Breaking News

แคสเปอร์สกี แล็บ เผยช่องโหว่สำคัญในระบบวินโดวส์ที่กลุ่มอาชญกรลึกลับใช้แสวงหาประโยชน์

เทคโนโลยีการตรวจจับอัตโนมัติของ แคสเปอร์สกี แล็บ ตรวจพบช่องโหว่แปลกปลอมในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ ซึ่งช่องโหว่นี้ถูกกลุ่มอาชญากรลึกลับใช้เพื่อแสวงหาประโยชน์ในการควบคุมการทำงานของอุปกรณ์เป้าหมายได้แบบเบ็ดเสร็จ โดยเป้าหมายของการโจมตีคือแกนกลางระบบ (Kernel) ผ่านช่องโหว่ที่สร้างขึ้น (Backdoor) จากองค์ประกอบหลักของระบบปฏิบัติการวินโดวส์เอง

ช่องโหว่คือมัลแวร์ประเภทหนึ่งที่มีอันตรายมาก เพราะเป็นสิ่งที่เปิดทางให้ผู้โจมตีสามารถเข้าทำการควบคุมเครื่องจักรที่ติดมัลแวร์ได้โดยตรงเพื่อจุดประสงค์ร้ายต่าง ๆ แม้ว่าการนำเสนอสิทธิพิเศษจากเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเป็นเรื่องที่ยากจะหลบซ่อนจากโซลูชั่นด้านความปลอดภัยของระบบ อย่างไรก็ตาม ช่องโหว่ที่ใช้บั้ก (Bug) ในระบบซึ่งโซลูชั่นยังไม่เคยรู้จักมาก่อน (ซึ่งเรียกช่องโหว่แบบนี้ว่า Zero-day Vulnerability) จะมีโอกาสสูงมากในการรอดพ้นจากการตรวจจับของโซลูชั่น เพราะโซลูชั่นด้านความปลอดภัยทั่วไปจะไม่สามารถจดจำการติดมัลแวร์ของระบบหรือปกป้องผู้ใช้งานจากการโจมตีที่ยังไม่รู้จักได้
กระนั้น เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) ของแคสเปอร์สกี แล็บ ก็สามารถตรวจจับความพยายามของการใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ โดยรูปแบบการโจมตีที่ตรวจพบคือ เมื่อไฟล์นามสกุล .exe ที่เป็นอันตรายเริ่มต้นทำงาน มันจะเริ่มการติดตั้งมัลแวร์ การโจมตีจะใช้ประโยชน์จากช่องโหว่แบบ Zero-day Vulnerability และใช้เอกสิทธิ์การคงอยู่อย่างถาวรในเครื่องจักรของเหยื่อ หลังจากนั้น มัลแวร์จะเริ่มต้นการทำงานของช่องโหว่ที่สร้างขึ้นจากองค์ประกอบหลักในระบบปฏิบัติการวินโดวส์ ซึ่งเป็นสิ่งที่มีอยู่ในเครื่องจักรทุกเครื่องที่ใช้งานระบบปฏิบัติงานนี้ในรูปแบบโครงสร้างคำสั่งขนาดเล็ก (Scripting framework) ที่เรียกว่า Windows PowerShell ด้วยวิธีการนี้ทำให้ผู้โจมตีสามารถแฝงตัวอย่างลับ ๆ และหลบเลี่ยงการตรวจจับได้ ทำให้พวกมันมีเวลาในการเขียนรหัสสำหรับสร้างเครื่องมือโจมตี หลังจากนั้น มัลแวร์จะดาวน์โหลดช่องโหว่อีกอันจากบริการจัดเก็บข้อความในระบบที่ถูกใช้งานบ่อย ซึ่งทำให้อาชญกรสามารถเข้ามาควบคุมระบบที่ติดมัลแวร์ได้ทั้งหมดแบบเบ็ดเสร็จ

“สำหรับการโจมตีรูปแบบนี้ เราสังเกตพบ 2 แนวโน้มหลักที่มักพบเห็นในอาชญากรรมทางคอมพิวเตอร์ (Advanced Persistent Threats – APTs) แนวโน้มแรกคือการใช้ประโยชน์จากสิทธิพิเศษของเว็บไซต์ภายนอกที่เพิ่มมากขึ้นเพื่อการคงอยู่ในเครื่องจักรของเหยื่ออย่างถาวร แนวโน้มที่สองคือการใช้โครงสร้างที่มีอยู่แล้วในระบบ เช่น Windows PowerShell เพื่อการโจมตีเครื่องจักรของเหยื่อ การผสานแนวโน้มทั้งสองนี้ทำให้ผู้โจมตีสามารถสร้างทางลัดหลบเลี่ยงโซลูชั่นด้านความปลอดภัยตามมาตรฐานได้ ซึ่งในการตรวจจับเทคนิคเหล่านี้ โซลูชั่นด้านความปลอดภัยจำเป็นต้องใช้เทคโนโลยีการป้องกันช่องโหว่ (Exploit Prevention) และเครื่องจักรสำหรับการตรวจสอบพฤติกรรมที่ผิดปกติในการใช้งานเว็บไซต์” อันทอน อิวานอฟ ผู้เชี่ยวชาญด้านความปลอดภัยแห่ง แคสเปอร์สกี แล็บ อธิบาย

ผลิตภัณฑ์ของ แคสเปอร์สกี แล็บ สามารถตรวจจับการหาประโยชน์โดยมิชอบได้ ในรูปแบบของ:

– HEUR:Exploit.Win32.Generic

– HEUR:Trojan.Win32.Generic

– PDM:Exploit.Win32.Generic

ช่องโหว่นี้ได้ถูกรายงานกับทางไมโครซอฟต์และได้มีการออกโปรแกรมซ่อมแซมจุดบกพร่องในระบบ (Patch) เมื่อวันที่ 10 เมษายน ที่ผ่านมา

แคสเปอร์สกี แล็บ ยังได้แนะนำมาตรการเพื่อป้องกันการสร้างช่องโหว่แบบ Zero-day Vulnerability ในระบบปฏิบัติการวินโดวส์ ดังนี้

– เมื่อช่องโหว่ถูกปิดและมีการดาวน์โหลดโปรแกรม Patch เพื่อแก้ไขระบบ ผู้โจมตีจะหมดโอกาสในการใช้งานช่องโหว่นั้น จึงควรติดตั้ง Patch ของไมโครซอฟต์เพื่อปิดช่องโหว่ใหม่ให้เร็วที่สุด

– หากคุณวิตกกังวลถึงความปลอดภัยขององค์กรของคุณในภาพรวม จงมั่นใจว่าซอฟต์แวร์ทุกตัวได้รับการอัพเดตทันทีที่มีการปล่อย Patch ด้านความปลอดภัยตัวใหม่ออกมา และใช้ผลิตภัณฑ์ด้านความปลอดภัยที่มีการประเมินช่องโหว่และการจัดการ Patch เพื่อให้มั่นใจได้ว่าขั้นตอนเหล่านี้จะทำงานโดยอัตโนมัติ

– ใช้โซลูชั่นที่ผ่านการพิสูจน์แล้วซึ่งมีความสามารถในการตรวจสอบพฤติกรรมการใช้งานเว็บไซต์ เพื่อการป้องกันการโจมตีที่ยังไม่รู้จัก อาทิ โซลูชั่น Kaspersky Endpoint Security

– มั่นใจว่าทีมงานด้านความปลอดภัยของคุณสามารถเข้าถึงข่าวสารภัยคุกคามอัจฉริยะที่มีข้อมูลเป็นปัจจุบัน โดยลูกค้าของ Kaspersky Intelligence Reporting สามารถรับรายงานข่าวสารเรื่องการพัฒนาในแวดวงภัยคุกคามล่าสุด หากต้องการรายละเอียดเพิ่มเติม ติตต่อที่ intelreports@kaspersky.com

– สิ่งสุดท้าย มั่นใจว่าพนักงานของคุณได้รับการฝึกอบรมในเรื่องพื้นฐานการรักษาความปลอดภัยทางไซเบอร์

อ่านรายละเอียดทั้งหมดในเรื่องช่องโหว่ในระบบได้ที่ Securelist

หากต้องการศึกษาเพิ่มเติมเกี่ยวกับเทคโนโลยีที่ช่วยตรวจจับช่องโหว่รูปแบบ Zero-days Vulnerability รวมถึงช่องโหว่รูปแบบอื่น ๆ ในระบบปฏิบัติการไมโครซอฟต์วินโดวส์ สามารถดูจากคลิปไฟล์ เว็บบินาร์ ของแคสเปอร์สกี แล็บ ได้

ks.jpg

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

กลับมาอีกครั้ง! โปรโมชั่นพิเศษ “DAYS OF PLAY” จากโซนี่ อินเตอร์แอคทีฟ เอนเตอร์เทนเมนต์ สิงคโปร์

กลับมาอีกครั้ง! …

%d bloggers like this: