ข้อบกพร่องใหม่ของตัวกำหนดเวลางาน Windows ช่วยให้ผู้โจมตีสามารถข้าม UAC และแก้ไขบันทึกได้
ข้อบกพร่องใหม่ของตัวกำหนดเวลางาน Windows ช่วยให้ผู้โจมตีสามารถข้าม UAC และแก้ไขบันทึกได้
มีการค้นพบช่องโหว่ในบริการ Task Scheduler ของ Windows ที่สำคัญในไฟล์ไบนารี “schtasks.exe” ซึ่งใช้สำหรับสร้าง ลบ และจัดการตารางงานในระบบ Windows ช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีที่มีสิทธิ์เข้าถึงในระดับต่ำสามารถข้าม User Account Control (UAC) ได้ และนำไปสู่การเพิ่มสิทธิ์ (privilege escalation) เพื่อรันคำสั่งในระดับ SYSTEM โดยไม่ต้องรับการอนุมัติจากผู้ใช้
นักวิจัยด้านความปลอดภัยระบุว่าช่องโหว่มีถึงสี่ประการ โดยหนึ่งในนั้นเกิดจากวิธีการตรวจสอบสิทธิ์ เมื่อมีการสร้างตารางงานโดยใช้การตรวจสอบ Batch Logon ซึ่งอาศัยการใช้พาสเวิร์ดแทนที่จะใช้อินเทอร์แอคทีฟโทเค็น (Interactive Token) ทำให้ Windows Task Scheduler มอบสิทธิ์สูงสุดให้กับกระบวนการที่ถูกรันขึ้นมา อย่างไรก็ตาม ผู้โจมตีจำเป็นต้องหา “พาสเวิร์ด” ผ่านช่องทางอื่นๆ เช่น การถอดรหัส NTLMv2 hash หลังจากเข้าสู่ระบบผ่าน SMB หรือใช้ช่องโหว่อื่นที่มีการรายงานไว้
นอกจากการเพิ่มสิทธิ์แล้ว ช่องโหว่นี้ยังสามารถถูกนำไปใช้ในการแก้ไขหรือเขียนทับบันทึกเหตุการณ์ (logs) ได้ด้วย การลงทะเบียนตารางงานผ่านไฟล์ XML โดยใช้การตรวจสอบ Batch Logon อาจเปิดโอกาสให้ผู้โจมตีทำเทคนิคการหลีกเลี่ยงการจับตามอง (defense evasion) เช่น การบันทึกตารางงานที่มีข้อมูลฟิลด์ “ผู้แต่ง” ที่มีอักขระผิดปกติ (เช่น ตัวอักษร “A” ซ้ำกันถึง 3,500 ครั้ง) ซึ่งสามารถเขียนทับข้อมูลใน Task Event Log และแม้กระทั่งฐานข้อมูล “Security.evtx” ที่เก็บบันทึกความปลอดภัยของระบบได้ ผลที่ตามมาคือหลักฐานการกระทำผิดหรือการโจมตีอาจถูกลบออกไปจนไม่สามารถตรวจจับได้
นักวิจัยย้ำเตือนว่า Task Scheduler เป็นส่วนสำคัญที่เปิดโอกาสให้ผู้ที่มีเจตนาร้ายสามารถเข้าถึงและปรับแต่งการทำงานของระบบได้ง่าย เนื่องจากเครื่องมือนี้ถูกออกแบบให้ใช้งานได้โดยผู้ดูแลระบบทั่วไป ช่องโหว่จึงเป็นแรงเตือนให้ทาง Microsoft และผู้ดูแลระบบรีบอัปเดตหรือปรับปรุงความปลอดภัยของระบบ เพื่อลดความเสี่ยงที่อาจเกิดจากการโจมตีในอนาคต
ในยุคที่ความท้าทายและความซับซ้อนของภัยคุกคามในยุคดิจิทัล ที่แม้แต่เครื่องมือในระบบปฏิบัติการที่ดูเหมือนสำคัญและมีความน่าเชื่อถือ ก็อาจมีจุดอ่อนที่ทำให้ความปลอดภัยโดยรวมของระบบอยู่ในความเสี่ยงได้อย่างกว้างขวาง หากต้องการข้อมูลเพิ่มเติม อาจสำรวจแนวทางการตรวจจับและป้องกันภัยจากการโจมตีในระบบ Windows ที่เพิ่มความเข้มงวดในส่วนของการตรวจสอบสิทธิ์และการบันทึกเหตุการณ์ให้มีความถูกต้องและปลอดภัยมากยิ่งขึ้น
ที่มา: thehackernews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response
แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux
ผู้หลอกลวงใช้ Google OAuth เพื่อปลอมตัวเป็น Google ในการโจมตี DKIM แบบรีเพลย์
Wine Lure ของ Cozy Bear ปล่อยมัลแวร์ WineLoader ลงบนนักการทูตสหภาพยุโรป
Microsoft กำหนดให้บัญชีใหม่ทั้งหมดไม่มีรหัสผ่านเป็นค่าเริ่มต้น
