Microsoft แก้ไขช่องโหว่ Zero-Day บน Windows ที่ถูกใช้โจมตีในยูเครน

โดย | ก.พ. 18, 2025 | ข่าวสาร | 0 ความคิดเห็น

     นักวิจัยด้านความปลอดภัยจาก ClearSky เปิดเผยว่า กลุ่มแฮ็กเกอร์ต้องสงสัยชาวรัสเซียได้ใช้ช่องโหว่ CVE-2024-43451 ซึ่งเป็นช่องโหว่ในการปลอมแปลงการเปิดเผยค่าแฮช NTLM เพื่อดำเนินการโจมตีอย่างต่อเนื่องที่มุ่งเป้าไปยังหน่วยงานของยูเครน โดยช่องโหว่นี้สามารถใช้ขโมยค่าแฮช NTLMv2 ของผู้ใช้ผ่านการบังคับเชื่อมต่อไปยังเซิร์ฟเวอร์ที่อยู่ภายใต้การควบคุมของผู้โจมตี

     ClearSky พบแคมเปญดังกล่าวในเดือนมิถุนายน โดยพบอีเมลฟิชชิงที่ใช้ประโยชน์จากช่องโหว่นี้ อีเมลเหล่านี้มีลิงก์ที่นำไปสู่การดาวน์โหลดไฟล์ทางลัดอินเทอร์เน็ต (Internet Shortcut) ที่โฮสต์บนเซิร์ฟเวอร์ที่ถูกแฮ็กมาก่อน เช่น osvita-kp.gov[.]ua ซึ่งเป็นของแผนกการศึกษาและวิทยาศาสตร์ของสภาเมือง Kamianets-Podilskyi

     ช่องโหว่นี้สามารถถูกเรียกใช้งานได้เมื่อผู้ใช้โต้ตอบกับไฟล์ URL โดยการคลิกขวา ลบ หรือย้ายไฟล์ เมื่อเกิดเหตุการณ์ดังกล่าว ระบบจะสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ระยะไกลเพื่อดาวน์โหลดมัลแวร์ เช่น SparkRAT ซึ่งเป็นเครื่องมือควบคุมระยะไกลโอเพ่นซอร์สที่ช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบจากระยะไกล

     ขณะตรวจสอบเหตุการณ์ นักวิจัยยังพบความพยายามขโมยค่าแฮช NTLM ผ่านโปรโตคอล Server Message Block (SMB) ค่าแฮชเหล่านี้สามารถนำไปใช้ใน “การโจมตีแบบผ่านค่าแฮช” (Pass-the-Hash Attack) หรือถอดรหัสเพื่อขโมยรหัสผ่านของผู้ใช้ในรูปแบบข้อความธรรมดา

     ClearSky ได้รายงานข้อมูลดังกล่าวให้กับทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) ซึ่งเชื่อมโยงการโจมตีกับกลุ่มแฮ็กเกอร์ UAC-0194 ซึ่งคาดว่าเป็นกลุ่มที่ได้รับการสนับสนุนจากรัสเซีย

การตอบสนองจาก Microsoft และหน่วยงานความปลอดภัย

     Microsoft ได้ออกแพตช์แก้ไขช่องโหว่นี้เป็นส่วนหนึ่งของการอัปเดต Patch Tuesday เดือนพฤศจิกายน 2024 โดยยืนยันการค้นพบของ ClearSky และระบุว่าการโจมตีต้องอาศัยการโต้ตอบของผู้ใช้จึงจะสำเร็จได้

     “ช่องโหว่นี้สามารถเปิดเผยค่าแฮช NTLMv2 ของผู้ใช้ให้แก่ผู้โจมตี ซึ่งอาจนำไปใช้เพื่อยืนยันตัวตนในฐานะผู้ใช้งานได้” Microsoft กล่าวในคำแนะนำด้านความปลอดภัย พร้อมชี้ว่าการโต้ตอบเพียงเล็กน้อย เช่น การเลือก (คลิกครั้งเดียว) หรือการคลิกขวา ก็สามารถกระตุ้นช่องโหว่นี้ได้

ช่องโหว่นี้ส่งผลกระทบต่อ Windows ทุกรุ่นที่ยังได้รับการสนับสนุน รวมถึง Windows 10, Windows 11 และ Windows Server 2008 ขึ้นไป

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ (CISA) ได้เพิ่ม CVE-2024-43451 ลงในรายการช่องโหว่ที่มีการใช้โจมตีจริง (Known Exploited Vulnerabilities Catalog) และสั่งให้หน่วยงานรัฐบาลเร่งดำเนินการแก้ไขภายในวันที่ 3 ธันวาคม 2024 ตามคำสั่ง Binding Operational Directive (BOD) 22-01

     CISA เตือนว่า ช่องโหว่ลักษณะนี้มักถูกใช้เป็นช่องทางโจมตีของอาชญากรไซเบอร์ และเป็นภัยคุกคามสำคัญต่อหน่วยงานของรัฐบาลกลาง แนะนำให้ผู้ใช้และองค์กรติดตั้งแพตช์ล่าสุดโดยเร็วเพื่อป้องกันการถูกโจมตีจากช่องโหว่นี้

ที่มา : bleepingcomputer