ไมโครซอฟท์เตือนเกี่ยวกับช่องโหว่ของ OpenVPN และความเป็นไปได้ในการสร้างชุดการโจมตี ช่องโหว่ที่ถูกแก้ไขใน OpenVPN เวอร์ชัน 2.6.10

ไมโครซอฟท์เตือนเกี่ยวกับช่องโหว่ของ OpenVPN และความเป็นไปได้ในการสร้างชุดการโจมตี ช่องโหว่ที่ถูกแก้ไขใน OpenVPN เวอร์ชัน 2.6.10
Thanachart Security

ทำให้ผู้ใช้บนแพลตฟอร์ม Windows เสี่ยงต่อการถูกโจมตีแบบ Remote Code Execution (RCE)

ช่องโหว่เหล่านี้ ซึ่งได้รับการแก้ไขแล้วใน OpenVPN เวอร์ชัน 2.6.10 สร้างเงื่อนไขที่เหมาะสมสำหรับผู้โจมตีที่ไม่ประสงค์ดีในการสร้าง “ชุดการโจมตี” เพื่อเข้าควบคุมอุปกรณ์ที่เป็นเป้าหมายอย่างสมบูรณ์ ตามเอกสารใหม่จากทีมข่าวกรองภัยคุกคามของไมโครซอฟท์ในเมืองเรดมอนด์

ในขณะที่การประชุม Black Hat ได้ถูกโปรโมทว่าเป็นการอภิปรายเกี่ยวกับ Zero-Day แต่การเปิดเผยครั้งนี้ไม่ได้รวมข้อมูลเกี่ยวกับการถูกโจมตีในโลกแห่งความจริง และช่องโหว่เหล่านี้ได้รับการแก้ไขโดยกลุ่ม Open-Source ระหว่างการประสานงานกับไมโครซอฟท์อย่างเป็นความลับ

นักวิจัยของไมโครซอฟท์ วลาดิมีร์ โตกาเรฟ ได้ค้นพบข้อบกพร่องของซอฟต์แวร์ทั้งหมด 4 จุด ที่ส่งผลกระทบต่อฝั่งไคลเอนต์ของสถาปัตยกรรม OpenVPN ได้แก่:

– **CVE-2024-27459:** ส่งผลกระทบต่อส่วนประกอบ openvpnserv ทำให้ผู้ใช้ Windows เสี่ยงต่อการโจมตีแบบ Local Privilege Escalation (LPE)
– **CVE-2024-24974:** พบในส่วนประกอบ openvpnserv ทำให้สามารถเข้าถึงโดยไม่ได้รับอนุญาตบนแพลตฟอร์ม Windows
– **CVE-2024-27903:** ส่งผลกระทบต่อส่วนประกอบ openvpnserv ทำให้เกิดการโจมตีแบบ Remote Code Execution บนแพลตฟอร์ม Windows และการยกระดับสิทธิ์หรือการเปลี่ยนแปลงข้อมูลในแพลตฟอร์ม Android, iOS, macOS, และ BSD
– **CVE-2024-1305:** ใช้กับไดรเวอร์ Windows TAP ซึ่งอาจนำไปสู่สภาวะ Denial-of-Service (DoS) บนแพลตฟอร์ม Windows

ไมโครซอฟท์เน้นย้ำว่าการโจมตีช่องโหว่เหล่านี้ต้องการการยืนยันตัวตนของผู้ใช้และความเข้าใจในระบบภายในของ OpenVPN อย่างลึกซึ้ง อย่างไรก็ตาม หากผู้โจมตีสามารถเข้าถึงข้อมูลการยืนยันตัวตนของผู้ใช้ OpenVPN ได้ ไมโครซอฟท์เตือนว่าช่องโหว่เหล่านี้อาจถูกนำมารวมกันเพื่อสร้างชุดการโจมตีที่ซับซ้อนได้

“ผู้โจมตีสามารถใช้ช่องโหว่อย่างน้อยสามจากสี่ช่องโหว่ที่ค้นพบเพื่อสร้างชุดการโจมตีที่สามารถทำ RCE และ LPE ซึ่งสามารถถูกนำมารวมกันเพื่อสร้างชุดการโจมตีที่มีประสิทธิภาพสูงได้” ไมโครซอฟท์กล่าว

ในบางกรณี หลังจากการโจมตีแบบ Local Privilege Escalation สำเร็จแล้ว ไมโครซอฟท์เตือนว่าผู้โจมตีอาจใช้เทคนิคต่าง ๆ เช่น Bring Your Own Vulnerable Driver (BYOVD) หรือการโจมตีช่องโหว่ที่รู้จักแล้วเพื่อสร้างการอยู่รอดบนอุปกรณ์ที่ถูกโจมตี

“ด้วยเทคนิคเหล่านี้ ผู้โจมตีสามารถปิดการใช้งาน Protect Process Light (PPL) สำหรับกระบวนการสำคัญ เช่น Microsoft Defender หรือข้ามและรบกวนกระบวนการสำคัญอื่น ๆ ในระบบ ซึ่งการกระทำเหล่านี้ช่วยให้ผู้โจมตีสามารถข้ามการป้องกันด้านความปลอดภัยและควบคุมฟังก์ชันหลักของระบบได้อย่างสมบูรณ์ เพื่อหลีกเลี่ยงการถูกตรวจพบ” บริษัทเตือน

ไมโครซอฟท์แนะนำอย่างยิ่งให้ผู้ใช้ทำการอัปเดตแพตช์ที่มีอยู่ใน OpenVPN เวอร์ชัน 2.6.10

Credit : Securityweek.com

สอบถามข้อมูลเพิ่มเติม