มีข่าวล่าสุดจาก BleepingComputer เกี่ยวกับการที่กลุ่มแรนซัมแวร์ใช้ช่องโหว่ในโปรแกรม Paragon Partition Manager ในการโจมตีแบบ BYOVD (Bring Your Own Vulnerable Driver) เพื่อยกระดับสิทธิ์ในระบบ Windows
Microsoft พบข้อบกพร่อง 5 จุดในไดรเวอร์ BioNTdrv.sys ของ Paragon Partition Manager หนึ่งในนั้นคือ CVE-2025-0289 ที่ถูกใช้ในการโจมตีแบบศูนย์วันโดยกลุ่มแรนซัมแวร์เพื่อยกระดับสิทธิ์เป็น SYSTEM บน Windows การโจมตีแบบ BYOVD คือการที่แฮกเกอร์นำไดรเวอร์ที่มีช่องโหว่มาใช้ในระบบที่เป้าหมาย แม้ว่า Paragon Partition Manager จะไม่ได้ติดตั้งในระบบก็ยังสามารถถูกโจมตีได้
นักวิจัยจาก Microsoft พบว่าข้อบกพร่องที่ค้นพบมีดังนี้:
1) CVE-2025-0288 – เขียนข้อมูลในหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถเขียนข้อมูลและยกระดับสิทธิ์ได้
2)CVE-2025-0287 – การเข้าถึงชี้ตำแหน่ง null pointer ทำให้สามารถรันโค้ดที่เป็นอันตรายในเคอร์เนลได้
3)CVE-2025-0286 – เขียนข้อมูลในหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถรันโค้ดที่เป็นอันตรายได้
4)CVE-2025-0285 – การแมปหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถยกระดับสิทธิ์โดยการปรับเปลี่ยนการแมปหน่วยความจำ
5) CVE-2025-0289 – การเข้าถึงทรัพยากรของเคอร์เนลอย่างไม่ปลอดภัย ทำให้แฮกเกอร์สามารถรันคำสั่งที่เป็นอันตรายได้
ผู้ใช้ที่ใช้ซอฟต์แวร์ Paragon Partition Manager ควรอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อแก้ไขข้อบกพร่องเหล่านี้ นอกจากนี้ Microsoft ยังได้อัปเดตรายการบล็อกไดรเวอร์ที่มีช่องโหว่เพื่อป้องกันการโหลดไดรเวอร์ที่มีปัญหาบน Windows
สิ่งที่น่าสนใจคือ การโจมตีแบบ BYOVD กำลังเป็นที่นิยมในกลุ่มแรนซัมแวร์ เนื่องจากช่วยให้แฮกเกอร์สามารถยกระดับสิทธิ์ในระบบได้ง่ายขึ้น กลุ่มแรนซัมแวร์ที่เป็นที่รู้จักในใช้การโจมตีแบบนี้ ได้แก่ Scattered Spider, Lazarus, BlackByte, และ LockBit
การป้องกันจากการโจมตีเหล่านี้ ผู้ใช้ควรตรวจสอบและเปิดใช้งานฟีเจอร์ "Microsoft Vulnerable Driver Blocklist" ในการตั้งค่าความปลอดภัยของ Windows
=== การเปิดใช้งานฟีเจอร์ "Microsoft Vulnerable Driver Blocklist" ===
ใน Windows 11 สามารถทำได้ตามขั้นตอนดังนี้:
1) เปิดแอป Windows Security:
- กดปุ่ม Windows แล้วพิมพ์ Windows Security ในช่องค้นหา จากนั้นคลิกที่ผลลัพธ์ที่เกี่ยวข้อง
2) ไปที่ Device security:
- ในหน้าต่าง Windows Security คลิกที่ Device security ทางด้านซ้าย
3) คลิกที่ Core isolation details:
- ในหน้าต่าง Device security คลิกที่ลิงก์ Core isolation details
4) เปิดใช้งาน Microsoft Vulnerable Driver Blocklist:
- ในหน้าต่าง Core isolation details ให้เปิดสวิตช์ Microsoft Vulnerable Driver Blocklist ให้เป็น On
5) หากมีการแจ้งเตือนจาก UAC (User Account Control) ให้คลิก Yes เพื่อยืนยันการเปลี่ยนแปลง
6) ปิดหน้าต่าง Windows Security:
- เมื่อเปิดใช้งานเรียบร้อยแล้ว คุณสามารถปิดหน้าต่าง Windows Security ได้
หากคุณพบว่าตัวเลือกนี้ถูกปิดใช้งาน (greyed out) คุณอาจต้องตรวจสอบว่าฟีเจอร์อื่น ๆ เช่น Memory Integrity (HVCI), Smart App Control, หรือ S mode ถูกเปิดใช้งานอยู่หรือไม่ หากเปิดใช้งานอยู่ คุณอาจต้องปิดฟีเจอร์เหล่านี้ก่อนเพื่อเปิดใช้งาน Microsoft Vulnerable Driver Blocklist
