ช่องโหว่ Zero-Day บน Windows ถูกโจมตีโดยรัสเซียผ่านการลากวางไฟล์และลบไฟล์
การใช้ประโยชน์จากช่องโหว่ Zero-Day ใหม่ในระบบปฏิบัติการ Windows ถูกกระตุ้นผ่านการกระทำง่าย ๆ เช่น การลบไฟล์ การลากและวางไฟล์ หรือการคลิกขวาไฟล์ ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดอันตรายบนระบบเป้าหมายได้อย่างง่ายดาย.
ช่องโหว่ Zero-Day ใหม่บน Windows ถูกโจมตีโดยรัสเซียผ่านการลบหรือคลิกขวาไฟล์
ช่องโหว่ Zero-Day ใหม่ที่เพิ่งได้รับการแก้ไขใน Windows สามารถถูกใช้ประโยชน์ได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งานมากนัก เช่น การลบไฟล์หรือคลิกขวาไฟล์ ตามคำเตือนของบริษัทความปลอดภัยไซเบอร์ ClearSky
ช่องโหว่นี้มีรหัสติดตามคือ CVE-2024-43451 และถูกจัดอยู่ในระดับความรุนแรงปานกลาง โดยส่งผลกระทบต่อ MSHTM engine ซึ่งยังคงถูกใช้งานผ่าน WebBrowser control โดย Edge ในโหมด Internet Explorer และในแอปพลิเคชันอื่น ๆ ทำให้เสี่ยงต่อข้อบกพร่องด้านความปลอดภัยในส่วนประกอบนี้
การโจมตีสำเร็จบนช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีขโมย NTLMv2 hash ของเหยื่อ และใช้มันในการโจมตีแบบ pass-the-hash เพื่อรับรองความถูกต้องในฐานะผู้ใช้เป้าหมาย
>> “การกระทำเพียงเล็กน้อยกับไฟล์ที่เป็นอันตราย เช่น การเลือกไฟล์ (คลิกครั้งเดียว), การตรวจสอบไฟล์ (คลิกขวา), หรือการกระทำใด ๆ ที่ไม่ใช่การเปิดหรือรันไฟล์ อาจกระตุ้นช่องโหว่นี้ได้” Microsoft ระบุในคำแนะนำเมื่อวันที่ 12 พฤศจิกายน <<
การโจมตีที่เกิดขึ้น
ClearSky ซึ่งค้นพบช่องโหว่นี้และรายงานให้ Microsoft ตั้งแต่เดือนมิถุนายน 2024 ระบุว่า การกระทำที่ดูเหมือนไม่เป็นอันตราย เช่น การลบไฟล์หรือการลากและวางไฟล์ไปยังโฟลเดอร์อื่น อาจเป็นการกระตุ้นการโจมตีที่ซ่อนอยู่ในไฟล์ URL
ClearSky พบว่าช่องโหว่นี้ถูกใช้งานในโลกจริงโดยกลุ่มผู้โจมตีที่คาดว่าเป็นรัสเซียในเป้าหมายที่เกี่ยวข้องกับหน่วยงานในยูเครน
เหยื่อได้รับอีเมลฟิชชิงที่ส่งจากเซิร์ฟเวอร์รัฐบาลยูเครนที่ถูกโจมตี โดยเนื้อหาในอีเมลให้ต่ออายุใบรับรองทางวิชาการและนำเหยื่อไปยังไฟล์ ZIP ที่เป็นอันตรายซึ่งถูกดาวน์โหลดจากเว็บไซต์ทางการของรัฐบาล
ไฟล์ ZIP ประกอบด้วยไฟล์สองไฟล์ คือ เอกสาร PDF และไฟล์ URL ที่มีเป้าหมายเพื่อโจมตีช่องโหว่สองรายการที่รู้จัก (CVE-2023-320462 และ CVE-2023-360251) และยังออกแบบมาเพื่อโจมตีช่องโหว่ Zero-Day ที่เพิ่งถูกเปิดเผยนี้
>> “เมื่อผู้ใช้โต้ตอบกับไฟล์ URL เช่น การคลิกขวา การลบ หรือการย้ายไฟล์ ช่องโหว่จะถูกกระตุ้น และจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ของผู้โจมตีเพื่อดาวน์โหลดไฟล์อันตรายเพิ่มเติม เช่น มัลแวร์ SparkRAT” ClearSky อธิบายในรายงานทางเทคนิค <<
ความเสี่ยงที่แตกต่างตามระบบปฏิบัติการ
บน Windows 10 และ Windows 11 ไฟล์ URL จะสร้างการสื่อสารกับเซิร์ฟเวอร์ทันทีเมื่อมีการโต้ตอบใด ๆ ขณะที่บน Windows 7, 8 และ 8.1 ช่องโหว่จะถูกกระตุ้นหลังจากพยายามหลายครั้ง
ClearSky ระบุว่าสิ่งนี้แสดงให้เห็นว่า ช่องโหว่ใหม่นี้สามารถโจมตีได้ง่ายกว่าบนระบบปฏิบัติการ Windows 10/11
ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) เชื่อว่าช่องโหว่นี้ถูกใช้ในฐานะ Zero-Day โดยกลุ่มผู้โจมตีที่ถูกติดตามในชื่อ UAC-0194 ซึ่งคาดว่าเป็นกลุ่มจากรัสเซีย และ ClearSky ระบุว่ากลุ่มนี้ใช้เครื่องมือและเทคนิคที่คล้ายกับกลุ่มอื่น ๆ ที่เป็นที่รู้จัก.
Credit: Securityweek.com
