ผู้เชี่ยวชาญด้านความปลอดภัยได้เพิ่มความสำคัญเร่งด่วนสำหรับผู้ดูแลระบบ Windows ในการอัปเดตเพื่อแก้ไขช่องโหว่ที่สามารถโจมตีได้โดยไม่ต้องตรวจสอบสิทธิ์ ซึ่งเป็นช่องโหว่ที่สามารถใช้ประโยชน์ได้โดยไม่มีการโต้ตอบจากผู้ใช้ในระบบ TCP/IP ของ Windows
ผู้เชี่ยวชาญด้านความปลอดภัยกำลังเพิ่มความเร่งด่วนให้กับผู้ดูแลระบบ Windows ในการแก้ไขช่องโหว่ที่สามารถทำให้เกิดการรันโค้ดจากระยะไกล (remote code execution) ก่อนการตรวจสอบสิทธิ์ใน TCP/IP stack ของ Windows พร้อมเตือนว่ามีโอกาสสูงที่จะถูกโจมตีแบบ zero-click
รายละเอียดทางเทคนิคของช่องโหว่นี้ ซึ่งถูกติดตามด้วยหมายเลข CVE-2024-38063 ยังคงมีน้อย แต่จากเอกสารของ Microsoft ที่มีอยู่พอสมควร ชี้ให้เห็นว่าการโจมตีแบบเวิร์ม (worm-like attack) เป็นไปได้ในระบบปฏิบัติการเวอร์ชันใหม่ล่าสุด
“ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์อาจส่งแพ็กเก็ต IPv6 ที่มีการปรับแต่งพิเศษซ้ำ ๆ ไปยังเครื่อง Windows ซึ่งสามารถทำให้เกิดการรันโค้ดจากระยะไกลได้” บริษัทซอฟต์แวร์ยักษ์ใหญ่เตือนในประกาศที่มีความรุนแรงระดับวิกฤติ
Microsoft ให้คะแนนความรุนแรง CVSS ของช่องโหว่นี้ที่ 9.8/10 และเน้นว่าการสร้างวิธีการโจมตีอาจไม่ซับซ้อน เนื่องจากไม่ต้องการสิทธิพิเศษหรือการโต้ตอบจากผู้ใช้
นักวิจัยชาวจีน Xiao Wei จาก Cyber KunLun กล่าวว่าเขาค้นพบช่องโหว่นี้ “หลายเดือนแล้ว” และได้กระตุ้นให้ผู้ใช้ Windows อัปเดตแพตช์ที่มีอยู่หรือปิดการใช้งาน IPv6 เป็นการชั่วคราวเพื่อบรรเทาปัญหา
“พิจารณาถึงความเสียหายที่อาจเกิดขึ้น ผมจะไม่เปิดเผยรายละเอียดเพิ่มเติมในระยะสั้น” นักวิจัยกล่าวในโซเชียลมีเดีย
ภายใต้กฎหมายการเปิดเผยช่องโหว่ใหม่ บริษัทและนักวิจัยในประเทศจีนจำเป็นต้องรายงานช่องโหว่ต่อหน่วยงานของรัฐบาลเพื่อทำการตรวจสอบก่อนที่จะส่งต่อข้อมูลไปยังเจ้าของผลิตภัณฑ์หรือบริการ ผู้เชี่ยวชาญเตือนมานานแล้วว่านักแสดงภัยคุกคามจากรัฐชาติที่อยู่ในจีนกำลังใช้ประโยชน์จากข้อบังคับทางกฎหมายนี้ในการ “สะสม” ช่องโหว่ zero-day สำหรับการใช้ในปฏิบัติการ APT
ข้อบกพร่อง TCP/IP นี้เป็นหนึ่งในหลายช่องโหว่ที่ถูกแก้ไขในแพตช์วันอังคาร (Patch Tuesday) ของ Microsoft ซึ่งยังรวมถึงช่องโหว่ zero-day จำนวนหกช่องที่กำลังถูกโจมตีในโลกไซเบอร์
ข้อมูลดิบเกี่ยวกับช่องโหว่ zero-day หกช่องที่ถูกโจมตี:
– CVE-2024-38178 — ช่องโหว่การทำลายหน่วยความจำใน Windows Scripting Engine ที่ช่วยให้การโจมตีแบบ remote code execution เกิดขึ้นได้หากผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ถูกหลอกให้คลิกลิงก์ ซึ่งช่วยให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเริ่มต้นการรันโค้ดจากระยะไกลได้ การโจมตีช่องโหว่นี้ต้องการให้ผู้โจมตีเตรียมเป้าหมายให้ใช้ Edge ในโหมด Internet Explorer ก่อน ช่องโหว่นี้ถูกรายงานโดย Ahn Lab และศูนย์ความมั่นคงไซเบอร์แห่งชาติของเกาหลีใต้ บ่งชี้ว่าอาจถูกใช้ในการโจมตีโดยรัฐชาติ APT
– CVE-2024-38189 — ช่องโหว่การรันโค้ดจากระยะไกลใน Microsoft Project กำลังถูกโจมตีผ่านไฟล์ Microsoft Office Project ที่ถูกดัดแปลงบนระบบที่ไม่ได้ปิดใช้งานนโยบาย ‘Block macros from running in Office files from the Internet’ และไม่ได้เปิดใช้งาน ‘VBA Macro Notification Settings’ ทำให้ผู้โจมตีสามารถทำการรันโค้ดจากระยะไกลได้ CVSS 8.8/10
– CVE-2024-38107 — ช่องโหว่การยกระดับสิทธิ์ใน Windows Power Dependency Coordinator ได้รับการจัดระดับ “สำคัญ” ด้วยคะแนน CVSS 7.8/10 “ผู้โจมตีที่สามารถโจมตีช่องโหว่นี้ได้สำเร็จอาจได้รับสิทธิ์ระดับ SYSTEM” Microsoft กล่าวโดยไม่ได้ให้ข้อมูล IOC หรือข้อมูลการโจมตีเพิ่มเติม
– CVE-2024-38106 – พบการโจมตีที่พุ่งเป้าช่องโหว่การยกระดับสิทธิ์ในเคอร์เนลของ Windows ที่มีคะแนน CVSS 7.0/10 “การโจมตีช่องโหว่นี้ต้องการให้ผู้โจมตีชนะการแข่งเงื่อนไข (race condition) ผู้โจมตีที่สามารถโจมตีช่องโหว่นี้ได้สำเร็จอาจได้รับสิทธิ์ระดับ SYSTEM” ช่องโหว่นี้ถูกรายงานแบบไม่เปิดเผยชื่อถึง Microsoft
– CVE-2024-38213 — Microsoft อธิบายช่องโหว่นี้ว่าเป็นการหลบเลี่ยงคุณสมบัติความปลอดภัย Mark of the Web ที่ถูกโจมตีในเหตุการณ์จริง “ผู้โจมตีที่สามารถโจมตีช่องโหว่นี้ได้สำเร็จอาจหลบเลี่ยงประสบการณ์ผู้ใช้ของ SmartScreen”
– CVE-2024-38193 — ข้อบกพร่องด้านความปลอดภัยการยกระดับสิทธิ์ใน Windows Ancillary Function Driver for WinSock กำลังถูกโจมตีในโลกไซเบอร์ รายละเอียดทางเทคนิคและ IOC ยังไม่เปิดเผย “ผู้โจมตีที่สามารถโจมตีช่องโหว่นี้ได้สำเร็จอาจได้รับสิทธิ์ระดับ SYSTEM” Microsoft กล่าว
Microsoft ยังได้เรียกร้องให้ผู้ดูแลระบบ Windows ให้ความสำคัญกับข้อบกพร่องสำคัญใน Windows Reliable Multicast Transport Driver (RMCAST) ที่อาจทำให้เกิดการรันโค้ดจากระยะไกล (CVSS 9.8/10) ช่องโหว่การรันโค้ดจากระยะไกลสองช่องใน Windows Network Virtualization และปัญหาการเปิดเผยข้อมูลใน Azure Health Bot (CVSS 9.1)