พบช่องโหว่ Zero-day ใน Windows print spooler ทำให้แฮกเกอร์เข้าคุมเครื่องได้

ทีม Google’s Project Zero team ออกมาประกาศตรวจพบช่องโหว่ Zero-day ที่แก้ไขยังไม่ได้รับการแก้ไขอย่างถูกต้องใน Windows print spooler API ซึ่งแฮกเกอร์ยังสามารถเจาะเข้าไปได้

ย้อนกลับไปในช่วงเดือนธันวาคมปี 2019 มีผู้ใช้งานไม่ประสงค์ออกนามที่ทำงานกับ Trend Micro’s Zero Day Initiative (ZDI) ได้รายงานการพบช่องโหว่ใน GDI Print/Print Spooler API (splwow64.exe) ไปยัง Microsoft แต่ในอีกหกเดือนต่อมา Microsoft ก็ยังไม่ได้ออก patch แก้ไขช่องโหว่นี้ ซึ่ง ZDI จึงได้ออกประกาศถึงช่องโหว่นี้ว่าเป็น Zero-day และพบแคมเปญโจมตีในชื่อ “Operation PowerFall” ที่โจมตีไปยังบริษัทในประเทศเกาหลีใต้โดยการเจาะผ่าน Internet Explorer

ช่องโหว่ดังกล่าว คือ CVE-2020-0986 ทำให้แฮกเกอร์สามารถแก้ไข memory ของ process “splwow64.exe” โดยสามารถเรียกใช้ code ต่าง ๆ ได้, สามารถติดตั้ง malware รวมถึงการเรียกดู แก้ไข ลบข้อมูล หรือสร้างบัญชีผู้ใช้งานใหม่โดยมีสิทธิ์การใช้งานเต็มรูปแบบ อย่างไรก็ตาม Microsoft ได้มีการกล่าวถึงช่องโหว่และออก June Patch Tuesday update แต่ Google’s security team ก็ยังพบว่ามีอยู่และมีช่องโหว่ใหม่เพิ่มขึ้นมาคือ CVE-2020-17008 โดย Microsoft แจ้งว่าจะแก้ไขช่องโหว่ดังกล่าวนี้ในวันที่ 21 มกราคม 2021

ที่มา:
https://thehackernews.com/2020/12/google-discloses-poorly-patched-now.html
https://app.recordedfuture.com/live/sc/entity/?name=cve-2020-17008