ระบบย่อย Win32k หรือ ไดรเวอร์เคอร์เนล Win32k.sys
ระบบย่อย Win32k หรือ ไดรเวอร์เคอร์เนล Win32k.sys มีหน้าที่เป็น Window Manager,
Screen Output, Input, และกราฟิกของระบบปฏิบัติการ
และทำหน้าที่เป็นส่วนต่อประสานระหว่างฮาร์ดแวร์ Input ประเภทต่างๆ
ดังนั้น การใช้ประโยชน์จากช่องโหว่ประเภทนี้จึงมีแนวโน้ม
ที่จะให้สิทธิ์ขั้นสูงหรือการดำเนินการโค้ด ช่องโหว่ CVE-2023-29336
ถูกกำหนดระดับความรุนแรงของ CVSS v3.1 ที่ 7.8 เนื่องจากอนุญาตให้ผู้ใช้ที่มีสิทธิ์ต่ำ
ได้รับสิทธิ์ระบบ Windows ซึ่งเป็นสิทธิ์โหมดผู้ใช้สูงสุดใน Windows
Avast เผยว่าค้นพบช่องโหว่นี้หลังจากถูกโจมตีแบบซีโร่เดย์
แต่ทางบริษัทได้ปฏิเสธที่จะเปิดเผยรายละเอียดเพิ่มเติมกับ BleepingComputer
ดังนั้นจึงไม่มีความชัดเจนว่าถูกโจมตีอย่างไร
เพื่อสร้างความตระหนักรู้เกี่ยวกับช่องโหว่ที่ถูกโจมตีอย่างต่อเนื่อง
และความจำเป็นในการใช้การอัปเดตความปลอดภัยของ Windows CISA
ยังได้เผยแพร่การแจ้งเตือนและเพิ่มลงในแคตตาล็อก “Known Exploited Vulnerabilities”
และต่อมา หนึ่งเดือนหลังจากอัปเดตแพตช์พร้อมใช้งาน
นักวิเคราะห์ของบริษัท Numen ได้เปิดเผยรายละเอียดทางเทคนิคทั้งหมดเกี่ยวกับ
ช่องโหว่ CVE-2023-29336 และช่องโหว่ PoC สำหรับ Windows Server 2016
Microsoft เผยว่าช่องโหว่นี้จะส่งผลกระทบต่อ Windows รุ่นเก่าเท่านั้น
รวมถึง Windows 10 รุ่นเก่า, Windows Server และ Windows 8
และไม่ส่งผลกระทบต่อ Windows 11
ซึ่งจากการวิเคราะห์ช่องโหว่บน Windows Server 2016 นักวิจัยของ Numen
พบว่า Win32k ล็อกเฉพาะ Window Object แต่ไม่สามารถล็อก Menu Object ได้
เนื่องจากเป็นผลจากการคัดลอกโค้ดที่ล้าสมัยไปยัง Win32k เวอร์ชันใหม่
ทำให้ Menu Object เสี่ยงต่อการถูกดัดแปลงหรือ Hijacks หากแฮกเกอร์แก้ไขที่อยู่เฉพาะในหน่วยความจำระบบ
การควบคุม Menu Object หมายถึงการได้รับสิทธิ์การเข้าถึงระดับเดียวกับโปรแกรมที่เปิดใช้งาน
แต่แม้ว่าขั้นตอนแรกจะไม่ได้รับสิทธิ์ระดับผู้ดูแลระบบของแฮกเกอร์ แต่ก็เป็น SpringBoard
ที่มีประสิทธิภาพที่จะช่วยให้บรรลุเป้าหมายนี้ผ่านขั้นตอนต่อ ๆ ไป
นักวิจัยได้ทดลองด้วยวิธีการจัดการผังหน่วยความจำแบบต่างๆ, การใช้ Exploit Triggers
และฟังก์ชัน Memory Read/Write และพัฒนา PoC ที่ใช้งานได้ซึ่งจะสร้างการยกระดับความน่าเชื่อถือให้กับสิทธิ์ SYSTEM ได้อย่างน่าเชื่อถือ แต่สำหรับช่องโหว่ประเภทนี้ต้องอาศัยการรั่วไหลของ desktop heap handle addresses […] และถ้าปัญหานี้ไม่ได้รับการแก้ไขอย่างละเอียด ก็ยังคงมีความเสี่ยงด้านความปลอดภัยสำหรับระบบเก่า
Numen แนะนำว่าผู้ดูแลระบบควรมองหาการอ่านและเขียน Offset ที่ผิดปกติในหน่วยความจำหรือที่เกี่ยวข้องกับ Window Object ซึ่งอาจบ่งชี้ถึงการใช้ประโยชน์จาก CVE-2023-29336 สำหรับการยกระดับสิทธิ์เฉพาะที่
และ ขอแนะนำให้ผู้ใช้ Windows ทุกคนใช้แพตช์เดือนพฤษภาคม 2023
ซึ่งนอกเหนือจากช่องโหว่ดังกล่าวแล้ว ยังแก้ไขช่องโหว่ Zero-day อีก 2 รายการที่แฮกเกอร์ใช้โจมตี
Ref : https://www.bleepingcomputer.com/news/security/poc-released-for-windows-win32k-bug-exploited-in-attacks/