กลุ่ม Ransomware ใช้ประโยชน์จากช่องโหว่ Zero-Day ของ CLFS บน Windows

กลุ่ม Ransomware ใช้ประโยชน์จากช่องโหว่ Zero-Day ของ CLFS บน Windows

ช่องโหว่ Zero-Day รหัส CVE-2025-29824 ซึ่งถูกค้นพบในระบบ Windows Common Log File System (CLFS) กำลังถูกกลุ่มแรนซัมแวร์ที่ชื่อ Storm-2460 ใช้โจมตีอย่างต่อเนื่อง ช่องโหว่นี้เป็นช่องโหว่ยกระดับสิทธิ์ (Elevation of Privilege) ที่ช่วยให้นักโจมตีที่มีสิทธิ์ผู้ใช้งานทั่วไปสามารถเข้าถึงสิทธิ์ระดับ SYSTEM ได้ ซึ่งเป็นอันตรายอย่างยิ่งเนื่องจากสามารถใช้ในการติดตั้งมัลแวร์หรือควบคุมระบบได้ทั้งหมด

Microsoft ได้ออกการอัปเดตฉุกเฉินเมื่อวันที่ 8 เมษายน 2025 เพื่อแก้ไขปัญหานี้ โดยพบว่ากลุ่ม Storm-2460 ใช้มัลแวร์ชื่อ PipeMagic ซึ่งถูกเรียกใช้ผ่านกระบวนการ dllhost.exe เพื่อดำเนินการโจมตี ตัวมัลแวร์ใช้เทคนิคการโจมตีขั้นสูง อาทิ การดาวน์โหลดไฟล์ที่เป็นอันตรายและถอดรหัสด้วย API ของ Windows รวมถึงการทำให้เกิดการเสียหายในหน่วยความจำเพื่อยกระดับสิทธิ์

จุดเด่นของการโจมตี:
• 1. มัลแวร์ PipeMagic ใช้ไฟล์ CLFS BLF (เช่น C:\ProgramData\SkyPDF\PDUDrv.blf) เป็นสัญญาณของกิจกรรมโจมตี
• 2. หลังจากยกระดับสิทธิ์แล้ว ผู้โจมตีฉีดโค้ดเข้าไปในกระบวนการ winlogon.exe
• 3. ใช้คำสั่งเช่น `procdump.exe` เพื่อขโมยข้อมูลรับรองผู้ใช้งาน และดำเนินการเข้ารหัสไฟล์ในระบบ พร้อมปล่อยโน้ตเรียกค่าไถ่

Microsoft แนะนำให้ผู้ใช้งาน:
• - อัปเดตแพตช์ทันทีผ่าน Windows Update
• - เปิดใช้งานระบบป้องกันแบบคลาวด์ (Cloud-delivered Protection) บน Microsoft Defender
• - ใช้ระบบ Endpoint Detection and Response (EDR) เพื่อลดกิจกรรมที่เป็นอันตราย

การแก้ไขและการป้องกันแบบชั้น (Layered Security) เป็นสิ่งสำคัญเพื่อป้องกันภัยคุกคามในอนาคต

ที่มา: cybersecuritynews

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com