แคสเปอร์สกี แล็บ เผยช่องโหว่สำคัญในระบบวินโดวส์ที่กลุ่มอาชญกรลึกลับใช้แสวงหาประโยชน์

ข่าวประชาสัมพันธ์ไอที อินเทอร์เน็ท Friday April 19, 2019 16:21
กรุงเทพฯ--19 เม.ย.--มิดัส พีอาร์

เทคโนโลยีการตรวจจับอัตโนมัติของ แคสเปอร์สกี แล็บ ตรวจพบช่องโหว่แปลกปลอมในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ ซึ่งช่องโหว่นี้ถูกกลุ่มอาชญากรลึกลับใช้เพื่อแสวงหาประโยชน์ในการควบคุมการทำงานของอุปกรณ์เป้าหมายได้แบบเบ็ดเสร็จ โดยเป้าหมายของการโจมตีคือแกนกลางระบบ (Kernel) ผ่านช่องโหว่ที่สร้างขึ้น (Backdoor) จากองค์ประกอบหลักของระบบปฏิบัติการวินโดวส์เอง

ช่องโหว่คือมัลแวร์ประเภทหนึ่งที่มีอันตรายมาก เพราะเป็นสิ่งที่เปิดทางให้ผู้โจมตีสามารถเข้าทำการควบคุมเครื่องจักรที่ติดมัลแวร์ได้โดยตรงเพื่อจุดประสงค์ร้ายต่าง ๆ แม้ว่าการนำเสนอสิทธิพิเศษจากเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเป็นเรื่องที่ยากจะหลบซ่อนจากโซลูชั่นด้านความปลอดภัยของระบบ อย่างไรก็ตาม ช่องโหว่ที่ใช้บั้ก (Bug) ในระบบซึ่งโซลูชั่นยังไม่เคยรู้จักมาก่อน (ซึ่งเรียกช่องโหว่แบบนี้ว่า Zero-day Vulnerability) จะมีโอกาสสูงมากในการรอดพ้นจากการตรวจจับของโซลูชั่น เพราะโซลูชั่นด้านความปลอดภัยทั่วไปจะไม่สามารถจดจำการติดมัลแวร์ของระบบหรือปกป้องผู้ใช้งานจากการโจมตีที่ยังไม่รู้จักได้

กระนั้น เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) ของแคสเปอร์สกี แล็บ ก็สามารถตรวจจับความพยายามของการใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ โดยรูปแบบการโจมตีที่ตรวจพบคือ เมื่อไฟล์นามสกุล .exe ที่เป็นอันตรายเริ่มต้นทำงาน มันจะเริ่มการติดตั้งมัลแวร์ การโจมตีจะใช้ประโยชน์จากช่องโหว่แบบ Zero-day Vulnerability และใช้เอกสิทธิ์การคงอยู่อย่างถาวรในเครื่องจักรของเหยื่อ หลังจากนั้น มัลแวร์จะเริ่มต้นการทำงานของช่องโหว่ที่สร้างขึ้นจากองค์ประกอบหลักในระบบปฏิบัติการวินโดวส์ ซึ่งเป็นสิ่งที่มีอยู่ในเครื่องจักรทุกเครื่องที่ใช้งานระบบปฏิบัติงานนี้ในรูปแบบโครงสร้างคำสั่งขนาดเล็ก (Scripting framework) ที่เรียกว่า Windows PowerShell ด้วยวิธีการนี้ทำให้ผู้โจมตีสามารถแฝงตัวอย่างลับ ๆ และหลบเลี่ยงการตรวจจับได้ ทำให้พวกมันมีเวลาในการเขียนรหัสสำหรับสร้างเครื่องมือโจมตี หลังจากนั้น มัลแวร์จะดาวน์โหลดช่องโหว่อีกอันจากบริการจัดเก็บข้อความในระบบที่ถูกใช้งานบ่อย ซึ่งทำให้อาชญกรสามารถเข้ามาควบคุมระบบที่ติดมัลแวร์ได้ทั้งหมดแบบเบ็ดเสร็จ

