ក្រុមហ៊ុន Microsoft ដោះស្រាយបញ្ហា Zero-day ដែលត្រូវបានកេងចំណេញដោយមេរោគ QakBot

0

ក្រុមហ៊ុន Microsoft បានដោះស្រាយបញ្ហាភាពងាយរងគ្រោះ Zero-Day នៅក្នុងការវាយប្រហារមួយដែលបញ្ជូនមេរោគ QakBot និងមេរោគផ្សេងទៀតមានផ្ទុក (Payloads) នៅលើប្រព័ន្ធ Windows ដែលងាយរងគ្រោះ។បញ្ហា CVE-2024-30051 ជាកំហុសនៃការបង្កើនសិទ្ធិពិសេសកើតឡើងដោយសារលំហូរដ៏គំហុគ (Heap-Based Buffer Overflow) នៅក្នុង DWM (Desktop Window Manager) Core Library។ តាមពីក្រោយការកេងចំណេញដែលទទួលបានជោគជ័យ ហេគឃ័រអាចបង្កើនសិទ្ធិពិសេសនៅក្នុងប្រព័ន្ធ (SYSTEM Privileges)។ Desktop Window Manager គឺជាសេវា Windows ដែលបានណែនាំនៅក្នុង Windows Vista អនុញ្ញាត OS ឱ្យប្រើការបង្កើនល្បឿន Hardware នៅពេលបង្ហាញ (Rendering) Graphical User Interface Elements ដូចជា Glass Window Frames និង 3D Transition Animations។

អ្នកស្រាវជ្រាវសុវត្ថិភាពនៅ Kaspersky  បានរកឃើញភាពងាយរងគ្រោះ នៅពេលស៊ើបអង្កេតបញ្ហានៃការបង្កើនសិទ្ធិ Window DWM Core Library ដែលមានឈ្មោះថា CVE-2023-36033 និងត្រូវបានកេងចំណេញលើបញ្ហា Zero-Day នៅក្នុងការវាយប្រហារ។ ខណៈពេលនៃការរួមបញ្ចូលគ្នាតាមរយៈទិន្នន័យពាក់ព័ន្ធនឹងការកេងចំណេញ និងការវាយប្រហារនាពេលថ្មីៗ ពួកគេបានប្រទះឃើញឯកសារដែលបានបង្ហោះនៅលើ VirusTotal កាលពីដើមខែមេសា ឆ្នាំ២០២៤។ ឈ្មោះឯកសារមានបង្កប់ន័យថា វាមានផ្ទុកព័ត៌មានលម្អិតពីភាពងាយរងគ្រោះនៅលើ Windows។ នៅពេលពួកគេបានរកឃើញ ឯកសារបានផ្តល់ព័ត៌មាននៅក្នុងទម្រង់ជាភាសាអង់គ្លេសតែមិនអាចអានបាន (Broken English) ដែលចាត់ទុកថាភាពងាយរងគ្រោះ Window Desktop Window Manager (DWM) ដែលអាចត្រូវបានកេងចំណេញ ដើម្បីបង្កើនសិទ្ធិពិសេសចូលទៅកាន់ SYSTEM ជាមួយនឹងការរៀបរាប់ពីដំណើរការនៃការកេងចំណេញដ៏ល្អឥតខ្ចោះ ដែលឆ្លុះបញ្ចាំងពីការប្រើប្រាស់នៅក្នុងការវាយប្រហារ CVE-2023-36033 បើទោះជាវារៀបរាប់ពីភាពងាយរងគ្រោះដ៏ចម្លែកក្តី។ បើទោះជា ឯកសារខូចគុណភាព និងការខកខានខ្លះស្តីពីរបៀបភាពងាយរងគ្រោះត្រូវបានកេងចំណេញ ក្រុមហ៊ុន Kaspersky បានបញ្ជាក់ពីភាពងាយរងគ្រោះនៃការបង្កើនសិទ្ធិពិសេស Zero-Day ថ្មីនៅក្នុង DWM Core Library។ ក្រុមហ៊ុន Microsoft បានកំណត់ពីបញ្ហា CVE-2024-30051 CVE ID និងបានដាក់ចេញនូវ Patch សម្រាប់សុវត្ថិភាពក្នុងការការពារទៅលើភាពងាយរងគ្រោះនៅក្នុង Patch Tuesday សម្រាប់ខែនេះ។

