ក្រុមហ៊ុន Microsoft បានសម្រាលការងារក្រុមសុវត្ថិភាពនៅឆ្នាំ២០២៤ ជាមួយនឹងបច្ចុប្បន្នភាពខែមករា ដែលរួមមាន Patches ចំនួន 48 CVEs ហើយនៅក្នុងនោះមានតែបញ្ហាចំនួន២ ប៉ុណ្ណោះ ដែលក្រុមហ៊ុនចាត់ទុកថាធ្ងន់ធ្ងរជាងគេ។
សម្រាប់ខែបន្ទាប់ Patch Tuesday របស់ក្រុមហ៊ុន Microsoft នឹងមិនរួមបញ្ចូលនូវបញ្ហា Zero-day Bugs ទៀតទេ បានន័យថា Administrators នឹងដាក់បញ្ចូល (contend) ទៅជាបញ្ហាភាពងាយរងគ្រោះថ្មីដែលហេគឃ័រកំពុងតែកេងចំណេញនាពេលថ្មីៗនេះ យ៉ាងណាមិញដូចជាឧប្បត្តិហេតុដែលបានកើតឡើងនៅឆ្នាំ២០២៣ កន្លងទៅនេះ។
គ្រាន់តែជាបញ្ហាធ្ងន់ធ្ងរខ្លាំងចំនួន២៖ ដូចជាបញ្ហាធម្មតាដែរ CVEs របស់ក្រុមហ៊ុន Microsoft បានបង្ហាញកាលពីថ្ងៃទី០៩ ខែមករា កន្លងទៅ បានបណ្តាលឱ្យប៉ះពាល់ដល់ផលិតផលជាច្រើនរបស់ខ្លួន ហើយរួមបញ្ចូលទាំងភាពងាយរគ្រោះនៃការបង្កើនសិទ្ធិ រួមទាំងបញ្ហានៃការបញ្ជាកូដពីចម្ងាយ បញ្ហាឆ្លងកាត់ប្រព័ន្ធសុវត្ថិភាព និងភាពងាយរងគ្រោះផ្សេងទៀត។ ក្រុមហ៊ុនក៏បានចាត់ថ្នាក់ទៅលើបញ្ហាធ្ងន់ធ្ងរចំនួន ៤៦ ទៀត ប៉ុន្តែប្រហែលជាមិនត្រូវបានវាយប្រហារដោយហេគឃ័រទេ។
បញ្ហា១ នៅក្នុងចំណោម២ មានក្នុងបច្ចុប្បន្នភាពចុងក្រោយរបស់ក្រុមហ៊ុន Microsoft គឺ CVE-2024-20674 ជាភាពងាយរងគ្រោះឆ្លងកាត់មុខងារសុវត្ថិភាព Windows Kerberos ដែលអនុញ្ញាតឱ្យហេគឃ័រអាចឆ្លងកាត់ម៉ាស៊ីនផ្ទៀងផ្ទាត់ (Authentication Mechanisms) និងដាក់ចេញការវាយប្រហារដោយក្លែងបន្លំ។ លោក Saeed Abbasi អ្នកគ្រប់គ្រងការស្រាវជ្រាវភាពងាយរងគ្រោះនៅក្នុង Qualys (Comments to Dark Reading) បានថ្លែងថា ហេគឃ័រអាចកេងចំណេញលើបញ្ហានេះតាមរយៈការវាយប្រហារ Machine-in-the-Middle (MitM)។ ពួកគេអាចធ្វើបែបនេះដោយការកំណត់ Local Network Spoofing Scenario និងបន្ទាប់មកផ្ញើសារ Kerberos ក្លែងក្លាយដើម្បីបញ្ឆោតម៉ាស៊ីនរបស់ Client ឱ្យជឿថាពួកគេកំពុងតែទំនាក់ទំនងជាមួយ Kerberos Authentication Server ស្របច្បាប់។ ជាងនេះទៀត លោក Ken Breen នាយកផ្នែកស្រាវជ្រាវការគំរាមកំហែងនៅ Immersive Labs បានថ្លែងថា បញ្ហា CVE-2024-20674 ជាកំហុសដែលស្ថាប័នគួរតែ Patch ជាបន្ទាន់។ វ៉ិចទ័រនៃការវាយប្រហារនេះគឺមានតម្លៃណាស់សម្រាប់ហេគឃ័រប្រៀបបីដូចជាប្រតិបត្តិករមេរោគចាប់ជម្រិត និងដំណើរការជា Brokers ដោយសារតែវាអាចចូលទៅដំណើរការបណ្តាញណិតវើកនៅក្នុងសហគ្រាសបាន។
រីឯ បញ្ហាដ៏ធ្ងន់ធ្ងរខ្លាំង ១ទៀតនោះគឺ CVE-2024-20700 គឺជាភាពងាយរងគ្រោះនៃប្រតិបត្តិការកូដពីចម្ងាយនៅក្នុងបច្ចេកវិទ្យា Windows Hyper-Virtualization។ បញ្ហានេះគឺមិនងាយនឹងកេងចំណេញទេ ដំបូងហេគឃ័រត្រូវតែនៅក្នុងបណ្តាញណិតវើកតែមួយ បន្ទាប់មកស្វែងរកកុំព្យូទ័រដែលងាយរងគ្រោះ បើយោងតាមសំដីលោក Ben McCarthy អ្នកដឹកនាំវិស្វករសន្តិសុខសាយប័រនៅ Immersive Labs។ ភាពងាយរងគ្រោះនេះគឺជាប្រភេទនៃបញ្ហាដែលពិបាកសម្រាប់ហេគឃ័រធ្វើការកេងចំណេញជាងភាពងាយរងគ្រោះផ្សេងទៀត។ បញ្ហានេះទំនងជាមានការកេងចំណេញតិចតួចប៉ុណ្ណោះ ប៉ុន្តែដោយសារតែ Hyper-V ដំណើរការមានសិទ្ធិច្រើន (Highest Privileges) នៅក្នុងកុំព្យូទ័រ ដូច្នេះក្រុមហ៊ុនគួរតែគិតគូរ Patch លើបញ្ហានេះ បើយោងតាមសំដីលោក McCarthy។
ក្រៅពីនោះនៅមានបញ្ហានៃការបញ្ជាកូដពីចម្ងាយ CVE-2024-21307 នៅក្នុង Windows Remote Desktop Client និង CVE-2024-21318 នៅក្នុង SharePoint Server។ ចំពោះបញ្ហានេះ លោក Breen ក៏បានថ្លែងថា ហេគឃ័រត្រូវតែបង្កើត RDP Server ក្លែងបន្លំមួយ និងប្រើតិចនិក Social Engineering ដើម្បីបញ្ឆោតអ្នកប្រើឱ្យភ្ជាប់ទៅកាន់ហេគឃ័រ។ ស្តាប់ទៅវាទំនងជាមិនពិបាកទេ ខណៈពេលដែល RDP Servers ក្លែងក្លាយផ្តល់ឱកាសឱ្យហេគឃ័រអាចបង្កើត (Set Up) និងផ្ញើ .rdp Attachments ទៅក្នុងអ៊ីម៉ែលរបស់អ្នកប្រើប្រាស់ ហើយនៅពេលអ្នកប្រើប្រាស់បើក Attachment នោះនឹងជំរុញឱ្យហេគឃ័រអាចកេងចំណេញបានភ្លាម។
នៅមានបញ្ហាបង្កើនសិទ្ធិដែលអាចកេងចំណេញមួយចំនួនផ្សេងទៀតរួមមាន៖ CVE-2023-21310 គឺជាបញ្ហានៃការបង្កើនសិទ្ធិនៅក្នុង Windows Cloud Files Mini Filter Driver។ បញ្ហានេះស្រដៀងគ្នាទៅនឹង CVE-2023-36036 ដែលជាភាពងាយរងគ្រោះនៃការបង្កើនសិទ្ធិ Zero-day នៅក្នុងបច្ចេកវិទ្យាដូចគ្នា ក្រុមហ៊ុន Microsoft បានបង្ហាញកាលពីខែវិច្ឆិកា ឆ្នាំ២០២៣ នៅក្នុង Security update។ បញ្ហានៃការបង្កើនសិទ្ធិដទៃទៀតមាន CVE-2024-20653 នៅក្នុង Windows Common Log File System បញ្ហា CVE-2024-20698 នៅក្នុង Windows Kernel បញ្ហា CVE-2024-20683 នៅក្នុង Win32K និងបញ្ហា CVE-2024-20686 នៅក្នុង Win32K។ ក្រុមហ៊ុន Microsoft បានលើកឡើងថាបញ្ហាទាំងនេះជាបញ្ហាដែលហេគឃ័រអាចនឹងកេងចំណេញ បើយោងតាមសំដីរបស់ Satnam Narang វិស្វករស្រាវជ្រាវបុគ្គលិកនៅ Tenable។ បញ្ហាទាំងនេះត្រូវបានប្រើជាផ្នែកមួយបន្ទាប់ពីត្រូវបានសម្របសម្រួលដើម្បីគ្រប់គ្រង ឬអាចនិយាយបានថា នៅពេលហេគឃ័របានចូលបោះទីតាំងនៅក្នុងប្រព័ន្ធ។
Abbasi និយាយថា ក្នុងចំណោមគុណវិបត្តិដែលក្រុមហ៊ុន Microsoft ចាត់ថ្នាក់ថាមានសារៈសំខាន់ ប៉ុន្តែដែលត្រូវការ ការយកចិត្តទុកដាក់យ៉ាងរហ័សនោះគឺ CVE-2024-0056 គឺជាមុខងារដើម្បីការពារសុវត្ថិភាពនៅក្នុង SQL ។ គួរសំគាល់ថា កំហុសអាចឱ្យអ្នកវាយប្រហារធ្វើការវាយប្រហារដោយ Machine-In-The-Middle និងការស្ទាក់ចាប់ និងអាចផ្លាស់ប្តូរនូវ TLS Traffic រវាងម៉ាស៊ីន Client និងម៉ាស៊ីនមេ។ “ប្រសិនបើត្រូវបានកេងប្រវ័ញ្ច អ្នកវាយប្រហារអាចធ្វើការ decrypt, read, ឬក៏ Modify Secure TLS Traffic ដើម្បីអាចបំពានលើការសម្ងាត់ និងភាពត្រឹមត្រូវនៃទិន្នន័យ។ Abbasi បានបន្តថា អ្នកវាយប្រហារអាចប្រើប្រាស់ទៅលើចំណុចកំហុសឆ្គងដើម្បីអាចកេងប្រវ័ញ្ចលើ SQL Server តាមរយៈSQL Data Provider ។
https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១០ ខែមករា ឆ្នាំ២០២៤
