ข้อบกพร่องใหม่ของตัวกำหนดเวลางาน Windows ช่วยให้ผู้โจมตีสามารถข้าม UAC และแก้ไขบันทึกได้

ข้อบกพร่องใหม่ของตัวกำหนดเวลางาน Windows ช่วยให้ผู้โจมตีสามารถข้าม UAC และแก้ไขบันทึกได้

มีการค้นพบช่องโหว่ในบริการ Task Scheduler ของ Windows ที่สำคัญในไฟล์ไบนารี “schtasks.exe” ซึ่งใช้สำหรับสร้าง ลบ และจัดการตารางงานในระบบ Windows ช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีที่มีสิทธิ์เข้าถึงในระดับต่ำสามารถข้าม User Account Control (UAC) ได้ และนำไปสู่การเพิ่มสิทธิ์ (privilege escalation) เพื่อรันคำสั่งในระดับ SYSTEM โดยไม่ต้องรับการอนุมัติจากผู้ใช้

นักวิจัยด้านความปลอดภัยระบุว่าช่องโหว่มีถึงสี่ประการ โดยหนึ่งในนั้นเกิดจากวิธีการตรวจสอบสิทธิ์ เมื่อมีการสร้างตารางงานโดยใช้การตรวจสอบ Batch Logon ซึ่งอาศัยการใช้พาสเวิร์ดแทนที่จะใช้อินเทอร์แอคทีฟโทเค็น (Interactive Token) ทำให้ Windows Task Scheduler มอบสิทธิ์สูงสุดให้กับกระบวนการที่ถูกรันขึ้นมา อย่างไรก็ตาม ผู้โจมตีจำเป็นต้องหา “พาสเวิร์ด” ผ่านช่องทางอื่นๆ เช่น การถอดรหัส NTLMv2 hash หลังจากเข้าสู่ระบบผ่าน SMB หรือใช้ช่องโหว่อื่นที่มีการรายงานไว้

นอกจากการเพิ่มสิทธิ์แล้ว ช่องโหว่นี้ยังสามารถถูกนำไปใช้ในการแก้ไขหรือเขียนทับบันทึกเหตุการณ์ (logs) ได้ด้วย การลงทะเบียนตารางงานผ่านไฟล์ XML โดยใช้การตรวจสอบ Batch Logon อาจเปิดโอกาสให้ผู้โจมตีทำเทคนิคการหลีกเลี่ยงการจับตามอง (defense evasion) เช่น การบันทึกตารางงานที่มีข้อมูลฟิลด์ “ผู้แต่ง” ที่มีอักขระผิดปกติ (เช่น ตัวอักษร “A” ซ้ำกันถึง 3,500 ครั้ง) ซึ่งสามารถเขียนทับข้อมูลใน Task Event Log และแม้กระทั่งฐานข้อมูล “Security.evtx” ที่เก็บบันทึกความปลอดภัยของระบบได้ ผลที่ตามมาคือหลักฐานการกระทำผิดหรือการโจมตีอาจถูกลบออกไปจนไม่สามารถตรวจจับได้

นักวิจัยย้ำเตือนว่า Task Scheduler เป็นส่วนสำคัญที่เปิดโอกาสให้ผู้ที่มีเจตนาร้ายสามารถเข้าถึงและปรับแต่งการทำงานของระบบได้ง่าย เนื่องจากเครื่องมือนี้ถูกออกแบบให้ใช้งานได้โดยผู้ดูแลระบบทั่วไป ช่องโหว่จึงเป็นแรงเตือนให้ทาง Microsoft และผู้ดูแลระบบรีบอัปเดตหรือปรับปรุงความปลอดภัยของระบบ เพื่อลดความเสี่ยงที่อาจเกิดจากการโจมตีในอนาคต

ในยุคที่ความท้าทายและความซับซ้อนของภัยคุกคามในยุคดิจิทัล ที่แม้แต่เครื่องมือในระบบปฏิบัติการที่ดูเหมือนสำคัญและมีความน่าเชื่อถือ ก็อาจมีจุดอ่อนที่ทำให้ความปลอดภัยโดยรวมของระบบอยู่ในความเสี่ยงได้อย่างกว้างขวาง หากต้องการข้อมูลเพิ่มเติม อาจสำรวจแนวทางการตรวจจับและป้องกันภัยจากการโจมตีในระบบ Windows ที่เพิ่มความเข้มงวดในส่วนของการตรวจสอบสิทธิ์และการบันทึกเหตุการณ์ให้มีความถูกต้องและปลอดภัยมากยิ่งขึ้น

ที่มา: thehackernews

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com