การควบคุมแอพพลิเคชั่น Windows Defender ถูกข้ามไปโดยใช้ช่องโหว่ของเบราว์เซอร์ที่ใช้งานได้
เทคนิคร่วมสมัยที่ถูกค้นพบซึ่งช่วยให้ผู้โจมตีข้ามผ่านการป้องกันของ Windows Defender Application Control (WDAC) ซึ่งเป็นฟีเจอร์รักษาความปลอดภัยที่สำคัญของ Windows ที่ออกแบบมาเพื่อป้องกันไม่ให้โค้ดที่ไม่ได้รับอนุญาตถูกเรียกใช้งาน ภายใต้ WDAC เฉพาะแอปพลิเคชันและสคริปต์ที่เชื่อถือได้เท่านั้นที่จะสามารถรันบนระบบได้
นักวิจัยจากทีม IBM X-Force ได้ค้นพบวิธีการโจมตีที่ใช้ช่องโหว่ในแอปพลิเคชันที่สร้างบนแพลตฟอร์ม Electron โดยเฉพาะในส่วนของ V8 JavaScript engine ซึ่งเป็นส่วนที่ทำงานร่วมกันในโปรแกรมเหล่านี้ เนื่องจากแอปพลิเคชัน Electron เหล่านี้ได้รับการไว้วางใจในนโยบาย WDAC ผู้โจมตีจึงใช้จุดอ่อนนี้เป็น “รถเข็น” ในการเรียกใช้งานโค้ดที่เป็นอันตราย โดยใช้เทคนิคที่เรียกว่า “argument smuggling” เพื่อแทรกข้อมูลสำคัญเข้าไปในฟิลด์ที่ไม่ได้ถูกใช้งานในวัตถุ (object) ของ JavaScript ซึ่งช่วยให้สามารถส่งผ่านพารามิเตอร์ไปกับ shellcode ได้โดยไม่ต้องผ่านขั้นตอนที่ถูกตรวจสอบตามปกติ
อีกทั้งนักวิจัยยังกล่าวถึงความท้าทายที่เกิดจาก TurboFan JIT optimization ซึ่งมีกระบวนการจัดการค่า floating-point ที่อาจทำให้เกิดการ deduplicate ทำให้ผู้โจมตีต้องคิดค้นวิธีการที่เฉพาะเจาะจงในการหลีกเลี่ยงอุปสรรคนี้ จนนำไปสู่การพัฒนา “Just-in-time exploit engine” ที่สามารถทดลองหลายค่าของ offset บน Windows เวอร์ชันต่างๆ จนกระทั่งสามารถทำให้การโจมตีสำเร็จได้
ทั้งนี้ แม้ว่าในเวอร์ชันใหม่ของ Electron จะมีการทดลองใช้ฟีเจอร์การตรวจสอบความสมบูรณ์ (integrity verification) เพื่อป้องกันการโจมตีในแนวทางนี้ แต่หลายแอปพลิเคชันยอดนิยมยังคงไม่ได้รับการอัปเดตป้องกัน ทำให้ระบบ WDAC ยังคงมีความเปราะบางในบางสภาพแวดล้อม ข่าวสารนี้จึงชี้ให้เห็นถึงความซับซ้อนและการเปลี่ยนแปลงอย่างรวดเร็วของภัยคุกคามทางไซเบอร์ รวมถึงความจำเป็นที่องค์กรต้องเฝ้าระวังและปรับปรุงมาตรการรักษาความปลอดภัยอย่างต่อเนื่องเพื่อป้องกันการถูกโจมตีในอนาคต
ที่มา: Cybersecuritynews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ยกระดับการป้องกันของคุณ: MSP และ MDR ร่วมกันเสริมสร้างความปลอดภัยด้าน IT ของคุณอย่างไร
เจ้าหน้าที่เนเธอร์แลนด์ระบุตัวผู้ก่ออาชญากรรมไซเบอร์รายใหม่ชาวรัสเซีย “Laundry Bear” ที่กำลังเล็งเป้าไปที่นาโต้
เหตุผล เบื้องหลัง Bitdefender GravityZone PHASR – นวัตกรรมที่ไม่เคยมีมาก่อน
เครื่องมือ Defendnot ใหม่หลอก Windows ให้ปิดการใช้งาน Microsoft Defender
จาก 60 เป็น 4,000: ระบบ Locked Shield ของ NATO สะท้อนการเติบโตของระบบป้องกันไซเบอร์
