Breaking News

เตือนช่องโหว่ Zero-day บน Windows แม้แต่ Windows 10 ที่อัปแพตช์ล่าสุดก็ไม่รอด

นักวิจัยด้านความมั่นคงปลอดภัยนาม SandboxEscaper ออกมาเปิดเผยถึงช่องโหว่ Zero-day บนระบบปฏิบัติการ Windows ซึ่งช่วยให้ Local User หรือมัลแวร์สามารถยกสิทธิ์ตัวเองให้อยู่ในระดับสูงสุดได้ แม้แต่ระบบปฏิบัติการ Windows แบบ 64 Bits ก็ไม่รอด

ช่องโหว่ Zero-day ที่กล่าวถึงนี้เป็นช่องโหว่ Privilege Escalation บนโปรแกรม Task Scheduler ของ Windows ซึ่งมีสาเหตุมาจากความผิดพลาดในการจัดการระบบ Advanced Local Procedure Call (ALPC) ซึ่งเป็นกลไกภายในระบบปฏิบัติสำหรับรับส่งข้อมูลระหว่างแต่ละโปรเซสได้รวดเร็วและมั่นคงปลอดภัยมากยิ่งขึ้น

SandboxEscaper ได้เปิดเผยช่องโหว่นี้พร้อมกับโค้ดสำหรับ PoC บน Github ซึ่งต่อมา Will Dormann นักวิเคราะห์ช่องโหว่จาก CERT/CC ได้ออกมายืนยันว่าเป็นช่องโหว่ที่ช่วยให้ Local User สามารถยกระดับสิทธิ์ของตนเป็นสิทธิ์ระดับ System ได้จริง สามารถดูรายละเอียดเพิ่มเติมได้ที่ Security Advisory

ถึงแม้ว่า ALPC Interface จะเป็น Local System เลยทำให้ช่องโหว่มีคะแนน CVSS ประมาณ 6.4 ถึง 6.8 จาก 10 แต่เนื่องจาก SandboxEscaper ได้เปิดเผยโค้ด PoC ออกมาด้วย ทำให้แฮ็กเกอร์อาจนำโค้ดดังกล่าวไปประยุกต์ใช้กับมัลแวร์ของตนเพื่อโจมตีผู้ใช้ Windows ได้ นอกจากนี้ SandboxEscaper ยังไม่ได้รายงานช่องโหว่ไปยัง Microsoft ส่งผลให้จนถึงตอนนี้ยังคงไม่มีแพตช์สำหรับอุดช่องโหว่ดังกล่าว

ที่มา: https://thehackernews.com/2018/08/windows-zero-day-exploit.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปิดลงทะเบียนแล้ว!! งานแข่ง Capture the Packet ครั้งแรกในไทย พร้อมร่วม Workshop และสัมมนาฟรี

TH-CTP ร่วมกับ AML Systems, EX Academy, Secure D Global และ Sosecure จัดงาน Capture the Packet …

Sponsored Webinar: สรุปสาระ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวทางการปกป้องข้อมูล

Bitdefender ขอเชิญเหล่า IT Manager, Security Engineer, System Admin และผู้ที่เกี่ยวข้องด้านความมั่นคงปลอดภัยไซเบอร์ เข้าร่วมฟังบรรยายในหัวข้อเรื่อง “สรุปสาระ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 …