แฮ็กเกอร์เตรียมใช้ช่องโหว่ Zero-day แต่ถูกจับได้ก่อน แนะผู้ใช้ควรอัปเดต

นักวิจัยจาก ESET หรือผลิตภัณฑ์ Antivirus ที่เรารู้จักกันดี ได้บังเอิญพบกับชิ้นส่วนของมัลแวร์ที่แฮ็กเกอร์พลาดเพราะดันไปอัปโหลตส่วนของ PDF ไฟล์ที่สร้างขึ้นและหวังใช้ช่องโหว่ Zero-day 2 รายการไปบนกลไกตัวสแกนมัลแวร์สาธารณะ ฝ่ายนักวิจัยจึงรีบแจ้งไปยัง Adobe และ Microsoft เพื่อทำแพตช์ป้องกัน

Credit: ShutterStock.com

ช่องโหว่สองรายการคือ CVE-2018-4990 ส่งผลกระทบกับ Adobe Acrobat/Reader ส่งผลให้สามารถรันโค้ดที่ดัดแปลงขึ้นมาใน Acrobat Reader ได้ ส่วน CVE-2018-8120 ส่งผลกระทบกับส่วนประกอบ Win32K ของ Windows ทำให้ผู้โจมตีหนีออกมาจาก Sandbox ของ Adobe และ Execute โค้ดบน Windows ได้ โดยทางนักวิจัยคาดว่าช่องโหว่ทั้งสองจะถูกใช้เป็นการโจมตีแบบลูกโซ่ และได้อธิบายในรายงานว่า “ตัวอย่าง PDF อันตรายนั้นได้ถูกฝัง JavaScript เพื่อคอยควบคุมกระบวนการเจาะระบบ เมื่อเปิดไฟล์ PDF ตัว JavaScript ก็จะถูก Execute ” ขั้นตอนโดยสรุปมีดังนี้

  • เหยื่อได้รับ PDF อันตรายและเปิดไฟล์
  • JavaScript อันตรายถูกเรียกใช้และแทรกแทรง Button Object
  • ตัว Button Object จะมีภาพ JPEG2000 ที่ถูกประดิษฐ์มาพิเศษ พร้อมทั้งเกิดการ Trigger ช่องโหว่แบบ Double-free (ช่องโหว่ที่เกิดจากคำสั่ง Free() ซ้ำในตำแหน่งเดิมของ Memory ทำให้การจัดการหน่วยความจำผิดพลาดและนำไปสู่การอนุญาตให้ผู้โจมตีเขียนค่าลงในพื้นที่ของ Memory ได้ตามต้องการ) ใน Adobe Acrobat/Reader
  • ใช้เทคนิค Heap-spray ให้ได้รับการเข้าถึงเพื่ออ่านและเขียนหน่วยความจำ
  • โค้ด JavaScript เริ่มโจมตีกลไกการทำงานของ JavaScript ใน Adobe Reader
  • แฮ็กเกอร์ใช้คำสั่งของ Assembly เพื่อ Execute ตัว Shellcode (ส่วนเล็กๆ ของโค้ดที่เป็นส่วนประกอบของการเจาะระบบ หลายครั้งมักมีการเขียนเป็นภาษาระดับต่ำ) ของตัวเอง
  • Shellcode เริ่มการทำงานของ PE File (Portable Executable) ที่ฝังอยู่ใน PDF
  • Win32k ทำให้แฮ็กเกอร์สามารถยกระดับสิทธิ์การรันของไฟล์ PE ใน Kernel Mode และหลุดจาก Sandbox ของ Abobe/Reader เพื่อเข้าถึงในระดับ System

อย่างไรก็ตามนักวิจัยเริ่มสังเกตเห็นไฟล์อันตรายตั้งแต่ปลายเดือนมีนาคมซึ่งตอนนี้ทาง Adobe ได้ออกแพตช์แล้วใน APSB18-09 ส่วนของทาง Microsoft อยู่ในชุดแพตช์ประจำเดือนเมื่อวันอังคารที่ 8 ที่ผ่านมา ดังนั้นแนะนำผู้ใช้รีบอัปเดต

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2018-patch-tuesday-fixes-67-security-issues-including-ie-zero-day/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เปลี่ยนประสบการณ์การทำงานและการให้บริการ ผสานข้อมูล Location ภายในอาคารเข้ากับ Application ของธุรกิจและองค์กร

"ประสบการณ์" ได้กลายเป็นประเด็นสำคัญที่หลายๆ ธุรกิจเริ่มหยิบยกมาเป็นประเด็นแข่งขันเพื่อเอาชนะใจลูกค้าด้วย Customer Experience ไปจนถึงการเพิ่มประสิทธิภาพการทำงานของพนักงานในองค์กรเองก็ตามที ซึ่ง Aruba ผู้นำทางด้านระบบเครือข่ายสำหรับธุรกิจองค์กรเองนั้น ก็ได้มีลูกค้าทั่วโลกมากมายที่ทำการเปลี่ยนประสบการณ์ทั้งสำหรับลูกค้าและพนักงานภายในองค์กร ด้วยการนำข้อมูล Location หรือตำแหน่งภายในอาคารมาประยุกต์ใช้ เพื่อสร้างประสบการณ์รูปแบบใหม่ให้กับสินค้า, บริการ และกระบวนการในการทำงานต่างๆ ให้ดียิ่งขึ้นในมุมที่หลายคนอาจคิดไม่ถึงกันมาก่อน

Tenable Webinar: ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable

Tenable ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT Security, ผู้จัดการ IT, ทีมงาน Security Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable" เพื่อทำความรู้จักกับ Cyber Exposure, บทเรียนด้าน Cybersecurity จากเหตุการณ์ต่างๆ และการประยุกต์นำพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์มาใช้เสริมความมั่นคงปลอดภัยให้กับธุรกิจองค์กร ในวันพุธที่ 7 สิงหาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้