมตีด้วยซอฟต์แวร์เพียงอย่างเดียว และไม่ทิ้งร่องรอยทาง physical
นักวิจัย Marc Tanner จาก Compass Security ระบุว่า "การใช้ประโยชน์จากช่องโหว่ Bitpixie นั้นเป็นแบบ "Non-Invasive" ไม่ต้องมีการแก้ไขอุปกรณ์ และไม่จำเป็นต้องสร้างดิสก์อิมเมจ ดังนั้นจึงสามารถเจาะระบบได้อย่างรวดเร็ว (ประมาณ 5 นาที)"
ช่องโหว่นี้มีเป้าหมายเฉพาะระบบที่ใช้ BitLocker โดยไม่มีการยืนยันตัวตนก่อนบูต ซึ่งเป็นการตั้งค่าเริ่มต้นของอุปกรณ์ Windows หลายเครื่อง
Exploits บน Linux และ Windows PE
นักวิจัยด้านความปลอดภัยได้พัฒนาวิธีการโจมตีที่แตกต่างกันสองวิธี โดยแต่ละวิธีมีข้อกำหนด และความสามารถที่แตกต่างกัน
การโจมตีบน Linux ใช้กระบวนการหลายขั้นตอน โดยเริ่มจากการเข้าสู่ Windows Recovery Environment และใช้การบูตเครือข่าย (PXE) เพื่อดาวน์โหลด Windows Boot Manager ที่มีช่องโหว่
จากนั้น Bootloader ที่ถูก downgraded นี้สามารถควบคุมเพื่อดึง BitLocker Volume Master Key (VMK) จากหน่วยความจำของระบบ ซึ่งช่วยให้สามารถถอดรหัสดิสก์ได้ทั้งหมด
สำหรับระบบที่บล็อกส่วนประกอบที่ signed โดย third-party เช่น Lenovo secured-core PCs นักวิจัยได้สร้างเทคนิคการโจมตีที่ใช้ Windows PE ซึ่งใช้เพียงแค่ส่วนประกอบที่ signed โดย Microsoft เท่านั้น
นักวิจัยระบุว่า "วิธีการนี้ใช้เฉพาะ components หลักที่ได้รับการ signed จาก Microsoft และสามารถใช้กับอุปกรณ์ที่ได้รับผลกระทบทั้งหมด ตราบใดที่อุปกรณ์นั้นเชื่อถือ Certificate ของ Microsoft Windows Production PCA 2011"
ทั้งสองวิธีนี้ต้องการเพียงการเข้าถึงแบบ physical access ชั่วคราว, การเชื่อมต่อเครือข่าย และไม่ต้องใช้อุปกรณ์ฮาร์ดแวร์เฉพาะทาง
การป้องกันการโจมตีแบบ BitLocker Bypass
ช่องโหว่หลักของการตั้งค่าเริ่มต้นใน BitLocker เกิดจากการใช้การป้องกัน TPM เพียงอย่างเดียว โดยไม่มีปัจจัยการยืนยันตัวตนเพิ่มเติม
นักวิจัยระบุว่า "ช่องโหว่นี้ยังคงมีอยู่ เนื่องจากข้อจำกัดในการจัดเก็บ Certificate ใน UEFI โดย Certificate Secure Boot ใหม่ คาดว่าจะยังไม่พร้อมใช้งานก่อนปี 2026"
Microsoft พยายามแก้ไขปัญหานี้ แต่เนื่องจากข้อจำกัดเชิงสถาปัตยกรรม และข้อกำหนดความเข้ากันได้ของเวอร์ชันเก่า ช่องโหว่นี้จึงยังสามารถถูกโจมตีได้ผ่านเทคนิค Bootloader downgrade
องค์กรสามารถลดความเสี่ยงได้ด้วยการเปิดใช้งานการยืนยันตัวตนก่อนบูต โดยบังคับให้ผู้ใช้งานต้องใส่ PIN หรือใช้ USB key ก่อนที่ระบบจะเริ่มทำงาน