https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/
Microsoft พบข้อบกพร่อง 5 จุดในไดรเวอร์ BioNTdrv.sys ของ Paragon Partition Manager หนึ่งในนั้นคือ CVE-2025-0289 ที่ถูกใช้ในการโจมตีแบบศูนย์วันโดยกลุ่มแรนซัมแวร์เพื่อยกระดับสิทธิ์เป็น SYSTEM บน Windows การโจมตีแบบ BYOVD คือการที่แฮกเกอร์นำไดรเวอร์ที่มีช่องโหว่มาใช้ในระบบที่เป้าหมาย แม้ว่า Paragon Partition Manager จะไม่ได้ติดตั้งในระบบก็ยังสามารถถูกโจมตีได้
นักวิจัยจาก Microsoft พบว่าข้อบกพร่องที่ค้นพบมีดังนี้:
1) CVE-2025-0288 – เขียนข้อมูลในหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถเขียนข้อมูลและยกระดับสิทธิ์ได้
2)CVE-2025-0287 – การเข้าถึงชี้ตำแหน่ง null pointer ทำให้สามารถรันโค้ดที่เป็นอันตรายในเคอร์เนลได้
3)CVE-2025-0286 – เขียนข้อมูลในหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถรันโค้ดที่เป็นอันตรายได้
4)CVE-2025-0285 – การแมปหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถยกระดับสิทธิ์โดยการปรับเปลี่ยนการแมปหน่วยความจำ
5) CVE-2025-0289 – การเข้าถึงทรัพยากรของเคอร์เนลอย่างไม่ปลอดภัย ทำให้แฮกเกอร์สามารถรันคำสั่งที่เป็นอันตรายได้
ผู้ใช้ที่ใช้ซอฟต์แวร์ Paragon Partition Manager ควรอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อแก้ไขข้อบกพร่องเหล่านี้ นอกจากนี้ Microsoft ยังได้อัปเดตรายการบล็อกไดรเวอร์ที่มีช่องโหว่เพื่อป้องกันการโหลดไดรเวอร์ที่มีปัญหาบน Windows
สิ่งที่น่าสนใจคือ การโจมตีแบบ BYOVD กำลังเป็นที่นิยมในกลุ่มแรนซัมแวร์ เนื่องจากช่วยให้แฮกเกอร์สามารถยกระดับสิทธิ์ในระบบได้ง่ายขึ้น กลุ่มแรนซัมแวร์ที่เป็นที่รู้จักในใช้การโจมตีแบบนี้ ได้แก่ Scattered Spider, Lazarus, BlackByte, และ LockBit
การป้องกันจากการโจมตีเหล่านี้ ผู้ใช้ควรตรวจสอบและเปิดใช้งานฟีเจอร์ "Microsoft Vulnerable Driver Blocklist" ในการตั้งค่าความปลอดภัยของ Windows
=== การเปิดใช้งานฟีเจอร์ "Microsoft Vulnerable Driver Blocklist" ===
ใน Windows 11 สามารถทำได้ตามขั้นตอนดังนี้:
1) เปิดแอป Windows Security:
- กดปุ่ม Windows แล้วพิมพ์ Windows Security ในช่องค้นหา จากนั้นคลิกที่ผลลัพธ์ที่เกี่ยวข้อง
2) ไปที่ Device security:
- ในหน้าต่าง Windows Security คลิกที่ Device security ทางด้านซ้าย
3) คลิกที่ Core isolation details:
- ในหน้าต่าง Device security คลิกที่ลิงก์ Core isolation details
4) เปิดใช้งาน Microsoft Vulnerable Driver Blocklist:
- ในหน้าต่าง Core isolation details ให้เปิดสวิตช์ Microsoft Vulnerable Driver Blocklist ให้เป็น On
5) หากมีการแจ้งเตือนจาก UAC (User Account Control) ให้คลิก Yes เพื่อยืนยันการเปลี่ยนแปลง
6) ปิดหน้าต่าง Windows Security:
- เมื่อเปิดใช้งานเรียบร้อยแล้ว คุณสามารถปิดหน้าต่าง Windows Security ได้
หากคุณพบว่าตัวเลือกนี้ถูกปิดใช้งาน (greyed out) คุณอาจต้องตรวจสอบว่าฟีเจอร์อื่น ๆ เช่น Memory Integrity (HVCI), Smart App Control, หรือ S mode ถูกเปิดใช้งานอยู่หรือไม่ หากเปิดใช้งานอยู่ คุณอาจต้องปิดฟีเจอร์เหล่านี้ก่อนเพื่อเปิดใช้งาน Microsoft Vulnerable Driver Blocklist
https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/
มีข่าวล่าสุดจาก BleepingComputer เกี่ยวกับการที่กลุ่มแรนซัมแวร์ใช้ช่องโหว่ในโปรแกรม Paragon Partition Manager ในการโจมตีแบบ BYOVD (Bring Your Own Vulnerable Driver) เพื่อยกระดับสิทธิ์ในระบบ Windows
