เริ่มแล้ว! พบมัลแวร์เริ่มใช้งานช่องโหว่ Zero Day ของ Windows Task Scheduler

ESET ผู้ให้บริการด้านโซลูชันความมั่นคงปลอดภัย Endpoint ได้พบมัลแวร์ที่ใช้ช่องโหว่ Zero Day ของ Windows Task Scheduler แล้ว โดยคาดว่าจะเป็นการโจมตีจากกลุ่มก่อการร้ายนามว่า ‘PowerPool’ (ชอบใช้เครื่องมือที่เขียนใน PowerShell) ซึ่งในเบื้องต้นจากการสำรวจผู้ร้ายได้มุ่งเป้าไปที่ GoogleUpdate.exe

Credit: ShutterStock.com

ช่องโหว่ Zero Day ที่เกี่ยวกับ Task Scheduler ได้ถูกปล่อยออกมาเป็นโค้ด PoC ไม่กี่วันก่อนซึ่งจนถึงขณะนี้ยังไม่มีแพตช์จาก Microsoft ออกมาแต่คาดว่าจะมีการอัปเดตในวันที่ 11 กันยายน หรือรอบแพตช์ประจำเดือนนั่นเอง นอกจากนี้ช่องโหว่ที่สามารถทำให้เกิดการยกระดับสิทธิ์ไปสู่ SYSTEM (Privilege Escalation) ยังส่งผลกระทบตั้งแต่ Windows 7 ไปจนถึง Windows 10 เลยทีเดียว

PowerPool ไม่ได้ใช้ช่องโหว่ในเวอร์ชันที่เป็นไบนารี่เพราะได้ทำการแก้ไขโค้ดบางส่วนก่อนคอมไพล์ใหม่ ESET กล่าวว่าผู้ร้ายได้เปลี่ยนเนื้อหาของ C:\Program Files(x86)\Google\Update\GoogleUpdate.exe ซึ่งคือไฟล์อัปเดตปกติของแอปพลิเคชัน Google ที่ปกติแล้วรันด้วยสิทธิ์ Admin โดย Windows tasks” ผลลัพธ์จากการแก้ไขคือทำให้ผู้ร้ายสามารถเขียนทับ Google Updater ด้วยสำเนา Backdoor ที่ผู้ร้ายต้องการและครั้งต่อไปที่ Updater ถูกเรียกใช้ตัว Backdoor เองก็จะถูกใช้ในระดับสิทธิ์ SYSTEM

ที่มา : https://www.bleepingcomputer.com/news/security/windows-task-scheduler-zero-day-exploited-by-malware/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เสริม Security ให้ระบบเครือข่ายด้วย AI กับ Aruba IntroSpect

หนึ่งในเทรนด์หลักทางด้าน Network ในระยะนี้ก็คงหนีไม่พ้นเรื่องของการประยุกต์นำศาสตร์ทางด้าน Artificial Intelligence หรือ AI มาใช้ในแง่มุมต่างๆ ภายในระบบเครือข่าย Aruba Networks ในฐานะของผู้นำเทคโนโลยีเครือข่ายสำหรับองค์กรเองก็ไม่พลาดที่จะขึ้นเป็นผู้นำเทรนด์นี้ ด้วยการนำ AI เข้ามาใช้เพื่อเสริม Security ให้กับระบบเครือข่ายของธุรกิจองค์กรให้รัดกุมยิ่งขึ้น ภายใต้โซลูชัน Aruba IntroSpect ที่วิเคราะห์ข้อมูลจากทั้ง Traffic ในระบบเครือข่ายและผู้ใช้งานไปพร้อมๆ กัน

สัมภาษณ์พิเศษผู้บริหาร Digitalcom : แนวโน้มของตลาดกล้องวงจรปิดในปัจจุบัน

อุปกรณ์กล้องวงจรปิดถือเป็นหนึ่งในโซลูชันด้านความมั่นคงปลอดภัยเชิงกายภาพที่ โรงงาน องค์กร และห้างร้าน จะขาดเสียไม่ได้ อย่างไรก็ตามปัจจุบันก็มีแบรนด์ต่างๆ เกิดขึ้นมาให้เราเลือกอย่างมากมาย แต่เราจะมั่นใจได้อย่างไรว่าอุปกรณ์นั้นจะใช้ได้จริงไม่กลายเป็นกล้อง Dummy คุณภาพการถ่ายเวลากลางคืนเป็นอย่างไร หรือแม้กระทั่งบริการหลังการขาย โดยเมื่อไม่กี่วันที่ผ่านมาทางทีมงาน TechTalkThai ได้รับเกียรติจาก Digitalcom …