พบช่องโหว่บน macOS ทำให้ผู้โจมตีสามารถ bypass ระบบ System Integrity Protection (SIP) ได้
ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก Microsoft ได้ออกมาเผยรายละเอียดช่องโหว่ตัวใหม่บน macOS (CVE-2023-32369) ซึ่งทำให้ผู้โจมตีสามารถ bypass ระบบ System Integrity Protection (SIP) root ได้ ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถติดตั้งมัลแวร์ที่ไม่สามารถตรวจจับได้ และสามารถขโมยข้อมูลด้วยวิธีหลบหลีกการตรวจจับจาก Transparency, Consent, and Control (TCC) ภายใน macOS โดยทั่วไปแล้วผู้ใช้งานทั่วไปไม่สามารถปิดการใช้งาน SIP ได้ง่าย เนื่องจากจะต้องเข้าถึงอุปกรณ์และทำการ Restart อุปกรณ์ก่อน แต่หากโจมตีผ่านช่องโหว่นี้ด้วย user ที่มีสิทธิระดับ root สามารถโจมตีเพื่อฝังมัลแวร์ได้โดยที่ไม่จำเป็นต้อง Restart แต่อย่างใด
Apple ได้ออกแพตช์ช่องโหว่นี้เป็นที่เรียบร้อยแล้วในช่วงสองสัปดาห์ก่อน ผู้ใช้งานสามารถอัปเดตไปใช้งาน macOS Ventura 13.4, macOS Monterey 12.6.6 และ macOS Big Sur 11.7.7 เพื่ออุดช่องโหว่ได้แล้ว
Alex Ionescu นักวิจัยด้านความมั่นคงปลอดภัยจาก Crowdstrike ออกมาแจ้งเตือนถึงปัญหาบนแพตช์ Meltdown บน Windows 10 ซึ่งช่วยให้แฮ็กเกอร์สามารถบายพาสเข้าไปโจมตีช่องโหว่เพื่อขโมยข้อมูลได้ ฝั่ง Microsoft เตรียมอัปเดตแพตช์ใหม่เร็วๆ นี้
Ionescu ได้ทวีตข้อความบน Twitter เมื่อวานนี้ ระบุว่าบนข้อบกพร่องร้ายแรงบนแพตช์สำหรับอุดช่องโหว่ Meltdown บน Windows 10 ส่งผลให้แฮ็กเกอร์สามารถบายพาสเข้าไปเจาะช่องโหว่ได้ ซึ่งข้อบกพร่องนี้ค้นพบบน Windows 10 ทุกเวอร์ชัน ยกเว้น Windows 10 Redstone 4 (v1803) หรือที่รู้จักในนาม April 2018 Update ที่เพิ่งเปิดให้อัปเดตไปเมื่อวันจันทร์ที่ผ่านมา ซึ่ง Microsoft ได้ดำเนินการแก้ไขปัญหานี้แล้ว
Welp, it turns out the #Meltdown patches for Windows 10 had a fatal flaw: calling NtCallEnclave returned back to user space with the full kernel page table directory, completely undermining the mitigation. This is now patched on RS4 but not earlier builds — no backport?? pic.twitter.com/VIit6hmYK0
โฆษกของ Microsoft ได้รับทราบถึงปัญหาดังกล่าว และกำลังดำเนินการเพื่อออกแพตช์อัปเดตใหม่ คาดว่าถ้า Microsoft ไม่ออกแพตช์ฉุกเฉินให้อัปเดตเร็วๆ นี้ก็คงรออัปเดตทีเดียวพร้อมกับ Microsoft Patch Tuesday ประจำเดือนพฤษภาคม
สำหรับบางคนที่เห็นว่า Microsoft ออกแพตช์ฉุกเฉินในช่วงเวลาไล่เลี่ยกัน แพตช์ดังกล่าวไม่ได้ออกมาเพื่อแก้ไขปัญหา Meltdown บน Windows 10 แต่อย่างใด แต่ออกมาแก้ปัญหาช่องโหว่บน Windows Host Compute Service Shim (hcsshim) Library รหัส CVE-2018-8115 ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution ได้
#CVE-2018-2628 Weblogic Server Deserialization Remote Command Execution. Unfortunately the Critical Patch Update of 2018.4 can be bypassed easily. pic.twitter.com/Vji19uv4zj
Yago Jesus นักวิจัยด้าน Security แห่งบริษัท SecurityByDefault จากสเปนได้ออกมาเปิดเผยถึงการค้นพบวิธีการ Bypass ระบบ Windows Controlled Folder Access ซึ่งเป็นฟีเจอร์ที่ Microsoft ออกแบบมาเพื่อป้องกัน Ransomware บน Windows 10 ได้แล้ว
Credit: ShutterStock.com
Windows Controlled Folder Access นี้เป็นความสามารถที่เปิดให้ผู้ใช้งาน Windows 10 Fall Creators Update สามารถทำการเลือกได้ว่าไฟล์ในโฟลเดอร์ใดจะมีการควบคุมให้เปิดแก้ไขข้อมูลได้บ้าง และสามารถระบุได้ว่ามี Application ใดสามารถทำการแก้ไขไฟล์ในโฟลเดอร์นั้นๆ ได้บ้าง เพื่อลดความเสี่ยงที่ Ransomware จะมาทำการเข้ารหัสไฟล์ในโฟลเดอร์นั้นๆ
Yago Jesus ได้พบว่า Microsoft นั้นได้ทำการกำหนดให้ Microsoft Office Application ทั้งหมดอยู่ใน Whitelist ของ Application ที่สามารถเปิดอ่านไฟล์ในทุกๆ โฟลเดอร์ที่กำหนดให้ถูกป้องกันอยู่ภายใต้ Windows Controlled Folder Access ในแบบ Default ทำให้การโจมตีใดๆ ที่อาศัย Microsoft Office เป็นช่องทางนั้นก็สามารถทำการแก้ไขไฟล์ในโฟลเดอร์เหล่านั้นได้
Yago Jesus ได้ติดต่อทีมงาน Microsoft เพื่อแจ้งถึงประเด็นดังกล่าว แต่ทาง Microsoft ได้ตอบเขากลับมาว่ากรณีนี้ไม่ใช่ช่องโหว่ทางด้าน Security แต่อย่างใด แต่ทาง Microsoft ก็จะปรับปรุง Windows Controlled Folder Access ให้ดีขึ้นในอนาคตเพื่อป้องกันการ Bypass ในลักษณะนี้ในทางใดทางหนึ่ง
การที่ Microsoft ตอบมาในลักษณะนี้หมายความว่าทาง Microsoft ไม่ยอมรับว่าปัญหานี้เป็นช่องโหว่ ทำให้ Yago Jesus นั้นจะไม่ได้รับเครดิตใดๆ และจะไม่ได้รางวัลจากโครงการ Bug Bounty ด้วย