ក្រុមហ៊ុន Kaspersky បានថ្លែងថា បន្ទាប់ពីការផ្ញើលទ្ធផលរបស់យើងទៅកាន់ក្រុមហ៊ុន Microsoft យើងចាប់ផ្តើមត្រួតពិនិត្យលើស្ថិតិ (Statistics) នៅក្នុងការស្រាវជ្រាវស្វែងរកការកេងចំណេញ និងការវាយប្រហារ ដែលបានកេងចំណេញលើភាពងាយរងគ្រោះ Zero-Day នេះ និងកាលពីពាក់កណ្តាលខែមេសា ត្រូវបានរកឃើញការកេងចំណេញលើភាពងាយរងគ្រោះ Zero-Day នេះ។ យើងបានឃើញហេគឃ័រប្រើមេរោគ QakBot និងមេរោគ Malware ផ្សេងទៀតជាមួយគ្នា និងជឿថាហេគឃ័រចម្រុះក៏បានប្រើមេរោគនេះដូចគ្នា។ អ្នកស្រាវជ្រាវសុវត្ថិភាពនៅក្រុម Google Threat Analysis, DBAPPSecurity WeBin Lab និង Google Mandiant ក៏បានរាយការណ៍ពីបញ្ហា Zero-Day ទៅក្រុមហ៊ុន Microsoft ដែលចង្អុលបង្ហាញពីការរីករាលដាននៃការកេងចំណេញនៅក្នុងការវាយប្រហារតាមរយៈមេរោគ Malware។ មេរោគ QakBot (ក៏ដូចជា QBot) បានចាប់ផ្តើមក្នុងទម្រង់ជាមេរោគធនាគារ (Banking Trojan) កាលពីឆ្នាំ២០១៨ ហើយត្រូវបានប្រើសម្រាប់លួចអត្តសញ្ញាណ Website Cookies និងកាតក្រេឌីតដើម្បីប្រព្រឹត្តបទល្មើសឆបោកផ្នែកហិរញ្ញវត្ថុ។ ក្រោយមក មេរោគ QakBot វិវត្តទៅជាសេវាបញ្ជូនមេរោគ Malware ដែលសហការជាមួយក្រុមហេគឃ័រផ្សេង ដើម្បីផ្តល់ដំណើរការចាប់ផ្តើម (Initial Access) ទៅជាសហគ្រាស និង Home Networks សម្រាប់វាយប្រហារជាលក្ខណៈមេរោគចាប់ជម្រិត ចារកម្ម និងលួចទិន្នន័យ។

ខណៈពេលដែលហេដ្ឋារចនាសម្ព័ន្ធត្រូវបានបង្ក្រាបកាលពីខែសីហា ឆ្នាំ២០២៣ ដោយប្រតិបត្តិការអនុវត្តច្បាប់ដោយ FBI និងត្រូវបានស្គាល់ថាជាប្រតិបត្តិការ ‘Duck Hunt’ មេរោគ Malware បានពាក់មុខជាយុទ្ធនាការឆបោកដែលមានគោលដៅលើឧស្សាហកម្មបដិសណ្ឋារកិច្ចកាលពីខែធ្នូ។ ការអនុវត្តច្បាប់ពាក់ព័ន្ធនឹងមេរោគ QakBot យ៉ាងហោចណាស់មានមេរោគចាប់ជម្រិតមិនតិចជាង ៤០ ដែលមានគោលដៅវាយប្រហារលើក្រុមហ៊ុន សេវាសុខាភិបាល ទីភ្នាក់ងាររដ្ឋាភិបាលនៅទូទាំងពិភពលោក បើយោងតាមការស៊ើបអង្កេត ដែលបណ្តាលឱ្យខាតបង់ប្រាក់រាប់រយលានដុល្លារ។ អស់រយៈពេលជាច្រើនឆ្នាំមកនេះ មេរោគ QakBot បានដើរតួនាទីជាវ៉ិចទ័រចម្លងមេរោគនៅពេលចាប់ផ្តើមមុនក្រុមមេរោគចាប់ជម្រិតផ្សេងៗ និងសាខារបស់ពួកគេរួមមាន Conti, ProLock, Egregor, REvil, RansomExx, MegaCortext និងថ្មីៗនេះក៏មាន Black Basta ចូលរួមផងដែរ៕

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-zero-day-exploited-in-qakbot-malware-attacks/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៤ ខែឧសភា ឆ្នាំ២០២៤

LEAVE A REPLY

Please enter your comment!
Please enter your name here