นักวิจัยด้านความปลอดภัย SandboxEscaper ได้เปิดเผยโค้ดที่เป็น Bug ใน Advanced Local Procedure Call (ALPC) บน Windows Task Scheduler ช่องโหว่นี้เกิดขึ้นกับ API SchRpcSetSecurity เป็นเหตุให้ Hacker สามารถข้ามผ่านการตรวจสอบสิทธิ์ผู้ใช้ และอนุญาตให้ Hacker เขียนไฟล์ใน C: \ Windows \ Task ทำให้ Hacker มีสิทธิเข้าถึงบัญชีระดับ SYSTEM ทั้งหมด
ช่องโหว่นี้มีผลกระทบกับ Window7 จนถึง Windows 10
งานนี้นักวิจัยจากมัลแวร์จาก ESET ตั้งข้อสังเกตว่า ช่องโหว่นี้มาจากลุ่ม Hacker ที่เรียกว่า PowerPool เพราะว่ามีการใช้ PowerShell เป็นเครื่องมือ เป้าหมายนั้นก็อยู่ที่ GoogleUpdate.exe เพราะนักพัฒนาของ PowerPool เลือกที่จะเปลี่ยนเนื้อหาในไฟล์ C:\Program Files (x86)\Google\Update\GoogleUpdate.exe ซึ่งเป็นไฟล์ที่ถูกต้องในการอัปเดตแอพพลิเคชั่นของ Google ซึ่งจะรันด้วยสิทธิของผู้ดูแลระบบบน Microsoft Windows task เป็นประจำ
ช่องโหว่นี้ทำให้ PowerPool สามารถเขียนโปรแกรม copy ทับลงบนตัวอัปเดตของ Google จาก Backdoor เมื่อมีการเรียกใช้ตัวอัปเดตในครั้งต่อไป ก็จะมีการเปิดใช้งาน Backdoor ด้วย SYSTEM
แม้ว่า Microsoft จะไม่ได้แก้ไขช่องโหว่ที่เกิดขึ้นนี้ แต่คาดว่าอาจจะมีแพตช์อัปเดตเพื่อปิดช่องโหว่นี้ที่กำลังจะออกมาในวันที่ 11 กันยายนนี้ ในระหว่างนี้ Karsten Nilsen ผู้เชี่ยวชาญจาก CleverIT แนะนำให้ปิดการใช้งาน scheduled tasks และไม่อนุญาตให้รัน แต่วิธีการนี้อาจหยุดการแจ้งเตือนที่สร้างไว้ก่อนหน้านี้
ผู้ใช้ Windows 10 64 บิต เวอร์ชั่น 1803 แก้ไขชั่วคราว โดยใช้ micropatchซึ่งต้องทำการติดตั้ง 0patch Agent จาก Acros Security ก่อน
ที่มาภาพ: Bleeping Computer