การอัปเดตความปลอดภัยของ Microsoft KB5025885 ยังช่วยลดความเสี่ยง โดยการเพิ่ม Certificates Secure Boot ใหม่ และเพิกถอน Certificates เก่า
แนวทางป้องกันเพิ่มเติมที่แนะนำ ได้แก่ การปิดใช้งานการบูตผ่านเครือข่ายจากการตั้งค่า BIOS/UEFI และการใช้ BitLocker PIN แบบกำหนดเอง
ทีมวิจัยสรุปว่า "ช่องโหว่ Bitpixie รวมถึงการโจมตีที่ใช้ฮาร์ดแวร์ และซอฟต์แวร์ทั่วไป สามารถลดความเสี่ยงได้โดยการบังคับใช้การยืนยันตัวตนก่อนบูต" พร้อมเน้นย้ำว่าการตั้งค่าเริ่มต้นของ BitLocker ที่ไม่มีความปลอดภัยเพิ่มเติมยังคงเสี่ยงต่อการถูกโจมตี
ที่มา : gbhackers
พบแคมเปญการโจมตีใหม่ที่ใช้เทคนิค ClickFix โดยมีการโจมตีทั้งระบบปฏิบัติการ Windows และ Linux ผ่านคำสั่งที่ออกแบบมาให้สามารถติดมัลแวร์ได้บนทั้งสองระบบปฏิบัติการ (more…)
ปัจจุบันกลุ่ม Ransomware กำลังมีการปรับโครงสร้างใหม่ โดยกลุ่ม Ransomware ในชื่อ DragonForce กำลังจัดตั้งกลุ่ม operations ย่อยต่าง ๆ ภายใต้โครงสร้างของกลุ่ม DragonForce Ransomware
DragonForce ได้เชิญชวนให้กลุ่ม Hacker และกลุ่ม Ransomware ต่าง ๆ มาร่วมเป็นพันธมิตร ทำให้สามารถดำเนินการในรูปแบบ Ransomware-as-a-service (RaaS) โดยที่ไม่จำเป็นต้องรับภาระทางด้านต้นทุนในการโจมตี และการบำรุงรักษาโครงสร้างพื้นฐาน (more…)
พบช่องโหว่ใน WinRAR file archiver solution ที่อาจถูกใช้เพื่อหลีกเลี่ยงการแจ้งเตือนด้านความปลอดภัย Mark of the Web (MotW) ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายบน Windows ได้
Mark of the Web เป็นฟังก์ชันการรักษาความปลอดภัยใน Windows ในรูปแบบของ metadata value เพื่อ tag ไฟล์ว่าเป็นไฟล์ที่อาจไม่ปลอดภัย ซึ่งดาวน์โหลดมาจากอินเทอร์เน็ต
เมื่อเปิดไฟล์ executable ที่มี MotW tag Windows จะเตือนผู้ใช้ว่าไฟล์นั้นดาวน์โหลดมาจากอินเทอร์เน็ต และอาจเป็นอันตราย และเสนอตัวเลือกให้ดำเนินการต่อไป หรือยุติการทำงาน
CVE-2025-31334 (คะแนน CVSSv4 6.8/10 ความรุนแรงระดับ Medium) ทำให้ Hacker bypass คำเตือนด้านความปลอดภัย MotW ได้เมื่อเปิด symlink ที่ชี้ไปยังไฟล์ executable ใน WinRAR เวอร์ชันก่อน 7.11
ผู้โจมตีสามารถเรียกใช้โค้ดได้ตามที่ต้องการ โดยใช้ symbolic link ที่สร้างขึ้นเป็นพิเศษ โดยการสร้าง symlink บน Windows ต้องมีสิทธิ์ของผู้ดูแลระบบเท่านั้น
Shimamine Taihei จาก Mitsui Bussan Secure Directions ได้รายงานช่องโหว่นี้ผ่านหน่วยงานส่งเสริมเทคโนโลยีสารสนเทศ (IPA) ในญี่ปุ่น โดยทีมตอบสนองเหตุการณ์ด้านความปลอดภัยทางคอมพิวเตอร์ของญี่ปุ่นได้ประสานงานการเปิดเผยข้อมูลกับผู้พัฒนา WinRAR
