เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

นักวิจัยทยอยสาธิตช่องโหว่ BlueKeep แล้ว! แนะนำผู้ใช้งานรีบอัปเดตแพตช์

นักวิจัยจาก McAfee Labs ได้สาธิตช่องโหว่ ‘BlueKeep’ ซึ่งเป็นช่องโหว่ที่เพิ่งถูกแพตช์จาก Microsoft ให้กับ WinXP,7, Server 2003/2008/2008R2 ไปไม่กี่วันนี้โดยมีการอธิบายว่าเป็นบั๊กที่ทำให้มัลแวร์สามารถแพร่กระจายตัวเองได้เหมือน WannaCry

Credit: ShutterStock.com

ช่องโหว่ CVE-2019-0708 หรือ BlueKeep ได้ถูก PoC จากนักวิจัยของ McAfee แล้วว่าสามารถถูกใช้ได้จริงซึ่งภายในวีดีโอ (ด้านล่าง) สามารถเรียกรันโปรแกรมเครื่องคิดเลขได้

credit : Bleepingcomputer

อย่างไรก็ตามนักวิจัยได้แสดงคำแนะนำในการป้องกันการโจมตีไว้ดังนี้

  • จำกัด RDP ให้เข้าถึงได้จากเครือข่ายภายในเท่านั้น
  • หากมี Client Request ด้วย ‘MS_T120’ จาก Channel ที่ไม่ใช่ 31 ระหว่างขั้นตอน GCC Conference Initialization ของโปรโตคอล RDP ให้บล็อกความพยายามนั้นยกเว้นว่าจะมาจากผู้ใช้งานที่น่าเชื่อถือ
  • เปิด Network Level Authentication (NLA) สำหรับการเชื่อมต่อของ RDS แต่ก็ไม่สามารถป้องกันแฮ็กเกอร์ที่รู้ Credential ได้อยู่ดีซึ่งวิธีนี้เป็นเพียงการบรรเทาปัญหาเบื้องต้นเท่านั้น

นอกจากนี้ยังมีการสาธิตใช้งานช่องโหว่เพื่อการ DoS จากนักวิจัยของ CheckPoint หรือ Kaspersky ให้เกิดจอฟ้าแล้วด้วย เพียงแต่การใช้ช่องโหว่สำหรับ Remote Code Execution ของ McAfee นั้นถือว่าทำได้ยากกว่าและมีแนวโน้มเป็นประโยชน์กับผู้โจมตีเพื่อแทรกซึมระบบมากกว่า โดยตอนนี้ก็มีนักวิจัยหลายๆ แห่งต่างทยอยกันออกมาโชว์การ PoC ช่องโหว่แล้วครับเหลือเพียงลุ้นว่าเมื่อไหร่จะถูกแฮ็กเกอร์นำไปประยุกต์ใช้จริง ดังนั้นผู้เกี่ยวข้องควรจะอัปแพตช์โดยทันที

สำหรับผู้สนใจสามารถติดตามรายละเอียดเชิงลึกของนักวิจัยจาก McAfee ได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/researchers-demo-poc-for-remote-desktop-bluekeep-rce-exploit/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบช่องโหว่สามารถ Bypass 2FA ใน cPanel

cPanel น่าจะเป็นชื่อที่คุ้นหูกันบ้านในธุรกิจ Web Hosting ซึ่งวันนี้มีการเปิดเผยว่าค้นพบช่องโหว่ที่ช่วยให้คนร้ายสามารถ Bypass การป้องกันของ 2 Factors Authentication ได้

Splunk เข้าซื้อกิจการ Flowmill เสริมแกร่งเทคโนโลยีช่วยติดตามปัญหาด้าน Network

Splunk ได้ประกาศเข้าซื้อกิจการ Flowmill ซึ่งเป็นสตาร์ทอัพที่นำเสนอโซลูชันเพื่อช่วยติดตามปัญหาระดับเครือข่ายในบริการคลาวด์ อย่างไรก็ดีไม่มีการเปิดเผยถึงมูลค่าดังกล่าว