Google กล่าวโทษ Microsoft ที่ไม่ได้แพตซ์ Bug ใน Windows 10 ที่ตนแจ้งให้เรียบร้อย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Google กล่าวว่า Microsoft ไม่ได้แพตซ์ช่องโหว่ที่ตนแจ้งให้เรียบร้อยที่มีผลกระทบกับ Windows 10 และ Windows Server 2016 ในส่วนของการย้ายไฟล์และกระบวนการของ Storage โดยเกี่ยวกับฟังก์ชัน ‘SvcMoveFileInheritSecurity’ ที่ถูกเรียกใช้งานทุกครั้งเมื่อมีการย้ายไฟล์

Credit: alexmillos/ShutterStock

ช่องโหว่นี้ทำให้แฮ็กเกอร์ได้รับสิทธิ์ระดับผู้ดูแลได้ 

James Forshaw นักวิจัยจากทีม Project Zero ของ Google ได้ทำการแจ้ง Bug ของช่วงโหว่ไปตั้งแต่เดือนพฤศจิกายนแล้ว ซึ่งมีวิธีการ 2 วิธีที่จะนำช่องโหว่นี้ไปใช้ยกระดับสิทธิ์บน Windows โดยมีหมายเลขอ้างอิงของช่องโหว่คือ CVE-2018-0826 ผลคือทำให้ผู้โจมตีสามารถทำสำเนาหรือเขียนไฟล์ไปยังปลายทางที่ไม่ควรทำได้อย่าง \Windows เป็นต้น ซึ่งบางครั้งไฟล์หรือโฟลเดอร์ย่อยเหล่านั้นสามารถถูก Execute ได้อย่างอัตโนมัติเพราะได้รับความไว้วางใจจากแอปพลิเคชันต่างๆ ว่ามันเป็นส่วนหนึ่งของ Windows เอง ดังนั้นช่องโหว่นี้จึงอาจจะถูกนำไปใช้เพื่อยกระดับสิทธิ์ได้ไม่ยาก

ปัญหาที่เกิดขึ้น

Forshaw ได้กล่าวว่าตนได้ระบุถึง 2 วิธีของการใช้ช่องโหว่แต่ Microsoft ออกแพตซ์มาเพียงวิธีแรกเท่านั้นซึ่งผิดพลาดอย่างมาก ดังนั้นผู้ใช้งานจึงยังไม่ปลอดภัยจากช่องโหว่นี้ อย่างไรก็ตาม Windows ตั้งแต่ 8.1 ลงไปไม่ได้รับผลกระทบอีกทั้งมันไม่สามารถใช้งานจากระยะไกลได้ รวมถึงมันไม่สามารถใช้งานจากระบบ Sandbox ที่มีใน Edge และ Chrome ได้ แต่ช่องโหว่นี้จัดอยู่ในระดับความรุนแรงสูงเลยทีเดียว

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-10-vulnerability-but-doesnt/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ธุรกิจ Cloud ทำให้รายได้ Q2/2565 ของ Microsoft พุ่ง 20%

บริษัท Microsoft มีการประกาศผลประกอบการของไตรมาสที่ 2 ประจำปี 2565 ออกมาให้เห็นตัวเลขการเติบโตเรียบร้อยแล้ว และเมื่อนำมาเปรียบเทียบในปฏิทินเวลาเดียวกันของปีที่ผ่านมา จะเห็นตัวเลขรายได้ที่เพิ่มขึ้นได้อย่างชัดเจน โดยในปีงบประมาณ 2565 บริษัท Microsoft มีรายได้อยู่ที่ 51.7 …

HP ประกาศเปิดตัว 3 กลุ่มผลิตภัณฑ์ ในครึ่งปีแรก

HP หนึ่งในแบรนด์กลุ่มสินค้า PC Desktop และ Notebook ประกาศเปิดตัวผลิตภัณฑ์รุ่นใหม่ และมีแผนวางจำหน่ายในช่วง 2 ไตรมาสแรก ปี 2022 ในทั้ง 3 กลุ่มผลิตภัณฑ์ …