"สำหรับการโจมตีรูปแบบนี้ เราสังเกตพบ 2 แนวโน้มหลักที่มักพบเห็นในอาชญากรรมทางคอมพิวเตอร์ (Advanced Persistent Threats - APTs) แนวโน้มแรกคือการใช้ประโยชน์จากสิทธิพิเศษของเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเพื่อการคงอยู่ในเครื่องจักรของเหยื่ออย่างถาวร แนวโน้มที่สองคือการใช้โครงสร้างที่มีอยู่แล้วในระบบ เช่น Windows PowerShell เพื่อการโจมตีเครื่องจักรของเหยื่อ การผสานแนวโน้มทั้งสองนี้ทำให้ผู้โจมตีสามารถสร้างทางลัดหลบเลี่ยงโซลูชั่นด้านความปลอดภัยตามมาตรฐานได้ ซึ่งในการตรวจจับเทคนิคเหล่านี้ โซลูชั่นด้านความปลอดภัยจำเป็นต้องใช้เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) และเครื่องจักรสำหรับการตรวจสอบพฤติกรรมที่ผิดปกติในการใช้งานเว็บไซต์" อันทอน อิวานอฟ ผู้เชี่ยวชาญด้านความปลอดภัยแห่ง แคสเปอร์สกี แล็บ อธิบาย

ผลิตภัณฑ์ของ แคสเปอร์สกี แล็บ สามารถตรวจจับการหาประโยชน์โดยมิชอบได้ ในรูปแบบของ:

*HEUR:Exploit.Win32.Generic
*HEUR:Trojan.Win32.Generic
*PDM:Exploit.Win32.Generic

ช่องโหว่นี้ได้ถูกรายงานกับทางไมโครซอฟต์และได้มีการออกโปรแกรมซ่อมแซมจุดบกพร่องในระบบ (Patch) เมื่อวันที่ 10 เมษายน ที่ผ่านมา

แคสเปอร์สกี แล็บ ยังได้แนะนำมาตรการเพื่อป้องกันการสร้างช่องโหว่แบบ Zero-day Vulnerability ในระบบปฏิบัติการวินโดวส์ ดังนี้

*เมื่อช่องโหว่ถูกปิดและมีการดาวน์โหลดโปรแกรม Patch เพื่อแก้ไขระบบ ผู้โจมตีจะหมดโอกาสในการใช้งานช่องโหว่นั้น จึงควรติดตั้ง Patch ของไมโครซอฟต์เพื่อปิดช่องโหว่ใหม่ให้เร็วที่สุด

*หากคุณวิตกกังวลถึงความปลอดภัยขององค์กรของคุณในภาพรวม จงมั่นใจว่าซอฟต์แวร์ทุกตัวได้รับการอัพเดตทันทีที่มีการปล่อย Patch ด้านความปลอดภัยตัวใหม่ออกมา และใช้ผลิตภัณฑ์ด้านความปลอดภัยที่มีการประเมินช่องโหว่และการจัดการ Patch เพื่อให้มั่นใจได้ว่าขั้นตอนเหล่านี้จะทำงานโดยอัตโนมัติ

*ใช้โซลูชั่นที่ผ่านการพิสูจน์แล้วซึ่งมีความสามารถในการตรวจสอบพฤติกรรมการใช้งานเว็บไซต์ เพื่อการป้องกันการโจมตีที่ยังไม่รู้จัก อาทิ โซลูชั่น Kaspersky Endpoint Security

*มั่นใจว่าทีมงานด้านความปลอดภัยของคุณสามารถเข้าถึงข่าวสารภัยคุกคามอัจฉริยะที่มีข้อมูลเป็นปัจจุบัน โดยลูกค้าของ Kaspersky Intelligence Reporting สามารถรับรายงานข่าวสารเรื่องการพัฒนาในแวดวงภัยคุกคามล่าสุด หากต้องการรายละเอียดเพิ่มเติม ติตต่อที่ intelreports@kaspersky.com

