กลุ่มแรนซัมแวร์ RansomEXX ใช้ช่องโหว่ zero-day ใน Windows CLFS เพิ่มสิทธิ์เป็น SYSTEM

10 May 2568
11
Microsoft เตือนเกี่ยวกับช่องโหว่ Zero-Day หมายเลข CVE-2025-29824 ซึ่งพบใน Windows Common Log File System โดยช่องโหว่นี้เป็นช่องโหว่ประเภท Elevation of Privilege ที่เปิดทางให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์จาก Standard User เป็นระดับ SYSTEM ได้ ช่องโหว่นี้ถูกใช้ในการโจมตีโดยกลุ่มผู้ไม่ประสงค์ดี ที่ใช้ชื่อว่า Storm-2460 ซึ่งมีความเชื่อมโยงกับแรนซัมแวร์ตระกูล RansomEXX Microsoft เปิดเผยว่า ผู้โจมตีใช้ certutil.exe เพื่อดาวน์โหลดไฟล์ MSBuild ที่แฝงมัลแวร์จากเว็บไซต์ที่ถูกบุกรุก ก่อนจะถอดรหัสและเรียกใช้งานผ่าน EnumCalendarInfoA API เพื่อโหลด PipeMagic จากนั้นใช้ dllhost.exe เพื่อรันช่องโหว่ CLFS โดยใช้เทคนิค Memory Corruption ผ่านฟังก์ชัน RtlSetAllBits APIเพื่อเขียนทับ Process token และยกระดับสิทธิ์เป็น SYSTEM ซึ่งเทคนิคนี้ไม่สามารถใช้ได้ใน Windows 11 เวอร์ชัน 24H2 เนื่องจากมีการจำกัดสิทธิ์การเข้าถึงข้อมูลระดับ System โดยหลังจากยกระดับสิทธิ์สำเร็จกลุ่มผู้ไม่ประสงค์ดีจะ inject payload เข้ากระบวนการ winlogon.exe จากนั้นใช้ procdump.exe(จากชุดเครื่องมือ Sysinternals) เพื่อ dump หน่วยความจำของ LSASS และขโมยข้อมูล credential ก่อนที่จะติดตั้งแรนซัมแวร์โดยเข้ารหัสไฟล์ในระบบ และแสดงโน้ตเรียกค่าไถ่ชื่อ !READ_ME_REXX2!.txt โดยนามสกุลไฟล์ที่ถูกเข้ารหัสจะเป็นแบบสุ่ม คำแนะนำ: - ควรเปิดใช้งาน cloud-delivered protection บน Microsoft Defender Antivirus - ควรใช้ระบบ device discovery เพื่อค้นหาอุปกรณ์ที่ยังไม่ได้รับการจัดการ - ควรเปิดใช้ Endpoint Detection and Response (EDR) ในโหมด block - ควรใช้ Attack Surface Reduction (ASR) rules และฟีเจอร์ automated investigation บน Microsoft Defender for Endpoint เพื่อช่วยป้องกันการบุกรุก

Microsoft เตือนเกี่ยวกับช่องโหว่ Zero-Day หมายเลข CVE-2025-29824 ซึ่งพบใน Windows Common Log File System โดยช่องโหว่นี้เป็นช่องโหว่ประเภท Elevation of Privilege ที่เปิดทางให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์จาก Standard User เป็นระดับ SYSTEM ได้ ช่องโหว่นี้ถูกใช้ในการโจมตีโดยกลุ่มผู้ไม่ประสงค์ดี
ที่ใช้ชื่อว่า Storm-2460 ซึ่งมีความเชื่อมโยงกับแรนซัมแวร์ตระกูล RansomEXX

Microsoft เปิดเผยว่า ผู้โจมตีใช้ certutil.exe เพื่อดาวน์โหลดไฟล์ MSBuild ที่แฝงมัลแวร์จากเว็บไซต์ที่ถูกบุกรุก ก่อนจะถอดรหัสและเรียกใช้งานผ่าน EnumCalendarInfoA API เพื่อโหลด PipeMagic จากนั้นใช้ dllhost.exe เพื่อรันช่องโหว่ CLFS โดยใช้เทคนิค Memory Corruption ผ่านฟังก์ชัน RtlSetAllBits APIเพื่อเขียนทับ Process token และยกระดับสิทธิ์เป็น SYSTEM ซึ่งเทคนิคนี้ไม่สามารถใช้ได้ใน Windows 11 เวอร์ชัน 24H2 เนื่องจากมีการจำกัดสิทธิ์การเข้าถึงข้อมูลระดับ System โดยหลังจากยกระดับสิทธิ์สำเร็จกลุ่มผู้ไม่ประสงค์ดีจะ inject payload เข้ากระบวนการ winlogon.exe จากนั้นใช้ procdump.exe(จากชุดเครื่องมือ Sysinternals) เพื่อ dump หน่วยความจำของ LSASS และขโมยข้อมูล credential ก่อนที่จะติดตั้งแรนซัมแวร์โดยเข้ารหัสไฟล์ในระบบ และแสดงโน้ตเรียกค่าไถ่ชื่อ !READ_ME_REXX2!.txt โดยนามสกุลไฟล์ที่ถูกเข้ารหัสจะเป็นแบบสุ่ม

คำแนะนำ:

  • ควรเปิดใช้งาน cloud-delivered protection บน Microsoft Defender Antivirus
  • ควรใช้ระบบ device discovery เพื่อค้นหาอุปกรณ์ที่ยังไม่ได้รับการจัดการ
  • ควรเปิดใช้ Endpoint Detection and Response (EDR) ในโหมด block

ควรใช้ Attack Surface Reduction (ASR) rules และฟีเจอร์ automated investigation บน Microsoft Defender for Endpoint เพื่อช่วยป้องกันการบุกรุก