Kernel

เผยช่องโหว่สำคัญในแกนกลาง (Kernel) ในปฏิบัติการวินโดวส์ ที่อาชญกรไซเบอร์ใช้เพื่อใช้ประโยชน์จากในเครื่อง หรือโจมตีเครื่องของเหยื่อเพิ่มขึ้น…

Highlight

  • ระบบปฏิบัติการไมโครซอฟต์วินโดวส์ มีช่องโหว่ในแกนกลางของระบบ (Kernel) ซึ่งอาชญากรไซเบอร์สามารถใช้บั้ก (Bug) ในระบบซึ่งโซลูชั่นยังไม่เคยรู้จักมาก่อน และจะฝั่งมัลแวร์แฝงตัวอย่างลับ ๆ เผื่อหลบเลี่ยงการตรวจจับ และมีเวลาในการเขียนรหัสสำหรับสร้างเครื่องมือโจมตี และสั่งเปิดทางให้สามารถเข้าทำการควบคุมเครื่อง 
  • 2 แนวโน้ม ที่พบเมื่อเครื่องถูกควบคุม 1.ใช้ประโยชน์จากสิทธิพิเศษของเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเพื่อการคงอยู่ในเครื่องจักรของเหยื่ออย่างถาวร และ 2.ใช้โครงสร้างที่มีอยู่แล้วในระบบ เช่น Windows PowerShell เพื่อการโจมตีเครื่องจักรของเหยื่อ การผสานแนวโน้มทั้งสองนี้ทำให้ผู้โจมตีสามารถสร้างทางลัดหลบเลี่ยงโซลูชั่นด้านความปลอดภัยตามมาตรฐานได้
  • ย่างไรก็ดีช่องโหว่นี้ได้ถูกรายงานกับทางไมโครซอฟต์ และได้มีการออกโปรแกรมซ่อมแซมจุดบกพร่องในระบบ (Patch) เมื่อวันที่ 10 เมษายน 2019 ที่ผ่านมาแล้ว

2 แนวโน้มที่อาชญกรไซเบอร์ใช้โจมตีระบบปฏิบัติการแกนกลาง (Kernel) วินโดวส์

เมื่อไม่นานมานี้ทาง แคสเปอร์สกี แล็บ ได้ออกมาเผยถึงผลของการใช้เทคโนโลยีการตรวจจับอัตโนมัติตรวจช่องโหว่แปลกปลอมในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ ซึ่งพบว่า มีช่องโหว่ให้อาชญากรไซเบอร์ ใช้เพื่อแสวงหาประโยชน์ในการโจมตีคือแกนกลางระบบ (Kernel) ผ่านช่องโหว่ที่สร้างขึ้น (Backdoor) 

เพื่อควบคุมการทำงานของอุปกรณ์เป้าหมายได้แบบเบ็ดเสร็จ ซึ่งช่องโหว่ดังกล่าวคือช่องทางที่เหล่าอาชญากรไซเบอร์สามารถใช้บั้ก (Bug) ในระบบซึ่งโซลูชั่นยังไม่เคยรู้จักมาก่อน หรือ Zero-day Vulnerability ซึ่งอาชญากรไซเบอร์จะใช้ มัลแวร์ สั่งเริ่มต้นการทำงานของช่องโหว่ที่สร้างขึ้นจากองค์ประกอบหลัก

ในระบบปฏิบัติการวินโดวส์ ซึ่งเป็นสิ่งที่มีอยู่ในเครื่องทุกเครื่องที่ใช้งานระบบปฏิบัติวินโดวส์ ในรูปแบบโครงสร้างคำสั่งขนาดเล็ก (Scripting framework) ที่เรียกว่า Windows PowerShell ด้วยวิธีการนี้ทำให้อาชญากรไซเบอร์สามารถแฝงตัวอย่างลับ ๆ  และหลบเลี่ยงการตรวจจับได้

Kernel

อีกทั้งยังทำให้ มีเวลาในการเขียนรหัสสำหรับสร้างเครื่องมือโจมตี หลังจากนั้น มัลแวร์ จะดาวน์โหลดช่องโหว่อีกอันจากบริการจัดเก็บข้อความในระบบที่ถูกใช้งานบ่อย ซึ่งทำให้อาชญากรไซเบอร์สามารถเข้ามาควบคุมระบบที่ติดมัลแวร์

และสั่งเปิดทางให้สามารถเข้าทำการควบคุมเครื่องที่ติดมัลแวร์ได้โดยตรง เพื่อจุดประสงค์ร้ายต่าง ๆ โดยมีโอกาสที่รอดพ้นจากการตรวจจับของโซลูชั่นทั่วไปที่มีอยู่ในเครืองได้ เนื่องจากโซลูชั่นด้านความปลอดภัยทั่วไปจะไม่สามารถจดจำการติดมัลแวร์ของระบบหรือปกป้องผู้ใช้งานจากการโจมตีที่ยังไม่รู้จักได้

