นักวิจัยดัดแปลงช่องโหว่ที่หลุดจาก NSA ให้ทำงานได้กับ Windows 2000 จนถึงเวอร์ชันปัจจุบัน

นักวิจัยจาก RiskSense ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ได้นำช่องโหว่ที่หลุดจาก NSA อย่าง EternalChampion, EternalRomance และ EternalSynergy ที่กลุ่มแฮ็กเกอร์ The Shadow Brokers ได้อ้างว่าขโมยออกมาตั้งแต่เมษายนปีที่แล้ว มาดัดแปลงจนมันสามารถใช้ได้กับ Windows ตั้งแต่ 2000 เป็นต้นมาจนถึงปัจจุบัน

 

credit : logos.wikia.com

แม้ว่าช่องโหว่เหล่านี้อาจจะไม่ดังเท่ากับช่องโหว่อย่าง EternalBlue ที่ถูกใช้โดย WannaCry, NotPetya และอื่นๆ เนื่องจากมันสามารถใช้ได้กับเพียง Windows บางเวอร์ชันเท่านั้น แต่ Sean Dillon นักวิจัยด้านความมั่นคงปลอดภัยได้ดัดแปลงโค้ดของช่องโหว่เหล่านี้ให้สามารถทำงานและรันโค้ดในระดับ System บน Windows ในหลากหลายเวอร์ชันมากกว่าเดิม โดยนักวิจัยได้ทำการรวมเวอร์ชันแก้ไขที่พัฒนาขึ้นเข้าไปยัง Matasploit เรียบร้อยแล้ว โดย Dillon ได้ใช้ประโยชน์จากช่องโหว่ด้านล่างในการดัดแปลงโค้ดเป็นเวอร์ชันใหม่ “มันจะเขียนทับโครงสร้างของเซสชันการเชื่อมต่อ SMB เพื่อได้รับรับเซสชันของ Admin หรือ System แทนการ Execute Shellcode“– Dillon กล่าว ผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้ที่นี่

CVE
Vulnerability
Exploited by
CVE-2017-0143
Type confusion between WriteAndX and Transaction requests
EternalRomance
EternalSynergy
CVE-2017-0146
Race condition with Transaction requests
EternalChampion
EternalSynergy

นอกจากนี้ Dillon ได้ลิสต์ชื่อ Windows เวอร์ชันที่สามารถใช้โค้ดดัดแปลงนี้ได้ตามด้านล่าง โดยนักวิจัยหลายท่านได้เริ่มมีการยืนยันมาแล้วว่ามันสามารถใช้งานได้จริง

credit : Bleeping Computer

ที่มาเนื้อหา รูปภาพและตาราง : https://www.bleepingcomputer.com/news/security/nsa-exploits-ported-to-work-on-all-windows-versions-released-since-windows-2000/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถทำรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS …

True IDC ผ่านมาตรฐาน PCI-DSS เพิ่มความแกร่งบริการ Data Center ต่อยอดรองรับธุรกิจด้านการเงินเต็มรูปแบบ

True IDC ผู้นำธุรกิจ Data Center และ Cloud Computing แบบครบวงจรในประเทศไทย ผ่านการตรวจประเมินมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับการชำระเงินผ่านบัตรอย่าง PCI-DSS 3.2 พร้อมให้บริการ Infrastructure แก่สถาบันการเงิน ธุรกิจประกันภัย …