*สิ่งสุดท้าย มั่นใจว่าพนักงานของคุณได้รับการฝึกอบรมในเรื่องพื้นฐานการรักษาความปลอดภัยทางไซเบอร์

อ่านรายละเอียดทั้งหมดในเรื่องช่องโหว่ในระบบได้ที่ Securelist

หากต้องการศึกษาเพิ่มเติมเกี่ยวกับเทคโนโลยีที่ช่วยตรวจจับช่องโหว่รูปแบบ Zero-days Vulnerability รวมถึงช่องโหว่รูปแบบอื่น ๆ ในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ สามารถดูจากคลิปไฟล์ เว็บบินาร์ ของแคสเปอร์สกี แล็บ ได้


Latest Press Release

ภาพข่าว: เก็ท ร่วมกับป.ป.ส. จัดอบรม #เก็ท x ป.ป.ส. ร่วมใจ ระวังภัยยาเสพติดครั้งที่ 1 ให้คนขับ

เก็ท (GET) แอพพลิเคชั่นที่ให้บริการเรียกรถ ส่งอาหาร และรับส่งพัสดุ จับมือกับสำนักงานป้องกันและปราบปรามยาเสพติด จัดการอบรมในหัวข้อ 'เก็ท x ป.ป.ส. ร่วมใจระวังภัยยาเสพติดครั้งที่ 1' โดยวิทยากรผู้เชี่ยวชาญจากทางป.ป.ส. เพื่อร่วมเสริมสร้างความรู้...

Sumitomo Life ประกาศทดสอบการใช้งาน VYMO

บริษัท สุมิโตโม ไลฟ์ อินชัวรันซ์ ("Sumitomo Life", สำนักงานใหญ่: โอซาก้า; ประธานบริษัทและซีอีโอ: Masahiro Hashimoto) และ Abeam Consulting Ltd. ("Abeam Consulting", สำนักงานใหญ่: โตเกียว; ประธานบริษัทและซีอีโอ: Toshinori Iwasawa)...

my by CAT อำนวยความสะดวกให้ผู้โดยสาร สนับสนุนแท่นชาร์ตกว่า 60 จุด ให้ทุกการเดินทางไม่พลาดการติดต่อสื่อสาร ณ ท่าอากาศยานดอนเมือง

นายวิโรจน์ โตเจริญวาณิช รองกรรมการผู้จัดการใหญ่ สายงานสื่อสารไร้สาย บริษัท กสท โทรคมนาคม จำกัด (มหาชน) เปิดเผยว่า my by CAT บริการโทรศัพท์มือถือและอินเทอร์เน็ต 4G และ 3G จากบริษัท กสท โทรคมนาคม จำกัด (มหาชน)...

CleverTap แต่งตั้งผู้บริหารระดับสูง เดินหน้าเร่งพัฒนาผลิตภัณฑ์และขยายตลาด

คุณ Anand Jain ผู้ร่วมก่อตั้งบริษัท รับตำแหน่งประธานเจ้าหน้าที่ฝ่ายกลยุทธ์อย่างเป็นทางการ ขณะที่คุณ Vishal Anand อดีตผู้บริหารบริษัท Perion และบริษัท Dailyhunt รับตำแหน่งประธานเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ CleverTap ผู้ให้บริการเทคโนโลยีบริหารวงจรชีวิตลูกค้า...

แคมเบียม เน็ตเวิร์คประกาศผู้ชนะรางวัล Wireless Connectivity Hero Award ประจำไตรมาสแรกของปี 2562

- เชิดชูผู้นำที่สละเวลาส่วนตัวเพื่อมอบการเชื่อมต่อไร้สายให้กับโรงเรียนและศูนย์พักพิงผู้ประสบภัยพิบัติ แคมเบียม เน็ตเวิร์ค (Cambium Networks) ผู้ให้บริการโซลูชั่นเครือข่ายไร้สายชั้นนำของโลก ประกาศรายชื่อผู้ชนะรางวัล Cambium Networks Connectivity Heroes...

Related Topics