โดย WinRAR ตั้งแต่เวอร์ชัน 7.10 เป็นต้นไป มีความเป็นไปได้ในการลบข้อมูล alternate data stream ของ MotW (เช่น Location, IP address) ที่อาจถือเป็นความเสี่ยงต่อความเป็นส่วนตัว
ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ เคยใช้ประโยชน์จากการ Bypass MotW ในอดีตเพื่อส่งมัลแวร์ต่าง ๆ โดยทำให้ไม่มีคำเตือนด้านความปลอดภัย
เมื่อไม่นานนี้ แฮ็กเกอร์ชาวรัสเซียได้ใช้ประโยชน์จากช่องโหว่ดังกล่าวในโปรแกรม 7-Zip ซึ่งจะไม่มีคำเตือนของ MotW เมื่อทำการ double archiving เพื่อเรียกใช้มัลแวร์ Smokeloader
ที่มา : bleepingcomputer
Mozilla ออกอัปเดต Firefox 136.0.4 เพื่อแก้ไขช่องโหว่ความปลอดภัยระดับ Critical ที่ทำให้ผู้ไม่หวังดีสามารถ escape จาก Sandbox ของเว็บเบราว์เซอร์บนระบบ Windows ได้ (more…)
พบการโจมตีของ ransomware-as-a-service (RaaS) ตัวใหม่ที่ชื่อ VanHelsing โดยกำหนดเป้าหมายไปที่ระบบ Windows, Linux, BSD, ARM และ ESXi
โดย VanHelsing ได้รับการโปรโมตบนแพลตฟอร์มใต้ดินของอาชญากรรมไซเบอร์เป็นครั้งแรกเมื่อวันที่ 7 มีนาคม 2025 โดยเปิดให้ผู้โจมตีที่มีประสบการณ์เข้าร่วมฟรี ในขณะที่ผู้โจมตีที่มีประสบการณ์น้อยกว่าต้องวางเงินมัดจำ 5,000 ดอลลาร์
การทำงานของแรนซัมแวร์ตัวใหม่นี้ถูกรายงานครั้งแรกโดย CYFIRMA เมื่อสัปดาห์ที่แล้ว ในขณะที่ Check Point Research ได้เผยแพร่การวิเคราะห์เชิงลึกเพิ่มเติมเมื่อวันที่ 23 มีนาคม 2025
ภายในแรนซัมแวร์ VanHelsing
นักวิเคราะห์จาก Check Point รายงานว่า VanHelsing เป็นโครงการอาชญากรรมไซเบอร์จากรัสเซียที่ห้ามไม่ให้โจมตีระบบภายในประเทศ CIS (Commonwealth of Independent States)
โดยในส่วนของกลุ่มพันธมิตรที่นำ ransomware-as-a-service (RaaS) ไปใช้ จะได้รับอนุญาตให้เก็บเงินค่าไถ่ได้ 80% ในขณะที่ผู้ดำเนินการจะได้รับส่วนแบ่ง 20% และการชำระเงินจะถูกจัดการผ่าน escrow system ในรูปแบบอัตโนมัติที่ใช้ two blockchain confirmations เพื่อความปลอดภัย
กลุ่มพันธมิตรที่ได้รับการยอมรับจะได้รับสิทธิ์ในการเข้าถึง panel ที่มีการทำงานในรูปแบบอัตโนมัติ และยังได้รับการสนับสนุนโดยตรงจากทีมพัฒนา
ไฟล์ที่ถูกขโมยจากเครือข่ายของเหยื่อจะถูกจัดเก็บไว้บน VanHelsing operation servers ซึ่งทีมพัฒนาหลักอ้างว่าพวกเขาทำการทดสอบการเจาะระบบเป็นประจำเพื่อให้แน่ใจถึงความปลอดภัยระดับสูง และความน่าเชื่อถือของระบบ
