Executive Summary
ทางศูนย์ CSOC พบรายงานการแจ้งเตือนช่องโหว่ Hijacking Bypasses บน Windows 10 และ Windows 11
ซึ่งนักวิจัยด้านความปลอดภัยมีรายละเอียดเกี่ยวกับไลบรารีลิงก์แบบไดนามิก (DLL) ที่ใช้เทคนิค Hijacking technique
ที่แฮกเกอร์ใช้ในการหลีกเลี่ยงกลไกความปลอดภัยเพื่อส่งรหัสโค้ดที่เป็นอันตรายไปในระบบที่ใช้ Microsoft Windows 10
และ Windows 11 โดยใช้วิธีการ Leverage executables ที่พบได้ทั่วไปในโฟลเดอร์ WinSxS ที่เชื่อถือได้และใช้ประโยชน์
จากการโจมตี DLL แบบคลาสสิก
การโจมตีด้วย DLL search order hijacking เกี่ยวข้องกับการเลียนแบบลำดับการค้นหา DLL เพื่อให้มีการโหลด
Payload ที่เป็น Malware เพื่อการหลีกเลี่ยงการตรวจจับการคงอยู่ในระบบและการเพิ่มสิทธิซึ่งการโจมตีลักษณะนี้จะเน้น
ไปที่แอปพลิเคชันที่ไม่ระบุเส้นทางสำหรับไลบรารีที่ต้องการ แต่จะพึงพาการค้นหาลำดับที่กำหนดไว้เพื่อหา DLL ที่จำเป็น
บนดิสก์โดยผู้โจมตีได้ใช้ประโยชน์จากการย้ายไบนารีของระบบที่มีมาตรฐานไปยังไดเรกทอรีที่ไม่ได้มาตรฐานซึ่งรวมถึง
DLLs ที่เป็นอันตรายที่ได้รับการตั้งชื่อตามมาตรฐานเพื่อให้ไลบรารีที่มีรหัสการโจมตีถูกนำมาใช้งานแทน
เนื่องจากกระบวนการที่เรียกใช้ DLL จะค้นหาที่อยู่ของไลบรารีตั้งแต่ต้นก่อนที่จะวนลูปผ่านไดเรกทอรีอื่นๆ
ตามลำดับเพื่อค้นหาและโหลดทรัพยากรที่ต้องการ ลำดับการค้นหานี้ประกอบด้วย
1. ไดเรกทอรีที่เปิดตัวแอปพลิเคชัน
2. โฟลเดอร์ C:WindowsSystem32
3. โฟลเดอร์ C:WindowsSystem
4. โฟลเดอร์ C:Windows
5. ไดเรกทอรีการท างานปัจจุบัน
6. ไดเรกทอรีที่ระบุไว้ในตัวแปรสภาพแวดล้อม PATH ของระบบ
7. ไดเรกทอรีที่ระบุไว้ในตัวแปรสภาพแวดล้อม PATH ของผู้ใช้
8. การบิดแบบใหม่ที่คิดค้นโดย Security Joes ก าหนดเป้าหมายไฟล์ที่อยู่ในโฟลเดอร์C:WindowsWinSxS
ที่เชื่อถือได้
ทีมนักวิจัยด้านความปลอดภัยค้นพบวิธีการหาประโยชน์ที่ซ่อนเร้นรวมถึงการค้นหาไบนารีที่มีช่องโหว่ใน
โฟลเดอร์ WinSxS เช่น ngentask.exe และ aspnet_wp.exe ที่ผสมผสานกับวิธีการค้นหาค าสั่ง DLL และการวางไฟล์
DLL โดยมีกลยุทธ์ที่ใช้ชื่อเดียวกับ DLL ที่ถูกต้องในโฟลเดอร์ที่ก าหนด ท าให้เกิดการโจมตีได้โดยไม่ต้องคัดลอกไฟล์จาก
โฟลเดอร์ WinSxS อย่างไรก็ตามความเสี่ยงที่ไบนารีในโฟลเดอร์ WinSxS ซึ่งต้องการความระมัดระวังในการหาประโยชน์
ขององค์กรรวมถึงการตรวจสอบกิจกรรมของไบนารีในโฟลเดอร์ WinSxS เป็นปัจจัยส าคัญโดยเน้นไปที่การสื่อสารผ่าน
เครือข่ายและการทำงานของไฟล์
ศูนย์ CSOC แนะนำให้ลูกค้าตรวจสอบรายละเอียดด้านความปลอดภัยของ DLL Search Order ในอุปกรณ์
Windows 10 และ Windows 11 ที่ใช้งานอยู่ภายในองค์กรตลอดจนดำเนินการตรวจสอบกิจกรรมที่น่าสงสัยทั้งหมดที่
ดำเนินการโดยไบนารีที่อยู่ในโฟลเดอร์ WinSxS โดยมุ่งเน้นไปที่การสื่อสารผ่านเครือข่ายและการทำงานของไฟล์ซึ่งช่อง
โหว่นี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ต่อองค์กรที่ใช้งานอุปกรณ์ Windows 10 และ11 ที่ได้รับผลกระทบ
และต้องมีการด าเนินการต่างๆ เพื่อลดความเสี่ยงอย่างเร่งด่วน ทั้งนี้ในช่วงเวลาที่รายงานฉบับนี้ออก (1 ม.ค. 2567) และ
ยังพบ Proof-of-concept code สำหรับการโจมตีช่องโหว่นี้และยังพบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ใน
อินเทอร์เน็ต
รายละเอียดของช่องโหว่โดยสรุป
• ผลิตภัณฑ์ที่ได้รับผลกระทบ: Windows 10, Windows 11
• หน่วยงานที่ออกค าแนะน าด้านความปลอดภัย: Security Joes
• ผลกระทบ (Impact): Hijacking Bypasses Windows 10 and 11
• การแก้ไขปัญหา:
o ตรวจสอบกิจกรรมที่น่าสงสัยทั้งหมดที่ด าเนินการโดยไบนารีที่อยู่ในโฟลเดอร์ WinSxS โดยมุ่งเน้นไปที่
การสื่อสารผ่านเครือข่ายและการทำงานของไฟล์
ข้อมูลที่พบจาก Threat intelligence
• ในช่วงเวลาที่รายงานฉบับนี้ออก (1 ม.ค. 2567) ยังพบ Proof-of-concept code ส าหรับการโจมตีช่องโหว่นี้ และ
ยังพบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
ทั้งนี้การแก้ไข Configuration เพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว ลูกค้าควรปฏิบัติตาม Change
Management Policy หรือ Risk Management Policy หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
ข้อมูลอ้างอิง
• https://thehackernews.com/2024/01/new-variant-of-dll-search-order.html