TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ESET ผู้ให้บริการด้านโซลูชันความมั่นคงปลอดภัย Endpoint ได้พบมัลแวร์ที่ใช้ช่องโหว่ Zero Day ของ Windows Task Scheduler แล้ว โดยคาดว่าจะเป็นการโจมตีจากกลุ่มก่อการร้ายนามว่า ‘PowerPool’ (ชอบใช้เครื่องมือที่เขียนใน PowerShell) ซึ่งในเบื้องต้นจากการสำรวจผู้ร้ายได้มุ่งเป้าไปที่ GoogleUpdate.exe
ช่องโหว่ Zero Day ที่เกี่ยวกับ Task Scheduler ได้ถูกปล่อยออกมาเป็นโค้ด PoC ไม่กี่วันก่อนซึ่งจนถึงขณะนี้ยังไม่มีแพตช์จาก Microsoft ออกมาแต่คาดว่าจะมีการอัปเดตในวันที่ 11 กันยายน หรือรอบแพตช์ประจำเดือนนั่นเอง นอกจากนี้ช่องโหว่ที่สามารถทำให้เกิดการยกระดับสิทธิ์ไปสู่ SYSTEM (Privilege Escalation) ยังส่งผลกระทบตั้งแต่ Windows 7 ไปจนถึง Windows 10 เลยทีเดียว
PowerPool ไม่ได้ใช้ช่องโหว่ในเวอร์ชันที่เป็นไบนารี่เพราะได้ทำการแก้ไขโค้ดบางส่วนก่อนคอมไพล์ใหม่ ESET กล่าวว่า “ผู้ร้ายได้เปลี่ยนเนื้อหาของ C:\Program Files(x86)\Google\Update\GoogleUpdate.exe ซึ่งคือไฟล์อัปเดตปกติของแอปพลิเคชัน Google ที่ปกติแล้วรันด้วยสิทธิ์ Admin โดย Windows tasks” ผลลัพธ์จากการแก้ไขคือทำให้ผู้ร้ายสามารถเขียนทับ Google Updater ด้วยสำเนา Backdoor ที่ผู้ร้ายต้องการและครั้งต่อไปที่ Updater ถูกเรียกใช้ตัว Backdoor เองก็จะถูกใช้ในระดับสิทธิ์ SYSTEM
ที่มา : https://www.bleepingcomputer.com/news/security/windows-task-scheduler-zero-day-exploited-by-malware/
