TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยจาก ESET หรือผลิตภัณฑ์ Antivirus ที่เรารู้จักกันดี ได้บังเอิญพบกับชิ้นส่วนของมัลแวร์ที่แฮ็กเกอร์พลาดเพราะดันไปอัปโหลตส่วนของ PDF ไฟล์ที่สร้างขึ้นและหวังใช้ช่องโหว่ Zero-day 2 รายการไปบนกลไกตัวสแกนมัลแวร์สาธารณะ ฝ่ายนักวิจัยจึงรีบแจ้งไปยัง Adobe และ Microsoft เพื่อทำแพตช์ป้องกัน
ช่องโหว่สองรายการคือ CVE-2018-4990 ส่งผลกระทบกับ Adobe Acrobat/Reader ส่งผลให้สามารถรันโค้ดที่ดัดแปลงขึ้นมาใน Acrobat Reader ได้ ส่วน CVE-2018-8120 ส่งผลกระทบกับส่วนประกอบ Win32K ของ Windows ทำให้ผู้โจมตีหนีออกมาจาก Sandbox ของ Adobe และ Execute โค้ดบน Windows ได้ โดยทางนักวิจัยคาดว่าช่องโหว่ทั้งสองจะถูกใช้เป็นการโจมตีแบบลูกโซ่ และได้อธิบายในรายงานว่า “ตัวอย่าง PDF อันตรายนั้นได้ถูกฝัง JavaScript เพื่อคอยควบคุมกระบวนการเจาะระบบ เมื่อเปิดไฟล์ PDF ตัว JavaScript ก็จะถูก Execute ” ขั้นตอนโดยสรุปมีดังนี้
-
เหยื่อได้รับ PDF อันตรายและเปิดไฟล์
-
JavaScript อันตรายถูกเรียกใช้และแทรกแทรง Button Object
-
ตัว Button Object จะมีภาพ JPEG2000 ที่ถูกประดิษฐ์มาพิเศษ พร้อมทั้งเกิดการ Trigger ช่องโหว่แบบ Double-free (ช่องโหว่ที่เกิดจากคำสั่ง Free() ซ้ำในตำแหน่งเดิมของ Memory ทำให้การจัดการหน่วยความจำผิดพลาดและนำไปสู่การอนุญาตให้ผู้โจมตีเขียนค่าลงในพื้นที่ของ Memory ได้ตามต้องการ) ใน Adobe Acrobat/Reader
-
ใช้เทคนิค Heap-spray ให้ได้รับการเข้าถึงเพื่ออ่านและเขียนหน่วยความจำ
-
โค้ด JavaScript เริ่มโจมตีกลไกการทำงานของ JavaScript ใน Adobe Reader
-
แฮ็กเกอร์ใช้คำสั่งของ Assembly เพื่อ Execute ตัว Shellcode (ส่วนเล็กๆ ของโค้ดที่เป็นส่วนประกอบของการเจาะระบบ หลายครั้งมักมีการเขียนเป็นภาษาระดับต่ำ) ของตัวเอง
-
Shellcode เริ่มการทำงานของ PE File (Portable Executable) ที่ฝังอยู่ใน PDF
-
Win32k ทำให้แฮ็กเกอร์สามารถยกระดับสิทธิ์การรันของไฟล์ PE ใน Kernel Mode และหลุดจาก Sandbox ของ Abobe/Reader เพื่อเข้าถึงในระดับ System
อย่างไรก็ตามนักวิจัยเริ่มสังเกตเห็นไฟล์อันตรายตั้งแต่ปลายเดือนมีนาคมซึ่งตอนนี้ทาง Adobe ได้ออกแพตช์แล้วใน APSB18-09 ส่วนของทาง Microsoft อยู่ในชุดแพตช์ประจำเดือนเมื่อวันอังคารที่ 8 ที่ผ่านมา ดังนั้นแนะนำผู้ใช้รีบอัปเดต