ปัจจุบัน extortion portal ของ VanHelsing บน Dark Web ซึ่งระบุว่ามีเป้าหมาย 3 ราย โดยสองรายอยู่ในสหรัฐอเมริกา และอีกหนึ่งรายในฝรั่งเศส โดยหนึ่งในเป้าหมายคือ เมืองในรัฐเท็กซัส ส่วนอีกสองรายคือ บริษัทเทคโนโลยี
ตัวอย่างข้อมูลที่กลุ่มแรนซัมแวร์ขู่จะปล่อยไฟล์ที่ขโมยมาในไม่กี่วันข้างหน้าหากไม่เป็นไปตามข้อเรียกร้องในการเรียกค่าไถ่ ซึ่งจากการตรวจสอบของ Check Point การเรียกค่าไถ่อยู่ที่ 500,000 ดอลลาร์
Stealth mode
แรนซัมแวร์ VanHelsing เขียนด้วยภาษา C++ และมีหลักฐานที่แสดงให้เห็นว่ามีการโจมตีครั้งแรกเมื่อ 16 มีนาคม 2025
VanHelsing ใช้อัลกอริธึม ChaCha20 สำหรับการเข้ารหัสไฟล์ โดยสร้าง 32-byte (256-bit) symmetric key และ 12-byte nonce สำหรับแต่ละไฟล์
จากนั้นค่านี้จะถูกเข้ารหัสด้วย Curve25519 public key ที่ฝังไว้ และในส่วนของคู่ encrypted key/nonce จะถูกเก็บไว้ในไฟล์ที่ถูกเข้ารหัส
VanHelsing เข้ารหัสไฟล์ที่มีขนาดใหญ่กว่า 1GB เพียงบางส่วน แต่จะดำเนินการเข้ารหัสทั้งหมดในไฟล์ที่มีขนาดเล็กกว่า
มัลแวร์นี้รองรับการปรับแต่ง CLI ที่หลากหลายเพื่อปรับแต่งการโจมตีให้สอดคล้องกับแต่ละเป้าหมาย เช่น การโจมตีไดรฟ์ และโฟลเดอร์เฉพาะ, การจำกัดขอบเขตของการเข้ารหัส, การแพร่กระจายผ่าน SMB, การ skipping การลบ Shadow Copies และการเปิดใช้งาน two-phase stealth mode
ในโหมดการเข้ารหัสแบบปกติ VanHelsing จะทำการตรวจสอบไฟล์ และโฟลเดอร์ รวมถึงทำการเข้ารหัสเนื้อหาของไฟล์ และทำการเปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยการเพิ่มนามสกุล ".vanhelsing"
โดย Stealth mode แรนซัมแวร์จะแยกการเข้ารหัสออกจากการเปลี่ยนชื่อไฟล์ ซึ่งมีแนวโน้มที่จะทำให้เกิดการแจ้งเตือนน้อยลง เนื่องจากรูปแบบ I/O ของไฟล์เลียนแบบพฤติกรรมปกติของระบบ
แม้ว่า security tools จะตอบสนองในช่วงเริ่มต้นของขั้นตอนการเปลี่ยนชื่อ แต่ในครั้งถัดไป ชุดข้อมูลที่ถูกโจมตีทั้งหมดจะถูกเข้ารหัสไปแล้ว
แม้ว่า VanHelsing จะดูเหมือนเป็นแรนซัมแวร์ที่มีความซับซ้อน และพัฒนาอย่างรวดเร็ว แต่ Check Point ก็สังเกตเห็นช่องโหว่บางอย่างที่แสดงให้เห็นถึงความไม่สมบูรณ์ของโค้ด
ช่องโหว่อาทิ เช่น ข้อมูลไม่ตรงกันของนามสกุลไฟล์, ช่องโหว่ใน logic ของรายการที่มีการยกเว้น ซึ่งอาจทำให้เกิดการเข้ารหัสซ้ำ และบางคำสั่งที่ยังไม่ได้ implement
แม้ว่าจะมีช่องโหว่เหล่านี้เกิดขึ้น แต่ VanHelsing ยังคงเป็นภัยคุกคามที่น่ากังวล และดูเหมือนว่าจะเริ่มได้รับความสนใจในเร็ว ๆ นี้
ที่มา : bleepingcomputer.
กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอย่างน้อย 11 กลุ่มจาก เกาหลีเหนือ, อิหร่าน, รัสเซีย และจีน ได้ใช้ช่องโหว่ zero-day ใหม่ของ Windows ในการขโมยข้อมูลมาตั้งแต่ปี 2017
อย่างไรก็ตาม นักวิจัยด้านความปลอดภัย Peter Girnus และ Aliakbar Zahravi จาก Zero Day Initiative (ZDI) ของบริษัท Trend Micro รายงานเมื่อวันที่ 18 มีนาคม 2025 ว่า ทาง Microsoft ได้พิจารณาแล้วว่าช่องโหว่นี้ "ไม่เข้าข่ายที่ต้องได้รับการแก้ไข" ในช่วงปลายเดือนกันยายน และตัดสินใจไม่ออกอัปเดตความปลอดภัยเพื่อแก้ไขปัญหานี้
นักวิจัยระบุว่า "ได้พบตัวอย่างไฟล์ Shell Link (.lnk) กว่า 1,000 ไฟล์ ที่ใช้ช่องโหว่ ZDI-CAN-25373 แต่มีความเป็นไปได้สูงว่าจำนวนการโจมตีที่เกิดขึ้นจริงอาจมากกว่านี้" หลังจากนั้นนักวิจัยได้ส่ง Proof-of-Concept exploit ผ่านโปรแกรม Bug Bounty ของ Trend ZDI ไปยัง Microsoft แต่ทาง Microsoft ปฏิเสธที่จะออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่นี้
แม้ว่า Microsoft จะยังไม่ได้กำหนด CVE-ID ให้กับช่องโหว่นี้ แต่ Trend Micro กำลังติดตามช่องโหว่นี้ภายในองค์กรภายใต้หมายเลข ZDI-CAN-25373 โดยระบุว่า ช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนระบบ Windows ที่ได้รับผลกระทบได้
จากการตรวจสอบของนักวิจัย พบว่าช่องโหว่ ZDI-CAN-25373 ถูกใช้ในการโจมตีอย่างแพร่หลายโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มอาชญากรรมไซเบอร์ เช่น Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni และกลุ่มอื่น ๆ
แม้ว่าแคมเปญดังกล่าวจะมีเป้าหมายไปทั่วโลก แต่ส่วนใหญ่เน้นไปที่ อเมริกาเหนือ, อเมริกาใต้, ยุโรป, เอเชียตะวันออก และออสเตรเลีย และจากการวิเคราะห์การโจมตีทั้งหมดพบว่าเกือบ 70% เชื่อมโยงกับการจารกรรม และขโมยข้อมูล ขณะที่เพียง 20% มีเป้าหมายเพื่อผลประโยชน์ทางการเงิน
Trend Micro ระบุเพิ่มเติมว่า แคมเปญโจมตีเหล่านี้มีการใช้มัลแวร์ และเป็นมัลแวร์ในรูปแบบ loaders หลากหลายประเภท เช่น Ursnif, Gh0st RAT และ Trickbot
ช่องโหว่ Zero-day ของ Windows (ZDI-CAN-25373)
ช่องโหว่ใหม่ที่ถูกพบใน Windows (ภายใต้หมายเลข ZDI-CAN-25373) เกิดจากช่องโหว่ User Interface (UI) Misrepresentation of Critical Information (CWE-451) ซึ่งทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่นี้ของ Windows ในการแสดงผลไฟล์ shortcut (.lnk) เพื่อหลบเลี่ยงการตรวจจับ และรันโค้ดบนอุปกรณ์ที่มีช่องโหว่โดยที่ผู้ใช้ไม่รู้ตัว
กลุ่มผู้โจมตีใช้ช่องโหว่ ZDI-CAN-25373 โดยซ่อน arguments คำสั่งที่เป็นอันตรายไว้ในไฟล์ shortcut (.LNK) ซึ่งใช้ช่องว่างพิเศษเพื่อซ่อนคำสั่งในโครงสร้าง COMMAND_LINE_ARGUMENTS
