Breaking News

เริ่มแล้ว! พบมัลแวร์เริ่มใช้งานช่องโหว่ Zero Day ของ Windows Task Scheduler

ESET ผู้ให้บริการด้านโซลูชันความมั่นคงปลอดภัย Endpoint ได้พบมัลแวร์ที่ใช้ช่องโหว่ Zero Day ของ Windows Task Scheduler แล้ว โดยคาดว่าจะเป็นการโจมตีจากกลุ่มก่อการร้ายนามว่า ‘PowerPool’ (ชอบใช้เครื่องมือที่เขียนใน PowerShell) ซึ่งในเบื้องต้นจากการสำรวจผู้ร้ายได้มุ่งเป้าไปที่ GoogleUpdate.exe

Credit: ShutterStock.com

ช่องโหว่ Zero Day ที่เกี่ยวกับ Task Scheduler ได้ถูกปล่อยออกมาเป็นโค้ด PoC ไม่กี่วันก่อนซึ่งจนถึงขณะนี้ยังไม่มีแพตช์จาก Microsoft ออกมาแต่คาดว่าจะมีการอัปเดตในวันที่ 11 กันยายน หรือรอบแพตช์ประจำเดือนนั่นเอง นอกจากนี้ช่องโหว่ที่สามารถทำให้เกิดการยกระดับสิทธิ์ไปสู่ SYSTEM (Privilege Escalation) ยังส่งผลกระทบตั้งแต่ Windows 7 ไปจนถึง Windows 10 เลยทีเดียว

PowerPool ไม่ได้ใช้ช่องโหว่ในเวอร์ชันที่เป็นไบนารี่เพราะได้ทำการแก้ไขโค้ดบางส่วนก่อนคอมไพล์ใหม่ ESET กล่าวว่าผู้ร้ายได้เปลี่ยนเนื้อหาของ C:\Program Files(x86)\Google\Update\GoogleUpdate.exe ซึ่งคือไฟล์อัปเดตปกติของแอปพลิเคชัน Google ที่ปกติแล้วรันด้วยสิทธิ์ Admin โดย Windows tasks” ผลลัพธ์จากการแก้ไขคือทำให้ผู้ร้ายสามารถเขียนทับ Google Updater ด้วยสำเนา Backdoor ที่ผู้ร้ายต้องการและครั้งต่อไปที่ Updater ถูกเรียกใช้ตัว Backdoor เองก็จะถูกใช้ในระดับสิทธิ์ SYSTEM

ที่มา : https://www.bleepingcomputer.com/news/security/windows-task-scheduler-zero-day-exploited-by-malware/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

VMware เปิดตัว nanoEDGE ใช้ VMware vSAN HCI ติดตั้งบน Edge Server ขนาดเล็ก รองรับ 25-50VM

Edge Computing นั้นได้กลายเป็น Workload หนึ่งที่เริ่มเข้ามามีบทบาทมากขึ้นเรื่อยๆ ในยุคของ Digital Transformation นี้ และทาง VMware เองก็ได้ทำการพัฒนาโซลูชัน nanoEDGE ขึ้นมา เพื่อให้ธุรกิจต่างๆ สามารถมี Edge Data Center ขนาดเล็กมากๆ ที่สามารถติดตั้ง VMware vSAN ในตัวได้ เพื่อรองรับการประมวลผลอย่างทนทาน

Red Hat OpenStack Platform 15 ออกแล้ว เน้นเสริม Security และรองรับ Cloud-Native มากขึ้น

Red Hat ได้ออกมาประกาศให้ Red Hat OpenStack Platform 15 เข้าสู่สถานะ General Availability แล้ว โดยต่อยอดมาจาก OpenStack Stein เพื่อรองรับการสร้าง Private Cloud บน Red Hat Enterprise Linux 8 ด้วยความสามารถใหม่ๆ ดังนี้