การควบคุมแอพพลิเคชั่น Windows Defender ถูกข้ามไปโดยใช้ช่องโหว่ของเบราว์เซอร์ที่ใช้งานได้
เทคนิคร่วมสมัยที่ถูกค้นพบซึ่งช่วยให้ผู้โจมตีข้ามผ่านการป้องกันของ Windows Defender Application Control (WDAC) ซึ่งเป็นฟีเจอร์รักษาความปลอดภัยที่สำคัญของ Windows ที่ออกแบบมาเพื่อป้องกันไม่ให้โค้ดที่ไม่ได้รับอนุญาตถูกเรียกใช้งาน ภายใต้ WDAC เฉพาะแอปพลิเคชันและสคริปต์ที่เชื่อถือได้เท่านั้นที่จะสามารถรันบนระบบได้
นักวิจัยจากทีม IBM X-Force ได้ค้นพบวิธีการโจมตีที่ใช้ช่องโหว่ในแอปพลิเคชันที่สร้างบนแพลตฟอร์ม Electron โดยเฉพาะในส่วนของ V8 JavaScript engine ซึ่งเป็นส่วนที่ทำงานร่วมกันในโปรแกรมเหล่านี้ เนื่องจากแอปพลิเคชัน Electron เหล่านี้ได้รับการไว้วางใจในนโยบาย WDAC ผู้โจมตีจึงใช้จุดอ่อนนี้เป็น “รถเข็น” ในการเรียกใช้งานโค้ดที่เป็นอันตราย โดยใช้เทคนิคที่เรียกว่า “argument smuggling” เพื่อแทรกข้อมูลสำคัญเข้าไปในฟิลด์ที่ไม่ได้ถูกใช้งานในวัตถุ (object) ของ JavaScript ซึ่งช่วยให้สามารถส่งผ่านพารามิเตอร์ไปกับ shellcode ได้โดยไม่ต้องผ่านขั้นตอนที่ถูกตรวจสอบตามปกติ
อีกทั้งนักวิจัยยังกล่าวถึงความท้าทายที่เกิดจาก TurboFan JIT optimization ซึ่งมีกระบวนการจัดการค่า floating-point ที่อาจทำให้เกิดการ deduplicate ทำให้ผู้โจมตีต้องคิดค้นวิธีการที่เฉพาะเจาะจงในการหลีกเลี่ยงอุปสรรคนี้ จนนำไปสู่การพัฒนา “Just-in-time exploit engine” ที่สามารถทดลองหลายค่าของ offset บน Windows เวอร์ชันต่างๆ จนกระทั่งสามารถทำให้การโจมตีสำเร็จได้
ทั้งนี้ แม้ว่าในเวอร์ชันใหม่ของ Electron จะมีการทดลองใช้ฟีเจอร์การตรวจสอบความสมบูรณ์ (integrity verification) เพื่อป้องกันการโจมตีในแนวทางนี้ แต่หลายแอปพลิเคชันยอดนิยมยังคงไม่ได้รับการอัปเดตป้องกัน ทำให้ระบบ WDAC ยังคงมีความเปราะบางในบางสภาพแวดล้อม ข่าวสารนี้จึงชี้ให้เห็นถึงความซับซ้อนและการเปลี่ยนแปลงอย่างรวดเร็วของภัยคุกคามทางไซเบอร์ รวมถึงความจำเป็นที่องค์กรต้องเฝ้าระวังและปรับปรุงมาตรการรักษาความปลอดภัยอย่างต่อเนื่องเพื่อป้องกันการถูกโจมตีในอนาคต
ที่มา: Cybersecuritynews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ผู้ให้บริการระบบคลาวด์ที่ดีที่สุด 25 อันดับแรก (ทั้งแบบสาธารณะและส่วนตัว) ในปี 2025
เครื่องมือ Tor Oniux ใหม่ทำให้การรับส่งข้อมูลเครือข่ายของแอพ Linux ไม่ระบุตัวตน
BianLian และ RansomExx ใช้ประโยชน์จากช่องโหว่ SAP NetWeaver เพื่อติดตั้งโทรจัน PipeMagic
Admin และ 123456 ยังคงเป็นรหัสผ่านที่ถูกใช้งานมากที่สุดในการโจมตี FTP
แพทช์ของ Samsung CVE-2025-4632 ถูกใช้เพื่อติดตั้ง Mirai Botnet ผ่านทางช่องโหว่ MagicINFO 9
