ព័ត៌មាន

ចំណុចរងគ្រោះនៃ PoC ដែលមិនទាន់ធ្វើការ Patch នៅលើ Windows 10 Zero-Day ចុះផ្សាយនៅលើអនឡាញ

Tuesday, ទី18 June, ឆ្នាំ2019 15:06 pm 0

អ្នកវាយប្រហារអនាមិកមួយដែលមានឈ្មោះហៅក្រៅថា “SandboxEscaper” នៅថ្ងៃនេះចេញផ្សាយនូវកូដប្រុងប្រយ័ត្ន (PoC) សម្រាប់ភាពងាយរងគ្រោះ zero-day ថ្មីដែលប៉ះពាល់ដល់ប្រព័ន្ធប្រតិបត្តិការ Windows ១០ ដែលនេះគឺជាការបើកចំហជាសាធារណៈលើកទី៥លើការកេងប្រវ័ញ្ច Windows zero-day ក្នុងពេលតិចជាងមួយឆ្នាំ។

តាមការផ្សាយលើGitHub ភាពងាយរងគ្រោះ Windows ១០​ zero-day ថ្មីគឺបញ្ហាសិទ្ធិកើនឡើងដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារក្នុងតំបន់ឬមេរោគដើម្បីទទួលនិងដំណើរការកូដជាមួយសិទ្ធិប្រព័ន្ធរដ្ឋបាលនៅលើម៉ាស៊ីនគោលដៅដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលការត្រួតពិនិត្យពេញលេញនៃម៉ាស៊ីន។ភាពងាយរងគ្រោះស្ថិតនៅក្នុងកម្មវិធី Task Scheduler ជាឧបករណ៍មួយដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ Windows អាចកំណត់កាលវិភាគនៃកម្មវិធីឬស្គ្រីបនៅក្នុងពេលវេលាដែលកំណត់ជាមុនឬបន្ទាប់ពីពេលវេលាជាក់លាក់ណាមួយ។

លេខកូដកេងប្រវ័ញ្ចរបស់ SandboxEscaper ប្រើប្រាស់កម្មវិធី SchRpcRegisterTask ជាវីធីសាស្រ្តដែលមាននៅក្នុង Task Scheduler ដើម្បីចុះឈ្មោះភារកិច្ចជាមួយម៉ាស៊ីនមេដែលមិនពិនិត្យត្រឹមត្រូវលើការអនុញ្ញាត ហើយដូច្នេះអាចត្រូវប្រើដើម្បីកំណត់សិទ្ធិ DACL(ការត្រួតពិនិត្យបញ្ជីសិទ្ធិចូល)។SandboxEscaper និយាយថា “នេះនឹងនាំឱ្យមានការហៅទៅកាន់ RPC ដូចខាងក្រោម” _SchRpcRegisterTask ” ដែលត្រូវលាតត្រដាងដោយសេវាកម្មវិធីកំណត់ពេលភារកិច្ច”។

កម្មវិធីព្យាបាទឬអ្នកវាយប្រហារដែលមានសិទ្ធិតិចតួចអាចដំណើរការឯកសារ .ob file ដែលមិនត្រឹមត្រូវដើម្បីទទួលសិទ្ធិរបស់ប្រព័ន្ធ ហើយចុងក្រោយអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើប្រព័ន្ធគោលដៅ។SandboxEscaper ក៏ចែករំលែកវីដេអូដែលបង្ហាញពីសកម្មភាពនៃគំនិតនៃការកេងប្រវ័ញ្ច Windows zero-day ថ្មី។

ភាពងាយរងគ្រោះនេះត្រូវសាកល្បងនិងបញ្ជាក់ថាធ្វើការដោយជោគជ័យលើការជួសជុលនិងកំណែបច្ចុប្បន្នភាព Windows ១០, ៣២ ប៊ីតនិង ៦៤ ប៊ីត និងដូចជាសម្រាប់ Windows Server ២០១៦ និង ២០១៩ដែរ។

ការមកដល់កាន់តែច្រើននៃការកេងប្រវ័ញ្ច Windows Zero-Day

ក្រៅពីនេះ អ្នកវាយប្រហារក៏និយាយថាគាត់នៅតែមានកំហុស៤ទៀតនៃ zero-day នៅក្នុង Windows ដែលមិនទាន់បង្ហាញដែល៣ក្នុងចំណោមនោះនាំឱ្យមានការបង្កើនសិទ្ធិក្នុងតំបន់និងទីបួនអនុញ្ញាតឱ្យអ្នកវាយប្រហារឆ្លងកាត់សុវត្ថិភាព sandbox ។ព័ត៌មានលម្អិតនិងការកេងប្រវ័ញ្ចកូដសម្រាប់ Windows zero-day ថ្មីមកដល់ត្រឹមមួយសប្តាហ៍បន្ទាប់ពីការធ្វើបច្ចុប្បន្នភាពជួសជុល​ប្រចាំខែរបស់ Microsoft ដែលមានន័យថាមិនមានការជួសជុលសម្រាប់ភាពងាយរងគ្រោះនាពេលបច្ចុប្បន្នដែលអនុញ្ញាតឱ្យនរណាម្នាក់ធ្វើអាជីវកម្មនិងរំលោភបំពានទេ។

អ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Windows ១០ ត្រូវរង់ចាំការជួសជុលសុវត្ថិភាពសម្រាប់ភាពងាយរងគ្រោះនេះរហូតដល់ការធ្វើឱ្យទាន់សម័យផ្នែកសុវត្ថិភាពនៅខែក្រោយរបស់ក្រុមហ៊ុន Microsoft – លើកលែងតែក្រុមហ៊ុនមានភ្ជាប់មកជាមួយនូវការធ្វើបច្ចុប្បន្នភាពបន្ទាន់។

image

image

Tags: