Microsoft ដោះស្រាយបញ្ហា Zero-day របស់ Windows Smart App Control ដែលត្រូវបានកេងចំណេញតាំងពីឆ្នាំ២០១៨

0

ក្រុមហ៊ុន Microsoft បានដោះស្រាយបញ្ហា Windows Smart App Control និង SmartScreen flaw ដែលត្រូវបានកេងចំណេញក្នុងទម្រង់ជា Zero-day នៅក្នុងការវាយប្រហារយ៉ាងហោចណាស់តាំងពីឆ្នាំ២០១៨ ។នៅលើប្រព័ន្ធងាយរងគ្រោះ ហេគឃ័របានកេងចំណេញលើភាពងាយរងគ្រោះ (បច្ចុប្បន្ន Tracked CVE-2024-38217) ដើម្បីគេចពីការគ្រប់គ្រង Smart App និងមុខងារសុវត្ថិភាព Mark of the Web (MotW) សម្រាប់បើកដំណើរការប្រព័ន្ធ Binaries មិនទុកចិត្ត និងកម្មវិធីគ្រោះថ្នាក់ដោយគ្មានការព្រមាន។ ក្រុមហ៊ុន Microsoft បានពន្យល់ថា ដើម្បីកេងចំណេញលើភាពងាយរងគ្រោះនេះ ហេគឃ័រអាចបង្ហោះ (Host) ឯកសារនៅលើម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយហេគឃ័រ បន្ទាប់មកធ្វើឱ្យអ្នកប្រើទុកចិត្ត និងដោនឡូត ហើយបើកឯកសារ។ នៅពេលបើកឯកសារ មានន័យថាបើកការអនុញ្ញាតឱ្យហេគឃ័រកេងចំណេញលើមុខងារ Mark of the Web។

Smart App Control LNK stomping demo

ហេគឃ័រអាចបង្កើតឯកសារព្យាបាទ ដែលអាចបំពានលើ Mark of the Web (MOTW) Defenses ហើយបណ្តាលឱ្យបាត់បង់នូវភាពត្រឹមត្រូវ និងមុខងារសុវត្ថិភាពដូចជា SmartSreen Application Reputation ការឆែកសុវត្ថិភាព និងការចាប់យកសេវាសុវត្ថិភាព Windows Attachment Services។ Smart App Control នៅក្នុង Window 11 ប្រើសេវា Microsoft’s App Intelligence និងកូដមុខងារត្រឹមត្រូវ (Intergrity Features) ដើម្បីតាមចាប់ និងរារាំងកម្មវិធី ឬ Binaries ដែលគ្រោះថ្នាក់។ វាជំនួសដោយ SmartScreen នៅក្នុង Window 11 ប៉ុន្តែ SmartScreen នៅតែមិនអាចគ្រប់គ្រងបាន ប្រសិនបើ Smart App Control មិនត្រូវបានបើកសម្រាប់ការពារប្រឆាំងនឹង Content គ្រោះថ្នាក់ទាំងនោះ។ មុខងារសុវត្ថិភាពក៏ត្រូវបានបើកដំណើរការផងដែរ នៅពេលអ្នកប្រើប្រាស់ព្យាយាមចង់បើកឯកសារដែលបាន Marke ជាមួយនឹង “Mark of the Web” Label។ កាលពីខែមុន បន្ទប់ពិសោធន៍ Elastic Security បានបង្ហាញពី CVE-2024-38217 ថាជាបញ្ហានៅក្នុងការគ្រប់គ្រងលើ LNK files ដែលគេស្គាល់ថាជាការក្លែងបន្លំលើ LNK។ បញ្ហានេះអនុញ្ញាតឱ្យហេគឃ័រអាចឆ្លងកាត់មុខងារសុវត្ថិភាព Smart App Control ដែលជាការរារាំងកម្មវិធីដែលមិនគួរឱ្យទុកចិត្តមិនឱ្យដំណើរការ (Launching)។

ការក្លែងបន្លំ LNK ពាក់ព័ន្ធនឹងការបង្កើត LNK files នៅក្នុងទីតាំង (Paths) ឬ Structure ខាងក្នុងនៃក្រុមគោលដៅមិនធម្មតា។ នៅពេលអ្នកប្រើប្រាស់បានចុចលើឯកសារណាមួយ Windows Explorer (explorer.exe) ត្រូវបានកែសម្រួល the LNK file ដោយស្វ័យប្រវត្តិ ដើម្បីប្រើប្រាស់ទម្រង់ស្តង់ដាររបស់វា។ ទោះជាយ៉ាងណា ដំណើរការនេះក៏ត្រូវប្ានលុប (Removes) “Mark of the Web” (MotW) Label ចេញពីឯកសារដែលបានដោនឡូត គឺជាសញ្ញា (Marker) ដែលជាមុខងារសុវត្ថិភាព Windows ប្រើសម្រាប់ជំរុញការឆែកសុវត្ថិភាពដោយស្វ័យប្រវត្តិ។ ដើម្បីកេងចំណេញលើបញ្ហានេះ ហេគឃ័រអាចបន្ថែម Dot ឬ Space ទៅលើ Path គោលដៅដែលដំណើរការ (ឧ. ការបន្ថែមឈ្មោះដូចជា “Powershell.exe”) ឬបង្កើត LNK file ដែលមាន Path ដូចជា “.\target.exe.” នៅពេលក្រុមគោលដៅដែលជាជនរងគ្រោះបានចុចលើលីង Windows Explorer ដែលមានបង្ហាញអត្តសញ្ញាណប្រតិបត្តិការមើលទៅត្រឹមត្រូវ ហើយធ្វើបច្ចុប្បន្នភាព Path លុប MotW Label និងដំណើរការឯកសារ ហើយឆ្លងកាត់ការឆែកសុវត្ថិភាព។

បន្ទប់ពិសោធន៍ Elastic Security Labs បានថ្លែងកាលពីខែសីហាថា មានហេតុផលដែលមិនគួរឲ្យជឿថាភាពងាយរងគ្រោះត្រូវបានកេងចំណេញអស់រយៈពេលជាច្រើនឆ្នាំ ជាក់ស្តែងដូចករណីជាច្រើនត្រូវបានរកឃើញនៅលើ VirusTotal ដែលជាកាលបរិច្ឆេទយូរជាងគេ បើគិតថយក្រោយទៅមានរយៈពេលមិនតិចជាង ៦ឆ្នាំទេ។ ក្រុមហ៊ុនបានចែកការរកឃើញនេះជាមួយមជ្ឈមណ្ឌលឆ្លើយតបសុវត្ថិភាព Microsoft ដែលបានដឹងពីបញ្ហា និងថ្លែងថា វាប្រហែលជានឹងត្រូវដោះស្រាយជាមួយនឹងបច្ចុប្បន្នភាព Windows នាពេលខាងមុខនេះ៕

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-smart-app-control-zero-day-exploited-since-2018/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១០ ខែកញ្ញា ឆ្នាំ២០២៤

LEAVE A REPLY

Please enter your comment!
Please enter your name here