Microsoft fixes Windows zero-day exploited in ransomware attacks
Microsoft ได้แก้ไขช่องโหว่ Zero-day ที่ช่วยให้ผู้โจมตีใช้เพื่อหลีกเลี่ยงการตรวจจับมัลแวร์บนคลาวด์ของ Windows SmartScreen และปรับใช้ Payloads ของแรนซัมแวร์ Magniber ผู้โจมตีได้ใช้ไฟล์ MSI ที่เป็นอันตรายที่ใช้ Authenticode signature ที่สร้างขึ้นเป็นพิเศษเพื่อใช้ประโยชน์จาก CVE-2023-24880 เพื่อหลีกเลี่ยงการตรวจจับ
แม้ว่า signature ที่ใช้จะไม่ถูกต้อง แต่ก็เพียงพอที่จะทำให้ SmartScreen และป้องกันต่างๆไม่มีการแจ้งเตือนด้านความปลอดภัยของ Mark-of-the-Web (MotW) แสดงขึ้นมารวมไปถึงการเตือนผู้ใช้ให้ระมัดระวังเมื่อเปิดไฟล์จากอินเทอร์เน็ต CVE-2023-24880 เป็น Zero-day ที่ถูกค้นพบโดยทีม Google Threat Analysis Group (TAG) ซึ่งรายงานเรื่องนี้ต่อ Microsoft เมื่อวันที่ 15 กุมภาพันธ์ 2023
โดยทีม TAG สังเกตเห็นการดาวน์โหลดไฟล์ MSI ที่เป็นอันตรายมากกว่า 100,000 ครั้งตั้งแต่เดือนมกราคม 2023 โดยมากกว่า 80% เป็นผู้ใช้ในยุโรป ซึ่งแตกต่างจากเป้าหมายเดิมของ Magniber ซึ่งมักจะมุ่งเน้นไปที่เกาหลีใต้และไต้หวัน ในปัจจุบันแรมซัมแวร์ Magniber ได้ขยายการโจมตีไปทั่วโลก โดยเปลี่ยนเป้าหมายไปยังประเทศอื่นๆ รวมถึงจีน ไต้หวัน มาเลเซีย ฮ่องกง สิงคโปร์ และยุโรป
https://www.bleepingcomputer.com/news/security/microsoft-fixes-windows-zero-day-exploited-in-ransomware-attacks/