TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
SandboxEscaper นักวิจัยด้านความมั่นคงปลอดภัยที่ก่อนหน้านี้ได้ออกมาเปิดเผยช่องโหว่ Zero-day บน Microsoft Windows Task Scheduler ซึ่งช่วยให้ Local User สามารถยกสิทธิ์ตัวเองให้อยู่ในระดับสูงสุดได้ ล่าสุดได้เผยแพร่ช่องโหว่ Zero-day ใหม่ที่ตนเองเพิ่งค้นพบบน Windows ที่อัปเดตแพตช์ล่าสุด พร้อมโค้ด PoC ผ่านทาง Twitter ของตน
https://t.co/1Of8EsOW8z Here’s a low quality bug that is a pain to exploit.. still unpatched. I’m done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.
— SandboxEscaper (@SandboxEscaper) 23 ตุลาคม 2561
ช่องโหว่ Zero-day ที่ค้นพบนี้เป็นช่องโหว่ Privilege Escalation บน Microsoft Data Sharing (dssvc.dll) ซึ่งเป็น Local Service ที่รันโดยใช้ LocalSystem Account ที่มาพร้อมกับสิทธิ์เพิ่มเติมบางอย่างสำหรับให้บริการ Data Brokering ระหว่างแอปพลิเคชัน
ช่องโหว่ดังกล่าวช่วยให้แฮ็กเกอร์ที่มีสิทธิ์ต่ำสามารถยกระดับสิทธิ์ของตนขึ้นมาบนเครื่องเป้าหมายได้ โดย SandboxEscaper ได้เผยแพร่โค้ด PoC สำหรับโจมตีช่องโหว่ผ่านทาง Github (delete.exe) ซึ่งช่วยให้ผู้ใช้ที่มีสิทธิ์ต่ำสามารถลบไฟล์ระบบที่สำคัญบนเครื่องได้ ทั้งๆ ที่โดยปกติต้องใช้สิทธิ์ระดับ Admin เท่านั้น
อย่างไรก็ตาม Microsoft Data Sharing Service เป็นฟีเจอร์บนระบบปฏิบัติการ Windows 10 และ Windows Server เวอร์ชันใหม่ๆ เท่านั้น ส่งผลให้ระบบปฏิบัติ Windows รุ่นเก่าอย่าง 7 และ 8.1 ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว
จากการทดสอบพบว่า โค้ด PoC สำหรับโจมตีช่องโหว่นี้สามารถใช้ได้ผลบน Windows 10 ที่มีการอัปเดตแพตช์ล่าสุด (แพตช์ประจำเดือนตุลาคม 2018), Windows Server 2016 และ Windows Server 2019
จนถึงตอนนี้ยังไม่มีแพตช์เพื่ออุดช่องโหว่ Zero-day ดังกล่าวแต่อย่างใด คาดว่า Microsoft คงออกแพตช์ในวันที่ 13 พฤศจิกายนนี้
ที่มา: https://thehackernews.com/2018/10/windows-zero-day-exploit.html
