- กิจกรรม Patch Tuesday ของเดือนนี้ทำให้ผู้ใช้ทุกแห่งมีการแก้ไขทั้งหมด 67 รายการ
- แพทช์ออกเกือบครึ่งแล้ว แก้ไขปัญหาสิทธิ์ของผู้ใช้บนคอมพิวเตอร์
- อีการรันรหัสที่กำหนดเองบนคอมพิวเตอร์ของเหยื่อก็เป็นปัญหาเช่นกัน
- คอมโพเนนต์ MSHTML ของ Microsoft Office ก็กำลังถูกเอารัดเอาเปรียบเช่นกัน
การอัปเดตตามปกติของบริษัท Redmond ถือเป็นสิ่งสำคัญที่สุดในเดือนนี้ เนื่องจากบริษัทได้เผยแพร่การแก้ไขข้อบกพร่องระดับร้ายแรง
ขณะนี้มีการอ้างถึงโดยการอ้างอิงการกำหนดช่องโหว่ CVE-2021-40444
เรายังทราบด้วยว่าขณะนี้มีการใช้ประโยชน์ในเอกสาร Office ตลอดจนโปรแกรมแก้ไขที่สำคัญสำหรับผลิตภัณฑ์ Microsoft และบริการระบบคลาวด์
Microsoft แก้ไขการละเมิดความปลอดภัยผ่าน Patch Tuesday
ในช่วงกิจกรรม Patch Tuesday ของเดือนนี้ Microsoft ได้เผยแพร่การแก้ไขทั้งหมด 67 รายการสำหรับผลิตภัณฑ์จำนวนมาก
การแก้ไขจำนวนมากที่สุดคือ 27 ครั้ง เพื่อแก้ไขปัญหาที่ผู้โจมตีอาจใช้เพื่อยกระดับสิทธิ์ของตนเองในคอมพิวเตอร์
หากคุณสงสัยเกี่ยวกับตัวเลขที่ใหญ่เป็นอันดับสอง ซึ่งในกรณีนี้คือ 14 ให้ระบุถึงความสามารถของผู้โจมตีในการรันโค้ดโดยอำเภอใจบนคอมพิวเตอร์ของเหยื่อ
สิ่งสำคัญคือต้องรู้ว่าช่องโหว่ที่สำคัญทั้งหมดยกเว้นช่องโหว่ที่สำคัญอยู่ในหมวด Remote Code Execution
ซึ่งรวมถึงข้อบกพร่อง -40444 ซึ่งมีชื่อเล่นว่า ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft MSHTML.
ช่องโหว่ที่สำคัญที่ไม่ใช่ RCE เป็นข้อบกพร่องในการเปิดเผยข้อมูลที่ส่งผลกระทบต่อ Azure Sphere (CVE-2021-36956) ซึ่งเป็นแพลตฟอร์มที่ Microsoft สร้างขึ้นซึ่งมีจุดประสงค์เพื่อเพิ่มชั้นความปลอดภัยให้กับอุปกรณ์ Internet-of-Things (IoT)
บั๊กที่น่ารังเกียจบางตัวที่ส่งผลต่อเบราว์เซอร์ Edge บนทั้งแพลตฟอร์ม Android และ iOS นั้นได้รับการแก้ไขโดยยักษ์ใหญ่ด้านเทคโนโลยีเช่นกัน
ผู้ใช้เบราว์เซอร์นั้นบนอุปกรณ์เหล่านั้นจำเป็นต้องได้รับเวอร์ชันคงที่จาก App Store ที่เกี่ยวข้องสำหรับอุปกรณ์ของตน ซึ่งทั้งสองอย่างนี้อยู่ภายใต้ช่องโหว่ที่ Microsoft อธิบายว่า การปลอมแปลง
ช่องโหว่ที่สำคัญที่ส่งผลต่อ Windows เอง (CVE-2021-36965 และ CVE-2021-26435) นำไปใช้กับส่วนประกอบที่เรียกว่า WLAN AutoConfig Service
หากคุณไม่ทราบ นี่เป็นส่วนหนึ่งของกลไกที่ Windows 10 ใช้เพื่อเลือกเครือข่ายไร้สายที่คอมพิวเตอร์จะเชื่อมต่อและกับ Windows Scripting Engine ตามลำดับ
