พบช่องโหว่ใน Windows กระทบตั้งแต่ XP ถึงปัจจุบัน ยังไร้วี่แววแพตช์!

Tavis Ormandy นักวิจัยจาก Google Project Zero ได้ออกมาเปิดเผยถึงช่องโหว่บนโปรโตคอล CTF ของ Microsoft ที่ถูกใช้ใน Windows ทุกเวอร์ชันตั้งแต่ XP เป็นต้นมา ทั้งนี้ผลกระทบคือสามารถ Hijack แอปพลิเคชันใดๆ บน Windows เพื่อได้รับสิทธิ์ในระดับสูงกว่า

CTF เป็นโปรโตคอลของ Microsoft ซึ่งเป็นส่วนหนึ่งใน Windows Text Framework (TSF) ที่ใช้เพื่อบริหารจัดการการแสดง Text ภายใน Windows และแอปพลิเคชัน โดยการทำงานคือเป็นแบบ Client-Server ที่ Windows จะสร้าง CTF Client ขึ้นสำหรับแต่ละแอปเพื่อรอคำสั่งจาก Server เกี่ยวกับภาษาของ OS และ Input Method ของคีย์บอร์ด หากมีการเปลี่ยนแปลงเกี่ยวกับภาษา Server จะแจ้ง Client ให้ไปจัดการเปลี่ยนภาษาในแต่ละแอปพลิเคชันแบบเรียลไทม์ ดังนั้นจะเห็นได้ว่า CTF เป็นประตูเข้าถึงได้ทุกแอป

อย่างไรก็ตามเคราะห์ร้ายที่นักวิจัยได้ไปพบว่า CTF นั้นมีการป้องกันไม่ดีเพียงพอ โดยกล่าวว่า “แอปพลิเคชันหรือผู้ใช้งานใด แม้แต่โปรเซสของ Sandbox ก็สามารถเชื่อมต่อกับ Session ของ CTF ได้ทั้งนั้น ตัว Client เองคาดหวังว่าจะได้รับ Thread ID, Process ID และ HWND แต่ทั้งหมดไม่มีการพิสูจน์ตัวตนเลย ด้วยเหตุนี้คุณจึงปลอมขึ้นได้หมด โดยผู้โจมตีจะใช้ Active Session ของผู้ใช้ปัจจุบันเพื่อเข้ายึดแอปพลิเคชันก็ได้หรือจะรอ Admin ล็อกอินเข้ามาเพื่อจัดการ Session นั้นก็ได้เช่นกัน”

จะเห็นได้ว่าช่องโหว่ไม่สามารถใช้งานได้จากภายนอก แต่จะช่วยให้มัลแวร์หรือแฮ็กเกอร์ที่แทรกแซงระบบอยู่ได้แล้วซึ่งยังมีสิทธิ์จำกัดทำการขโมยข้อมูลของแอปหรือยกระดับสิทธิ์ได้ง่ายขึ้นเพราะนักวิจัยการันตีว่าไม่ได้นำไปใช้ยากเย็นอะไร โดยได้สาธิตวีดีโอโชว์ไว้ว่าทำได้จริงตามด้านล่าง นอกจากนี้หลังแจ้ง Microsoft เกิดกว่า 90 แล้วยังไม่ได้รับการแพตช์จึงได้ตัดสินใจโพสต์รายละเอียดช่องโหว่และแจกเครื่องมือไว้บน GitHub ด้วย และปัจจุบันช่องโหว่มีหมายเลขอ้างอิงคือ CVE-2019-1162

สำหรับนักวิจัยจาก Google เองชี้ว่าช่องโหว่นี้น่าจะแก้ไม่ได้ง่ายๆ อาจต้องทำการออกแบบโปรโตคอลกันใหม่เลยทีเดียว ต้องจับตาดูรอแพตช์กันให้ดีนะครับว่าจะเป็นอย่างไรต่อไป

ที่มา :  https://www.zdnet.com/article/vulnerability-in-microsoft-ctf-protocol-goes-back-to-windows-xp/