พบช่องโหว่ที่ถูกใช้ในการโจมตีแบบ Local Privilege Escalation ผ่านทาง Windows Update
สำหรับช่องโหว่ CVE-2025-21204 ซึ่งเป็นช่องโหว่ Local Privilege Escalation ในระบบ Windows Update Stack โดยอาศัยการใช้ Symbolic Links และ Directory Junctions เพื่อหลอกกระบวนการอัปเดตของ Windows ให้รันโค้ดที่ทำให้ผู้ไม่ประสงค์ดีควบคุมสิทธิ์ระดับ SYSTEM ได้ ช่องโหว่เกิดจากการอัปเดตของ Windows ผ่าน MoUsoCoreWorker.exe และ UsoClient.exe ที่รันในสิทธิ์ SYSTEM และเข้าถึงโฟลเดอร์ C:\ProgramData\Microsoft\UpdateStack\Tasks โดยไม่ได้ตรวจสอบความถูกต้องของไฟล์ในโฟลเดอร์ดังกล่าวอย่างเพียงพอ
การโจมตีเริ่มต้นจากการวาง Payload PowerShell Script ไว้ใน Directory ที่ควบคุมได้ บน C:\inetpub\wwwroot จากนั้นจะลบโฟลเดอร์ Tasks ที่อยู่ในโดยกระบวนการอัปเดตของ Windows และแทนที่ด้วย Junction ที่ชี้ไปยังตำแหน่งของ Payload เมื่อกระบวนการอัปเดตของ Windows ทำงาน ตัวระบบจะเข้าถึง Path ที่ถูก Redirect และทำการรันไฟล์ Payload โดยไม่ได้ตรวจสอบสิทธิ์หรือความถูกต้อง ทำให้ผู้ไม่ประสงค์ดีได้รับสิทธิ์ระดับ SYSTEM โดยสมบูรณ์
คำแนะนำ:
- ควรตรวจสอบการใช้ Symbolic Link และ Junction
- ควรตรวจสอบและล็อกการเข้าถึงไดเรกทอรีสำคัญ
- ควรจำกัดสิทธิ์ของผู้ใช้
- ควรเสริมความปลอดภัยด้วย Endpoint Protection
- ควรติดตั้งแพตช์ความปลอดภัยล่าสุด