Microsoft พบข้อบกพร่อง 5 จุดในไดรเวอร์ BioNTdrv.sys ของ Paragon Partition Manager หนึ่งในนั้นคือ CVE-2025-0289 ที่ถูกใช้ในการโจมตีแบบศูนย์วันโดยกลุ่มแรนซัมแวร์เพื่อยกระดับสิทธิ์เป็น SYSTEM บน Windows การโจมตีแบบ BYOVD คือการที่แฮกเกอร์นำไดรเวอร์ที่มีช่องโหว่มาใช้ในระบบที่เป้าหมาย แม้ว่า Paragon Partition Manager จะไม่ได้ติดตั้งในระบบก็ยังสามารถถูกโจมตีได้
นักวิจัยจาก Microsoft พบว่าข้อบกพร่องที่ค้นพบมีดังนี้:
1) CVE-2025-0288 – เขียนข้อมูลในหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถเขียนข้อมูลและยกระดับสิทธิ์ได้
2)CVE-2025-0287 – การเข้าถึงชี้ตำแหน่ง null pointer ทำให้สามารถรันโค้ดที่เป็นอันตรายในเคอร์เนลได้
3)CVE-2025-0286 – เขียนข้อมูลในหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถรันโค้ดที่เป็นอันตรายได้
4)CVE-2025-0285 – การแมปหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถยกระดับสิทธิ์โดยการปรับเปลี่ยนการแมปหน่วยความจำ
5) CVE-2025-0289 – การเข้าถึงทรัพยากรของเคอร์เนลอย่างไม่ปลอดภัย ทำให้แฮกเกอร์สามารถรันคำสั่งที่เป็นอันตรายได้
ผู้ใช้ที่ใช้ซอฟต์แวร์ Paragon Partition Manager ควรอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อแก้ไขข้อบกพร่องเหล่านี้ นอกจากนี้ Microsoft ยังได้อัปเดตรายการบล็อกไดรเวอร์ที่มีช่องโหว่เพื่อป้องกันการโหลดไดรเวอร์ที่มีปัญหาบน Windows
สิ่งที่น่าสนใจคือ การโจมตีแบบ BYOVD กำลังเป็นที่นิยมในกลุ่มแรนซัมแวร์ เนื่องจากช่วยให้แฮกเกอร์สามารถยกระดับสิทธิ์ในระบบได้ง่ายขึ้น กลุ่มแรนซัมแวร์ที่เป็นที่รู้จักในใช้การโจมตีแบบนี้ ได้แก่ Scattered Spider, Lazarus, BlackByte, และ LockBit
การป้องกันจากการโจมตีเหล่านี้ ผู้ใช้ควรตรวจสอบและเปิดใช้งานฟีเจอร์ "Microsoft Vulnerable Driver Blocklist" ในการตั้งค่าความปลอดภัยของ Windows
=== การเปิดใช้งานฟีเจอร์ "Microsoft Vulnerable Driver Blocklist" ===
ใน Windows 11 สามารถทำได้ตามขั้นตอนดังนี้:
1) เปิดแอป Windows Security:
- กดปุ่ม Windows แล้วพิมพ์ Windows Security ในช่องค้นหา จากนั้นคลิกที่ผลลัพธ์ที่เกี่ยวข้อง
2) ไปที่ Device security:
- ในหน้าต่าง Windows Security คลิกที่ Device security ทางด้านซ้าย
3) คลิกที่ Core isolation details:
- ในหน้าต่าง Device security คลิกที่ลิงก์ Core isolation details
4) เปิดใช้งาน Microsoft Vulnerable Driver Blocklist:
- ในหน้าต่าง Core isolation details ให้เปิดสวิตช์ Microsoft Vulnerable Driver Blocklist ให้เป็น On
5) หากมีการแจ้งเตือนจาก UAC (User Account Control) ให้คลิก Yes เพื่อยืนยันการเปลี่ยนแปลง
6) ปิดหน้าต่าง Windows Security:
- เมื่อเปิดใช้งานเรียบร้อยแล้ว คุณสามารถปิดหน้าต่าง Windows Security ได้
หากคุณพบว่าตัวเลือกนี้ถูกปิดใช้งาน (greyed out) คุณอาจต้องตรวจสอบว่าฟีเจอร์อื่น ๆ เช่น Memory Integrity (HVCI), Smart App Control, หรือ S mode ถูกเปิดใช้งานอยู่หรือไม่ หากเปิดใช้งานอยู่ คุณอาจต้องปิดฟีเจอร์เหล่านี้ก่อนเพื่อเปิดใช้งาน Microsoft Vulnerable Driver Blocklist
https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/
0 ความคิดเห็น
0 การแบ่งปัน
90 มุมมอง
0 รีวิว
English