Bug ของ NULL Character ทำให้มัลแวร์ลัดผ่านการสแกนของ Windows 10 ได้

Satoshi Tanda นักวิจัยด้านความมั่นคงปลอดภัยได้พบช่องโหว่การใช้ NULL Character เพื่อลัดผ่านฟีเจอร์สแกนมัลแวร์ หรือ Anti-Malware Scan Interface ที่เป็นฟีเจอร์ด้านความมั่นคงปลอดภัยบน Windows 10 ได้

credit : Bleeping Computer

AMSI ถูกออกแบบให้เป็นตัวกลางระหว่างแอปพลิเคชันและกลไก Antivirus โดยมันอนุญาตให้แอปพลิเคชันส่งไฟล์ต่างๆ มาสแกนโดยซอฟต์แวร์ภายในเครื่องและส่งผลลัพธ์กลับออกไป แท้จริงแล้วนอกจากจะรองรับการสแกนไฟล์ได้ทุกประเภท Microsoft เองตั้งใจให้ AMSI ช่วยดูแลเรื่องของสคริปต์ตอน Runtime เช่น PowerShell, VBScript, Ruby และอื่นๆ ที่ช่วยตรวจจับเพิ่มเติมมากกว่า Antivirus ที่อาศัย Signature เพียงอย่างเดียว ซึ่งมันสามารถรู้ได้ว่าหลังจากที่โปรแกรมรันไปแล้วมีการเรียกใช้ทรัพยากรอะไรเพิ่มเติมระหว่างการ Execution บ้าง

สิ่งที่นักวิจัยสังเกตและทดลองคือตัว AMSI มีการคัดไฟล์ PowerShell ที่มีโค้ดอันตรายซึ่งวางไปต่อท้าย NULL Character (ตามรูปด้านบน) ออกมาจากการตรวจสอบ “เจ้าของซอฟต์แวร์ที่มีการใช้งาน AMSI เพื่อสแกนเนื้อหาควรตรวจสอบซ้ำว่ามันสามารถจัดการกับ NULL Character ได้จริง“–Tanda กล่าว นอกจากนี้ Tanda ยังได้แนะนำให้เจ้าของซอฟต์แวร์ Antivirus ตรวจสอบผลิตภัณฑ์ของตัวเองอีกว่าสามารถรับมือกับ NULL Character ได้ อย่างไรก็ตามดูเหมือนว่าช่องโหว่จะมีผลกระทบกับส่วนของ PowerShell เท่านั้นแต่ไม่ส่งผลกระทบกับ Windows Script Host Interpreter (ตัวแปลภาษาสคริปต์) และช่องโหว่นี้ถูกแพตซ์แล้วเมื่อวันอังคารที่แล้ว ดังนั้นผู้ใช้ควรอัปเดต

ที่มา : https://www.bleepingcomputer.com/news/security/null-character-bug-lets-malware-bypass-windows-10-anti-malware-scan-interface/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsot เปิดใช้งาน Windows Settings Backup เป็นค่าเริ่มต้นสำหรับองค์กรบน Windows 11 26H2

Microsoft ประกาศว่าเครื่องมือ Windows settings backup and restore จะถูกเปิดใช้งานเป็นค่าเริ่มต้นบนเครื่ององค์กรที่ join กับ Microsoft Entra หรือ Entra hybrid …

Anthropic ขยาย Claude Cowork สู่ Web และ Mobile ใช้งานต่อได้แม้ไม่อยู่หน้าเครื่อง

Anthropic เปิดตัวการใช้งาน Claude Cowork ผู้ช่วย AI แบบ agentic บน web และ mobile ปลดล็อกจากการต้องเปิดแอปบนเดสก์ท็อปค้างไว้ พร้อมให้ผู้ใช้งานสั่งงานต่อและควบคุมได้จากทุกที่