แฮ็กเกอร์เตรียมใช้ช่องโหว่ Zero-day แต่ถูกจับได้ก่อน แนะผู้ใช้ควรอัปเดต

นักวิจัยจาก ESET หรือผลิตภัณฑ์ Antivirus ที่เรารู้จักกันดี ได้บังเอิญพบกับชิ้นส่วนของมัลแวร์ที่แฮ็กเกอร์พลาดเพราะดันไปอัปโหลตส่วนของ PDF ไฟล์ที่สร้างขึ้นและหวังใช้ช่องโหว่ Zero-day 2 รายการไปบนกลไกตัวสแกนมัลแวร์สาธารณะ ฝ่ายนักวิจัยจึงรีบแจ้งไปยัง Adobe และ Microsoft เพื่อทำแพตช์ป้องกัน

Credit: ShutterStock.com

ช่องโหว่สองรายการคือ CVE-2018-4990 ส่งผลกระทบกับ Adobe Acrobat/Reader ส่งผลให้สามารถรันโค้ดที่ดัดแปลงขึ้นมาใน Acrobat Reader ได้ ส่วน CVE-2018-8120 ส่งผลกระทบกับส่วนประกอบ Win32K ของ Windows ทำให้ผู้โจมตีหนีออกมาจาก Sandbox ของ Adobe และ Execute โค้ดบน Windows ได้ โดยทางนักวิจัยคาดว่าช่องโหว่ทั้งสองจะถูกใช้เป็นการโจมตีแบบลูกโซ่ และได้อธิบายในรายงานว่า “ตัวอย่าง PDF อันตรายนั้นได้ถูกฝัง JavaScript เพื่อคอยควบคุมกระบวนการเจาะระบบ เมื่อเปิดไฟล์ PDF ตัว JavaScript ก็จะถูก Execute ” ขั้นตอนโดยสรุปมีดังนี้

  • เหยื่อได้รับ PDF อันตรายและเปิดไฟล์
  • JavaScript อันตรายถูกเรียกใช้และแทรกแทรง Button Object
  • ตัว Button Object จะมีภาพ JPEG2000 ที่ถูกประดิษฐ์มาพิเศษ พร้อมทั้งเกิดการ Trigger ช่องโหว่แบบ Double-free (ช่องโหว่ที่เกิดจากคำสั่ง Free() ซ้ำในตำแหน่งเดิมของ Memory ทำให้การจัดการหน่วยความจำผิดพลาดและนำไปสู่การอนุญาตให้ผู้โจมตีเขียนค่าลงในพื้นที่ของ Memory ได้ตามต้องการ) ใน Adobe Acrobat/Reader
  • ใช้เทคนิค Heap-spray ให้ได้รับการเข้าถึงเพื่ออ่านและเขียนหน่วยความจำ
  • โค้ด JavaScript เริ่มโจมตีกลไกการทำงานของ JavaScript ใน Adobe Reader
  • แฮ็กเกอร์ใช้คำสั่งของ Assembly เพื่อ Execute ตัว Shellcode (ส่วนเล็กๆ ของโค้ดที่เป็นส่วนประกอบของการเจาะระบบ หลายครั้งมักมีการเขียนเป็นภาษาระดับต่ำ) ของตัวเอง
  • Shellcode เริ่มการทำงานของ PE File (Portable Executable) ที่ฝังอยู่ใน PDF
  • Win32k ทำให้แฮ็กเกอร์สามารถยกระดับสิทธิ์การรันของไฟล์ PE ใน Kernel Mode และหลุดจาก Sandbox ของ Abobe/Reader เพื่อเข้าถึงในระดับ System

อย่างไรก็ตามนักวิจัยเริ่มสังเกตเห็นไฟล์อันตรายตั้งแต่ปลายเดือนมีนาคมซึ่งตอนนี้ทาง Adobe ได้ออกแพตช์แล้วใน APSB18-09 ส่วนของทาง Microsoft อยู่ในชุดแพตช์ประจำเดือนเมื่อวันอังคารที่ 8 ที่ผ่านมา ดังนั้นแนะนำผู้ใช้รีบอัปเดต

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2018-patch-tuesday-fixes-67-security-issues-including-ie-zero-day/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนมัลแวร์ Roaming Mantis เริ่มพุ่งเป้า Apple iOS และ PC ทั่วโลก

หลังจากที่ Roaming Mantis ซึ่งเป็นมัลแวร์ DNS Hijacking เริ่มแพร่ระบาดเมื่อปลายเดือนเมษายนที่ผ่านมา โดยพุ่งเป้าอุปกรณ์ Android ในเขตภูมิภาคเอเชียตะวันออกเฉียงใต้ ล่าสุดพบว่าแฮ็กเกอร์เบื้องหลังมัลแวร์ได้ทำการอัปเกรดให้สามารถโจมตีอุปกรณ์ Apple iOS และ Desktop …

M.Tech กลับมาขาย Citrix อีกครั้ง เตรียมดัน NetScaler ตอบโจทย์ Multi-Cloud สำหรับองค์กร

เมื่อต้นปี 2018 ที่ผ่านมา ทาง M.Tech และ Citrix ได้ประกาศความเป็นพันธมิตรร่วมกันอีกครั้งหนึ่ง ให้ M.Tech ได้กลับมาเป็น Distributor ให้กับ Citrix และผลักดันตลาดของ …