Microsoft ไม่ได้ให้ข้อมูลเพิ่มเติมก่อนกำหนดวางจำหน่าย Patch Tuesday เกี่ยวกับกลไกที่บั๊กเหล่านี้รันโค้ดบนระบบ
นักพัฒนา Redmond จัดการกับจุดบกพร่อง Office ขนาดใหญ่ในเดือนนี้
หลังจากค้นพบจุดบกพร่องนี้และกลายเป็นความรู้สาธารณะในวันที่ 7 กันยายน นักวิจัยด้านความปลอดภัยและนักวิเคราะห์ได้เริ่มแลกเปลี่ยนตัวอย่างการพิสูจน์แนวคิดว่าผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่นี้ได้อย่างไร
น่าเสียดายที่รายละเอียดสูงของข้อผิดพลาดนี้หมายความว่าผู้โจมตีจะสังเกตเห็นและมีแนวโน้มที่จะเริ่มใช้ประโยชน์จากช่องโหว่นี้
ข้อบกพร่องที่น่ารังเกียจนี้เกี่ยวข้องกับองค์ประกอบ MSHTML ของ Microsoft Office ซึ่งสามารถแสดงหน้าเบราว์เซอร์ในบริบทของเอกสาร Office
ในการหาประโยชน์จากบั๊ก ผู้โจมตีจะสร้างการควบคุม ActiveX ที่ออกแบบมาเพื่อประสงค์ร้ายและจากนั้น ฝังโค้ดลงในเอกสาร Office ที่เรียกใช้ตัวควบคุม ActiveX เมื่อเปิดเอกสารหรือ แสดงตัวอย่าง
ขั้นตอนของการโจมตีโดยทั่วไปคือ:
- Target ได้รับเอกสาร .docx หรือ .rtf Office แล้วเปิดขึ้นมา
- เอกสารจะดึง HTML ระยะไกลจากที่อยู่เว็บที่เป็นอันตราย
- เว็บไซต์ที่เป็นอันตรายส่งไฟล์เก็บถาวร .CAB ไปยังคอมพิวเตอร์ของเป้าหมาย
- ช่องโหว่นี้เปิดใช้ไฟล์เรียกทำงานจากภายใน .CAB (ปกติจะตั้งชื่อด้วยนามสกุล .INF)
สคริปต์ที่เป็นอันตรายใช้ตัวจัดการในตัวสำหรับ .cpl ไฟล์ (แผงควบคุมของ Windows) เพื่อเรียกใช้ไฟล์ที่มีนามสกุล .inf (ซึ่งจริงๆ แล้วเป็น .dll ที่เป็นอันตราย) ที่แยกออกมาจากไฟล์ .cab
ผู้คนจำนวนมากไม่เพียงแต่สร้างการหาประโยชน์จาก Proof-of-Concept (PoC) ที่ใช้งานได้ แต่มีเพียงไม่กี่คนที่ได้สร้างและเผยแพร่เครื่องมือตัวสร้างที่ทุกคนสามารถใช้เพื่อสร้างอาวุธให้กับเอกสาร Office
เวอร์ชันดั้งเดิมของช่องโหว่นี้ใช้ Microsoft Word .docx เอกสาร แต่เราพบแล้วบางเวอร์ชันที่ใช้ .rtf นามสกุลไฟล์.
ผู้โจมตีใช้เทคนิคนี้ไม่เพียงแต่เปิดไฟล์ .exe เท่านั้น แต่ยังรวมถึงไฟล์ .dll ที่เป็นอันตรายด้วย โดยใช้ rundll32 ไม่มีเหตุผลที่จะเชื่อได้ว่าการหาประโยชน์ดังกล่าวจะไม่ขยายขอบเขตไปยังเอกสาร Office ประเภทอื่นๆ เช่นกัน
เป็นเรื่องดีที่รู้ว่าเจ้าหน้าที่ของ Redmond พยายามอย่างเต็มที่เพื่อให้เราปลอดภัย แต่ทั้งหมดนี้เป็นเพียงความพยายามร่วมกัน ดังนั้นเราจึงต้องทำหน้าที่ของเราด้วย
คุณคิดอย่างไรกับการอัปเดต Patch Tuesday ของเดือนนี้ แบ่งปันความคิดเห็นของคุณกับเราในส่วนความคิดเห็นด้านล่าง
