Bug ของ NULL Character ทำให้มัลแวร์ลัดผ่านการสแกนของ Windows 10 ได้

Satoshi Tanda นักวิจัยด้านความมั่นคงปลอดภัยได้พบช่องโหว่การใช้ NULL Character เพื่อลัดผ่านฟีเจอร์สแกนมัลแวร์ หรือ Anti-Malware Scan Interface ที่เป็นฟีเจอร์ด้านความมั่นคงปลอดภัยบน Windows 10 ได้

AMSI ถูกออกแบบให้เป็นตัวกลางระหว่างแอปพลิเคชันและกลไก Antivirus โดยมันอนุญาตให้แอปพลิเคชันส่งไฟล์ต่างๆ มาสแกนโดยซอฟต์แวร์ภายในเครื่องและส่งผลลัพธ์กลับออกไป แท้จริงแล้วนอกจากจะรองรับการสแกนไฟล์ได้ทุกประเภท Microsoft เองตั้งใจให้ AMSI ช่วยดูแลเรื่องของสคริปต์ตอน Runtime เช่น PowerShell, VBScript, Ruby และอื่นๆ ที่ช่วยตรวจจับเพิ่มเติมมากกว่า Antivirus ที่อาศัย Signature เพียงอย่างเดียว ซึ่งมันสามารถรู้ได้ว่าหลังจากที่โปรแกรมรันไปแล้วมีการเรียกใช้ทรัพยากรอะไรเพิ่มเติมระหว่างการ Execution บ้าง

สิ่งที่นักวิจัยสังเกตและทดลองคือตัว AMSI มีการคัดไฟล์ PowerShell ที่มีโค้ดอันตรายซึ่งวางไปต่อท้าย NULL Character (ตามรูปด้านบน) ออกมาจากการตรวจสอบ “เจ้าของซอฟต์แวร์ที่มีการใช้งาน AMSI เพื่อสแกนเนื้อหาควรตรวจสอบซ้ำว่ามันสามารถจัดการกับ NULL Character ได้จริง“–Tanda กล่าว นอกจากนี้ Tanda ยังได้แนะนำให้เจ้าของซอฟต์แวร์ Antivirus ตรวจสอบผลิตภัณฑ์ของตัวเองอีกว่าสามารถรับมือกับ NULL Character ได้ อย่างไรก็ตามดูเหมือนว่าช่องโหว่จะมีผลกระทบกับส่วนของ PowerShell เท่านั้นแต่ไม่ส่งผลกระทบกับ Windows Script Host Interpreter (ตัวแปลภาษาสคริปต์) และช่องโหว่นี้ถูกแพตซ์แล้วเมื่อวันอังคารที่แล้ว ดังนั้นผู้ใช้ควรอัปเดต

ที่มา : https://www.bleepingcomputer.com/news/security/null-character-bug-lets-malware-bypass-windows-10-anti-malware-scan-interface/