11/14/2553

เตือนภัย: shortcut (.lnk) ของ Windows มีช่องโหว่…อาจจะระบาดหนักเร็วๆ นี้

 Download Tool :  Windows Shortcut Exploit Protection Tool
http://downloads.sophos.com/custom-tools/Sophos%20Windows%20Shortcut%20Exploit%20Protection%20Tool.msi




ช่วงนี้จะมีข่าวเกี่ยวกับเรื่อง security มากหน่อย สงสัยจะเพราะใกล้งาน Black Hat 2010 ที่ Las Vegas แล้ว (แม้ชื่องานจะเป็น “Black Hat” แต่ผมดูใน Hak5 สังเกตว่าคนที่ไปร่วมงานแต่ละปีมีแต่พวก White Hat Hackers ทั้งนั้นโดยเฉพาะผู้บรรยาย)
ที่จริงช่องโหว่นี้ของ Windows เป็นข่าวมาได้สักพักหนึ่งแล้ว ครั้งแรกที่ผมเห็นข่าวนี้มาจาก The H Online: Trojan spreads via new Windows hole ในวันที่ 15 ที่ผ่านมา ในเนื้อข่าวรายงานว่าทีมของ VirusBlokAda โปรแกรม Antivirus สัญชาติ Belarus ได้ตรวจพบ Trojan ตัวหนึ่งเข้าระบาดใน Windows 7 ผ่านทาง Flash drive โดยไม่ใช้ช่องทาง autorun.inf (ช่องทางสุดคลาสสิกของไวรัสใน Flash drive) แต่เป็นการเจาะผ่านช่องโหว่ในตัว .lnk shortcut file ซึ่งเมื่อ Windows Explorer แสดง icon ของไฟล์ .lnk นั้น Trojan ก็จะทำงานและวิ่งเข้าเครื่องทันที
หลังจากนั้นไม่นาน Microsoft ก็ได้ยืนยันว่าการจัดการไฟล์ shortcut (พวกนามสกุล .lnk) ของ Windows นั้นมีช่องโหว่อย่างที่ว่าจริง ซึ่งช่องโหว่นี้ยอมให้ระบบมีการรันคำสั่งอื่นที่แฝงอยู่ในไฟล์ .lnk ได้ และเวอร์ชันของ Windows นับจาก Windows XP มาจนถึง Windows 7 มีช่องโหว่นี้เหมือนกันหมด ที่ร้ายไปกว่านั้นคือ ไม่จำเป็นต้องแพร่ผ่านทาง .lnk ในเครื่องหรือใน Flash drive เท่านั้นแต่ .lnk ผ่าน WebDAV หรือ Network share ก็สามารถใช้เป็นแหล่งแพร่ Trojan ได้เหมือนกัน

The vulnerability exists because Windows incorrectly parses shortcuts in such a way that malicious code may be executed when the icon of a specially crafted shortcut is displayed. This vulnerability can be exploited locally through a malicious USB drive, or remotely via network shares and WebDAV. An exploit can also be included in specific document types that support embedded shortcuts.
และเมื่อสองวันก่อน หลังจากที่ทั้งวงการเฝ้ารอมาสัปดาห์กว่าๆ (เพราะ source code ของ Trojan ดังกล่าวได้กระจายไปว่อนอินเตอร์เน็ตแล้ว) Microsoft ก็อุตส่าห์เข็นออก patch มาอุดช่องโหว่นี้จนได้ แต่ “ออกมาเหมือนไม่ออก” เพราะ patch ของ Microsoft ออกเหมือนเด็กที่ปั่นการบ้านวินาทีสุดท้ายก่อนส่งครู พี่แกเล่นปิดการแสดงผล icon ของทุกๆ .lnk shortcut ในระบบเลย ทั้งบน Desktop, ใน Start Menu แบบว่าไม่ต้องเหลือให้เดากันได้เลย แทบไม่ต่างอะไรจากวิธี Workaround ที่ Microsoft แนะนำไว้ตั้งแต่แรกเลย คือ ไปแก้ registry ให้ปิดการแสดงผล icon ซะ (ที่ค่า HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler) เออ เล่นง่ายดีเนอะ ปิดมันให้หมดเลยสิ้นเรื่อง

ภาพจาก The H Online
ตามรายงานในปัจจุบัน Trojan ที่เจาะช่องโหว่นี้ยังคงจำกัดเป้าหมายโจมตีอยู่ที่เครื่องของสำนักงานขนาด ใหญ่ๆ เท่านั้น เท่าที่ทราบเหยื่อรายที่โดนเล็งเป้าในตอนนี้มีเพียงรายเดียวคือ SCADA (Supervisory Control and Data Acquisition) ของ Siemens (ผมหมายถึงโดนเล็งเป้า “ถล่ม” จากเครื่อง zombie ที่ติด Trojan นะ) ทำให้ Internet Storm Center (ISC) จึงยังตัดสินใจคงระดับความเสี่ยงของช่องโหว่นี้ที่ระดับ Green ไว้ก่อน จนกว่าจะมีรายงานการระบาดอีกระลอก
แต่บรรดาผู้เชี่ยวชาญและนักวิเคราะห์ด้านความปลอดภัยกลับมองว่าการระบาดขนานหนักของช่องโหว่นี้จะต้องเกิดขึ้นแน่ๆ ขึ้นอยู่กับว่า “เมื่อไร?” เท่านั้นเอง และผู้ไม่เชี่ยวชาญแถมขี้กลัวอย่างผมก็เชื่อตามนั้นเหมือนกัน ถ้ามันระบาดจริง ผมคิดว่าระดับผลกระทบมันน่าจะกว้างกว่าครั้งของ Flashy หรือ Conficker ซะอีก เพราะ แพร่ผ่านได้ทั้ง removable media และ network แถมใครมันจะไปคาดว่าไฟล์ .lnk ธรรมดาๆ จะมีอันตรายไปได้ ไม่ใช่ .exe สักหน่อย

0 ความคิดเห็น:

แสดงความคิดเห็น