เผยช่องโหว่สำคัญในแกนกลาง (Kernel) ในปฏิบัติการวินโดวส์ ที่อาชญกรไซเบอร์ใช้เพื่อใช้ประโยชน์จากในเครื่อง หรือโจมตีเครื่องของเหยื่อเพิ่มขึ้น…
Highlight
- ระบบปฏิบัติการไมโครซอฟต์วินโดวส์ มีช่องโหว่ในแกนกลางของระบบ (Kernel) ซึ่งอาชญากรไซเบอร์สามารถใช้บั้ก (Bug) ในระบบซึ่งโซลูชั่นยังไม่เคยรู้จักมาก่อน และจะฝั่งมัลแวร์แฝงตัวอย่างลับ ๆ เผื่อหลบเลี่ยงการตรวจจับ และมีเวลาในการเขียนรหัสสำหรับสร้างเครื่องมือโจมตี และสั่งเปิดทางให้สามารถเข้าทำการควบคุมเครื่อง
- 2 แนวโน้ม ที่พบเมื่อเครื่องถูกควบคุม 1.ใช้ประโยชน์จากสิทธิพิเศษของเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเพื่อการคงอยู่ในเครื่องจักรของเหยื่ออย่างถาวร และ 2.ใช้โครงสร้างที่มีอยู่แล้วในระบบ เช่น Windows PowerShell เพื่อการโจมตีเครื่องจักรของเหยื่อ การผสานแนวโน้มทั้งสองนี้ทำให้ผู้โจมตีสามารถสร้างทางลัดหลบเลี่ยงโซลูชั่นด้านความปลอดภัยตามมาตรฐานได้
- ย่างไรก็ดีช่องโหว่นี้ได้ถูกรายงานกับทางไมโครซอฟต์ และได้มีการออกโปรแกรมซ่อมแซมจุดบกพร่องในระบบ (Patch) เมื่อวันที่ 10 เมษายน 2019 ที่ผ่านมาแล้ว
2 แนวโน้มที่อาชญกรไซเบอร์ใช้โจมตีระบบปฏิบัติการแกนกลาง (Kernel) วินโดวส์
เมื่อไม่นานมานี้ทาง แคสเปอร์สกี แล็บ ได้ออกมาเผยถึงผลของการใช้เทคโนโลยีการตรวจจับอัตโนมัติตรวจช่องโหว่แปลกปลอมในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ ซึ่งพบว่า มีช่องโหว่ให้อาชญากรไซเบอร์ ใช้เพื่อแสวงหาประโยชน์ในการโจมตีคือแกนกลางระบบ (Kernel) ผ่านช่องโหว่ที่สร้างขึ้น (Backdoor)
เพื่อควบคุมการทำงานของอุปกรณ์เป้าหมายได้แบบเบ็ดเสร็จ ซึ่งช่องโหว่ดังกล่าวคือช่องทางที่เหล่าอาชญากรไซเบอร์สามารถใช้บั้ก (Bug) ในระบบซึ่งโซลูชั่นยังไม่เคยรู้จักมาก่อน หรือ Zero-day Vulnerability ซึ่งอาชญากรไซเบอร์จะใช้ มัลแวร์ สั่งเริ่มต้นการทำงานของช่องโหว่ที่สร้างขึ้นจากองค์ประกอบหลัก
ในระบบปฏิบัติการวินโดวส์ ซึ่งเป็นสิ่งที่มีอยู่ในเครื่องทุกเครื่องที่ใช้งานระบบปฏิบัติวินโดวส์ ในรูปแบบโครงสร้างคำสั่งขนาดเล็ก (Scripting framework) ที่เรียกว่า Windows PowerShell ด้วยวิธีการนี้ทำให้อาชญากรไซเบอร์สามารถแฝงตัวอย่างลับ ๆ และหลบเลี่ยงการตรวจจับได้
อีกทั้งยังทำให้ มีเวลาในการเขียนรหัสสำหรับสร้างเครื่องมือโจมตี หลังจากนั้น มัลแวร์ จะดาวน์โหลดช่องโหว่อีกอันจากบริการจัดเก็บข้อความในระบบที่ถูกใช้งานบ่อย ซึ่งทำให้อาชญากรไซเบอร์สามารถเข้ามาควบคุมระบบที่ติดมัลแวร์
และสั่งเปิดทางให้สามารถเข้าทำการควบคุมเครื่องที่ติดมัลแวร์ได้โดยตรง เพื่อจุดประสงค์ร้ายต่าง ๆ โดยมีโอกาสที่รอดพ้นจากการตรวจจับของโซลูชั่นทั่วไปที่มีอยู่ในเครืองได้ เนื่องจากโซลูชั่นด้านความปลอดภัยทั่วไปจะไม่สามารถจดจำการติดมัลแวร์ของระบบหรือปกป้องผู้ใช้งานจากการโจมตีที่ยังไม่รู้จักได้
อันทอน อิวานอฟ ผู้เชี่ยวชาญด้านความปลอดภัยแห่ง แคสเปอร์สกี แล็บ กล่าวว่า สำหรับการโจมตีรูปแบบนี้ เราสังเกตพบ 2 แนวโน้ม หลักที่มักพบเห็นในอาชญากรรมทางคอมพิวเตอร์ (Advanced Persistent Threats – APTs)
- แนวโน้มแรก คือการใช้ประโยชน์จากสิทธิพิเศษของเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเพื่อการคงอยู่ในเครื่องจักรของเหยื่ออย่างถาวร
- แนวโน้มที่สอง คือการใช้โครงสร้างที่มีอยู่แล้วในระบบ เช่น Windows PowerShell เพื่อการโจมตีเครื่องจักรของเหยื่อ การผสานแนวโน้มทั้งสองนี้ทำให้ผู้โจมตีสามารถสร้างทางลัดหลบเลี่ยงโซลูชั่นด้านความปลอดภัยตามมาตรฐานได้
ซึ่งในการตรวจจับเทคนิคเหล่านี้ โซลูชั่นด้านความปลอดภัยจำเป็นต้องใช้เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) และเครื่องจักรสำหรับการตรวจสอบพฤติกรรมที่ผิดปกติในการใช้งานเว็บไซต์ อย่างไรก็ดี เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) ของแคสเปอร์สกี แล็บ ก็สามารถตรวจจับความพยายาม
ของการใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ โดยรูปแบบการโจมตีที่ตรวจพบคือ เมื่อไฟล์นามสกุล .exe ที่เป็นอันตรายเริ่มต้นทำงาน มันจะเริ่มการติดตั้งมัลแวร์ ซึ่ง ผลิตภัณฑ์ของ แคสเปอร์สกี แล็บ สามารถตรวจจับการหาประโยชน์โดยมิชอบได้ ในรูปแบบของ
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
ซึ่งช่องโหว่นี้ได้ถูกรายงานกับทางไมโครซอฟต์ และได้มีการออกโปรแกรมซ่อมแซมจุดบกพร่องในระบบ (Patch) เมื่อวันที่ 10 เมษายน ที่ผ่านมาแล้ว
มาตรการเพื่อป้องกันการสร้างช่องโหว่แบบ Zero-day Vulnerability
- เมื่อช่องโหว่ถูกปิดและมีการดาวน์โหลดโปรแกรม Patch เพื่อแก้ไขระบบ ผู้โจมตีจะหมดโอกาสในการใช้งานช่องโหว่นั้น จึงควรติดตั้ง Patch ของไมโครซอฟต์เพื่อปิดช่องโหว่ใหม่ให้เร็วที่สุด
- หากคุณวิตกกังวลถึงความปลอดภัยขององค์กรของคุณในภาพรวม จงมั่นใจว่าซอฟต์แวร์ทุกตัวได้รับการอัพเดตทันทีที่มีการปล่อย Patch ด้านความปลอดภัยตัวใหม่ออกมา และใช้ผลิตภัณฑ์ด้านความปลอดภัยที่มีการประเมินช่องโหว่และการจัดการ Patch เพื่อให้มั่นใจได้ว่าขั้นตอนเหล่านี้จะทำงานโดยอัตโนมัติ
- ใช้โซลูชั่นที่ผ่านการพิสูจน์แล้วซึ่งมีความสามารถในการตรวจสอบพฤติกรรมการใช้งานเว็บไซต์ เพื่อการป้องกันการโจมตีที่ยังไม่รู้จัก อาทิ โซลูชั่น Kaspersky Endpoint Security
- มั่นใจว่าทีมงานด้านความปลอดภัยของคุณสามารถเข้าถึงข่าวสารภัยคุกคามอัจฉริยะที่มีข้อมูลเป็นปัจจุบัน โดยลูกค้าของ Kaspersky Intelligence Reporting สามารถรับรายงานข่าวสารเรื่องการพัฒนาในแวดวงภัยคุกคามล่าสุด หากต้องการรายละเอียดเพิ่มเติม ติตต่อที่ intelreports@kaspersky.com
- สิ่งสุดท้าย มั่นใจว่าพนักงานของคุณได้รับการฝึกอบรมในเรื่องพื้นฐานการรักษาความปลอดภัยทางไซเบอร์
ส่วนขยาย
* บทความนี้เรียบเรียงขึ้นเพื่อการวิเคราะห์ในแง่มุมที่น่าสนใจ
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการและผู้สื่อข่าว)
*** ขอขอบคุณภาพบางส่วนจาก www.pexels.com, www.idc.com
สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่