นักวิจัยระบุว่าช่องว่างพิเศษที่ใช้ในไฟล์ .lnk สามารถอยู่ในรูปแบบของ hex codes สำหรับ Space (\x20), Horizontal Tab (\x09), Linefeed (\x0A), Vertical Tab (\x0B), Form Feed (\x0C), และ Carriage Return (\x0D) ซึ่งสามารถใช้เป็นการเติมช่องว่างได้
หากผู้ใช้ Windows ตรวจสอบไฟล์ .lnk ดังกล่าว arguments คำสั่งที่เป็นอันตรายจะไม่แสดงในอินเทอร์เฟซของ Windows เนื่องจากช่องว่างที่เพิ่มเข้าไป ดังนั้น arguments คำสั่งที่เพิ่มโดยผู้โจมตีจะยังคงซ่อนอยู่จากการมองเห็นของผู้ใช้
Trend Micro ได้ออกคำเตือนในวันที่ 18 มีนาคม 2025 โดยระบุว่า จำเป็นต้องมีการโต้ตอบของผู้ใช้ในการโจมตีโดยใช้ช่องโหว่นี้ โดยเป้าหมายจะต้องเข้าไปเยี่ยมชมหน้าเว็บที่เป็นอันตราย หรือเปิดไฟล์ที่เป็นอันตราย
ข้อมูลที่สร้างขึ้นในไฟล์ .LNK อาจทำให้เนื้อหาอันตรายในไฟล์ไม่สามารถมองเห็นได้จากผู้ใช้ที่ตรวจสอบไฟล์ผ่านอินเทอร์เฟซของ Windows และผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดด้วยสิทธิ์ของของผู้ใช้งานปัจจุบันได้
ช่องโหว่นี้มีความคล้ายกับอีกช่องโหว่ที่มีหมายเลข CVE-2024-43461 ซึ่งทำให้ผู้โจมตีสามารถใช้ 26 encoded braille whitespace characters (%E2%A0%80) เพื่อซ่อนไฟล์ HTA ที่สามารถดาวน์โหลดมัลแวร์ที่เป็นอันตรายในรูปแบบ PDF ได้ โดยช่องโหว่ CVE-2024-43461 ถูกพบโดย Peter Girnus นักวิจัยด้านภัยคุกคามอาวุโสจาก Trend Micro's Zero Day และได้รับการแก้ไขโดย Microsoft ในการอัปเดต Patch Tuesday ประจำเดือนกันยายน 2024
กลุ่มผู้โจมตี Void Banshee APT ได้ใช้ประโยชน์จาก CVE-2024-43461 ในการโจมตีแบบ Zero-day เพื่อติดตั้งมัลแวร์ขโมยข้อมูล ในแคมเปญโจมตีองค์กรต่าง ๆ ในอเมริกาเหนือ, ยุโรป และเอเชียตะวันออกเฉียงใต้
เมื่อวันที่ 18 มีนาคม 2025 ที่ผ่านมา โฆษกของ Microsoft ระบุว่า บริษัทกำลังพิจารณาที่จะแก้ไขช่องโหว่นี้ในอนาคต
Microsoft ระบุว่า ขอขอบคุณ ZDI ที่ได้ส่งรายงานนี้ภายใต้ coordinated vulnerability disclosure และ Microsoft Defender มีการตรวจจับเพื่อค้นหา และบล็อกพฤติกรรมภัยคุกคามนี้อยู่แล้ว และ Smart App Control จะช่วยเพิ่มการป้องกันโดยการบล็อกไฟล์อันตรายจากอินเทอร์เน็ต ในฐานะที่เป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย ขอแนะนำให้ลูกค้าใช้ความระมัดระวังเมื่อดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จักตามคำเตือนด้านความปลอดภัย ซึ่งได้รับการออกแบบมาเพื่อระบุ และเตือนผู้ใช้เกี่ยวกับไฟล์ที่อาจเป็นอันตราย แม้ว่าประสบการณ์ของ UI ที่อธิบายไว้ในรายงานนี้ จะไม่เข้าข่ายที่ต้องได้รับการแก้ไขในทันทีตามแนวทางการจัดประเภทความรุนแรงของบริษัท แต่ Microsoft จะพิจารณาในการแก้ไขช่องโหว่นี้ในการอัปเดตฟีเจอร์ในอนาคต
ที่มา : bleepingcomputer