อันทอน อิวานอฟ ผู้เชี่ยวชาญด้านความปลอดภัยแห่ง แคสเปอร์สกี แล็บ กล่าวว่า สำหรับการโจมตีรูปแบบนี้ เราสังเกตพบ 2 แนวโน้ม หลักที่มักพบเห็นในอาชญากรรมทางคอมพิวเตอร์ (Advanced Persistent Threats – APTs)

  • แนวโน้มแรก คือการใช้ประโยชน์จากสิทธิพิเศษของเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเพื่อการคงอยู่ในเครื่องจักรของเหยื่ออย่างถาวร
  • แนวโน้มที่สอง คือการใช้โครงสร้างที่มีอยู่แล้วในระบบ เช่น Windows PowerShell เพื่อการโจมตีเครื่องจักรของเหยื่อ การผสานแนวโน้มทั้งสองนี้ทำให้ผู้โจมตีสามารถสร้างทางลัดหลบเลี่ยงโซลูชั่นด้านความปลอดภัยตามมาตรฐานได้

ซึ่งในการตรวจจับเทคนิคเหล่านี้ โซลูชั่นด้านความปลอดภัยจำเป็นต้องใช้เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) และเครื่องจักรสำหรับการตรวจสอบพฤติกรรมที่ผิดปกติในการใช้งานเว็บไซต์ อย่างไรก็ดี เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) ของแคสเปอร์สกี แล็บ ก็สามารถตรวจจับความพยายาม

ของการใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ โดยรูปแบบการโจมตีที่ตรวจพบคือ เมื่อไฟล์นามสกุล .exe ที่เป็นอันตรายเริ่มต้นทำงาน มันจะเริ่มการติดตั้งมัลแวร์ ซึ่ง ผลิตภัณฑ์ของ แคสเปอร์สกี แล็บ สามารถตรวจจับการหาประโยชน์โดยมิชอบได้ ในรูปแบบของ

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

ซึ่งช่องโหว่นี้ได้ถูกรายงานกับทางไมโครซอฟต์ และได้มีการออกโปรแกรมซ่อมแซมจุดบกพร่องในระบบ (Patch) เมื่อวันที่ 10 เมษายน ที่ผ่านมาแล้ว

Kernel

มาตรการเพื่อป้องกันการสร้างช่องโหว่แบบ Zero-day Vulnerability

  • เมื่อช่องโหว่ถูกปิดและมีการดาวน์โหลดโปรแกรม Patch เพื่อแก้ไขระบบ ผู้โจมตีจะหมดโอกาสในการใช้งานช่องโหว่นั้น จึงควรติดตั้ง Patch ของไมโครซอฟต์เพื่อปิดช่องโหว่ใหม่ให้เร็วที่สุด
  • หากคุณวิตกกังวลถึงความปลอดภัยขององค์กรของคุณในภาพรวม จงมั่นใจว่าซอฟต์แวร์ทุกตัวได้รับการอัพเดตทันทีที่มีการปล่อย Patch ด้านความปลอดภัยตัวใหม่ออกมา และใช้ผลิตภัณฑ์ด้านความปลอดภัยที่มีการประเมินช่องโหว่และการจัดการ Patch เพื่อให้มั่นใจได้ว่าขั้นตอนเหล่านี้จะทำงานโดยอัตโนมัติ
  • ใช้โซลูชั่นที่ผ่านการพิสูจน์แล้วซึ่งมีความสามารถในการตรวจสอบพฤติกรรมการใช้งานเว็บไซต์ เพื่อการป้องกันการโจมตีที่ยังไม่รู้จัก อาทิ โซลูชั่น Kaspersky Endpoint Security
  • มั่นใจว่าทีมงานด้านความปลอดภัยของคุณสามารถเข้าถึงข่าวสารภัยคุกคามอัจฉริยะที่มีข้อมูลเป็นปัจจุบัน โดยลูกค้าของ Kaspersky Intelligence Reporting สามารถรับรายงานข่าวสารเรื่องการพัฒนาในแวดวงภัยคุกคามล่าสุด หากต้องการรายละเอียดเพิ่มเติม ติตต่อที่ intelreports@kaspersky.com
  • สิ่งสุดท้าย มั่นใจว่าพนักงานของคุณได้รับการฝึกอบรมในเรื่องพื้นฐานการรักษาความปลอดภัยทางไซเบอร์
ส่วนขยาย

* บทความนี้เรียบเรียงขึ้นเพื่อการวิเคราะห์ในแง่มุมที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการและผู้สื่อข่าว)
*** ขอขอบคุณภาพบางส่วนจาก www.pexels.com, www.idc.com

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่