Breaking News

เริ่มแล้ว! พบมัลแวร์เริ่มใช้งานช่องโหว่ Zero Day ของ Windows Task Scheduler

ESET ผู้ให้บริการด้านโซลูชันความมั่นคงปลอดภัย Endpoint ได้พบมัลแวร์ที่ใช้ช่องโหว่ Zero Day ของ Windows Task Scheduler แล้ว โดยคาดว่าจะเป็นการโจมตีจากกลุ่มก่อการร้ายนามว่า ‘PowerPool’ (ชอบใช้เครื่องมือที่เขียนใน PowerShell) ซึ่งในเบื้องต้นจากการสำรวจผู้ร้ายได้มุ่งเป้าไปที่ GoogleUpdate.exe

Credit: ShutterStock.com

ช่องโหว่ Zero Day ที่เกี่ยวกับ Task Scheduler ได้ถูกปล่อยออกมาเป็นโค้ด PoC ไม่กี่วันก่อนซึ่งจนถึงขณะนี้ยังไม่มีแพตช์จาก Microsoft ออกมาแต่คาดว่าจะมีการอัปเดตในวันที่ 11 กันยายน หรือรอบแพตช์ประจำเดือนนั่นเอง นอกจากนี้ช่องโหว่ที่สามารถทำให้เกิดการยกระดับสิทธิ์ไปสู่ SYSTEM (Privilege Escalation) ยังส่งผลกระทบตั้งแต่ Windows 7 ไปจนถึง Windows 10 เลยทีเดียว

PowerPool ไม่ได้ใช้ช่องโหว่ในเวอร์ชันที่เป็นไบนารี่เพราะได้ทำการแก้ไขโค้ดบางส่วนก่อนคอมไพล์ใหม่ ESET กล่าวว่าผู้ร้ายได้เปลี่ยนเนื้อหาของ C:\Program Files(x86)\Google\Update\GoogleUpdate.exe ซึ่งคือไฟล์อัปเดตปกติของแอปพลิเคชัน Google ที่ปกติแล้วรันด้วยสิทธิ์ Admin โดย Windows tasks” ผลลัพธ์จากการแก้ไขคือทำให้ผู้ร้ายสามารถเขียนทับ Google Updater ด้วยสำเนา Backdoor ที่ผู้ร้ายต้องการและครั้งต่อไปที่ Updater ถูกเรียกใช้ตัว Backdoor เองก็จะถูกใช้ในระดับสิทธิ์ SYSTEM

ที่มา : https://www.bleepingcomputer.com/news/security/windows-task-scheduler-zero-day-exploited-by-malware/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

อัปเดตของใหม่ในงาน AWS re: Invent 2019 และโอกาสตลาดคลาวด์ประเทศไทย

แม้ว่างานใหญ่ของ AWS จะผ่านไปสักระยะหนึ่งแล้ว แต่วันนี้ทางทีมงาน TechTalkThai ได้มีโอกาสเข้าร่วมฟังงานจาก AWS Thailand ซึ่งสรุปถึงฟีเจอร์ใหม่อีกครั้งหนึ่ง แต่เสริมมุมมองความเป็นไปได้ควบคู่ไปกับโอกาสของตลาดคลาวด์สำหรับประเทศไทยโดยเฉพาะ

Cisco Meraki เปิดตัว Wi-Fi 6 AP ใหม่ 3 รุ่น

Cisco Meraki ประกาศเปิดตัว Access Point มาตรฐาน Wi-Fi 6 ใหม่ 3 รุ่น ได้แก่ MR36, MR46 และ …