Breaking News

แฮ็กเกอร์เตรียมใช้ช่องโหว่ Zero-day แต่ถูกจับได้ก่อน แนะผู้ใช้ควรอัปเดต

นักวิจัยจาก ESET หรือผลิตภัณฑ์ Antivirus ที่เรารู้จักกันดี ได้บังเอิญพบกับชิ้นส่วนของมัลแวร์ที่แฮ็กเกอร์พลาดเพราะดันไปอัปโหลตส่วนของ PDF ไฟล์ที่สร้างขึ้นและหวังใช้ช่องโหว่ Zero-day 2 รายการไปบนกลไกตัวสแกนมัลแวร์สาธารณะ ฝ่ายนักวิจัยจึงรีบแจ้งไปยัง Adobe และ Microsoft เพื่อทำแพตช์ป้องกัน

Credit: ShutterStock.com

ช่องโหว่สองรายการคือ CVE-2018-4990 ส่งผลกระทบกับ Adobe Acrobat/Reader ส่งผลให้สามารถรันโค้ดที่ดัดแปลงขึ้นมาใน Acrobat Reader ได้ ส่วน CVE-2018-8120 ส่งผลกระทบกับส่วนประกอบ Win32K ของ Windows ทำให้ผู้โจมตีหนีออกมาจาก Sandbox ของ Adobe และ Execute โค้ดบน Windows ได้ โดยทางนักวิจัยคาดว่าช่องโหว่ทั้งสองจะถูกใช้เป็นการโจมตีแบบลูกโซ่ และได้อธิบายในรายงานว่า “ตัวอย่าง PDF อันตรายนั้นได้ถูกฝัง JavaScript เพื่อคอยควบคุมกระบวนการเจาะระบบ เมื่อเปิดไฟล์ PDF ตัว JavaScript ก็จะถูก Execute ” ขั้นตอนโดยสรุปมีดังนี้

  • เหยื่อได้รับ PDF อันตรายและเปิดไฟล์
  • JavaScript อันตรายถูกเรียกใช้และแทรกแทรง Button Object
  • ตัว Button Object จะมีภาพ JPEG2000 ที่ถูกประดิษฐ์มาพิเศษ พร้อมทั้งเกิดการ Trigger ช่องโหว่แบบ Double-free (ช่องโหว่ที่เกิดจากคำสั่ง Free() ซ้ำในตำแหน่งเดิมของ Memory ทำให้การจัดการหน่วยความจำผิดพลาดและนำไปสู่การอนุญาตให้ผู้โจมตีเขียนค่าลงในพื้นที่ของ Memory ได้ตามต้องการ) ใน Adobe Acrobat/Reader
  • ใช้เทคนิค Heap-spray ให้ได้รับการเข้าถึงเพื่ออ่านและเขียนหน่วยความจำ
  • โค้ด JavaScript เริ่มโจมตีกลไกการทำงานของ JavaScript ใน Adobe Reader
  • แฮ็กเกอร์ใช้คำสั่งของ Assembly เพื่อ Execute ตัว Shellcode (ส่วนเล็กๆ ของโค้ดที่เป็นส่วนประกอบของการเจาะระบบ หลายครั้งมักมีการเขียนเป็นภาษาระดับต่ำ) ของตัวเอง
  • Shellcode เริ่มการทำงานของ PE File (Portable Executable) ที่ฝังอยู่ใน PDF
  • Win32k ทำให้แฮ็กเกอร์สามารถยกระดับสิทธิ์การรันของไฟล์ PE ใน Kernel Mode และหลุดจาก Sandbox ของ Abobe/Reader เพื่อเข้าถึงในระดับ System

อย่างไรก็ตามนักวิจัยเริ่มสังเกตเห็นไฟล์อันตรายตั้งแต่ปลายเดือนมีนาคมซึ่งตอนนี้ทาง Adobe ได้ออกแพตช์แล้วใน APSB18-09 ส่วนของทาง Microsoft อยู่ในชุดแพตช์ประจำเดือนเมื่อวันอังคารที่ 8 ที่ผ่านมา ดังนั้นแนะนำผู้ใช้รีบอัปเดต

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2018-patch-tuesday-fixes-67-security-issues-including-ie-zero-day/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ร้านค้าปลีกในสหรัฐกว่า 90% สอบตกมาตรฐาน PCI DSS

SecurityScorecard ได้จัดทำการวิเคราะห์ร้านกว่า 1,444 แห่งที่อยู่ในอุตสาหกรรมค้าปลีกระหว่างเดือนตุลาคม 2017 ถึง มีนาคม 2018 พบว่าร้านค้าส่วนใหญ่ไม่ได้มาตรฐาน PCI DSS

ใครคือผู้รับผิดชอบที่แอปพลิเคชัน Third-party สามารถเข้าถึงข้อมูล Gmail ได้

Google ได้แถลงการณ์ยอมรับอย่างเป็นทางการต่อฝ่ายนิติบัญญัติของสหรัฐฯ ว่าตนได้อนุญาตให้แอปพลิเคชัน Third-party เข้าถึงและแชร์ข้อมูลของ Gmail ได้ แต่วันนี้เรามีอีกมุมมองจาก Howtogeek ที่จะมาเจาะลึกถึงเหตุผลว่าแท้จริงแล้วใครคือผู้ที่ต้องรับผิดชอบกันแน่