นักวิจัยชี้ Text Editor ยอดนิยมอาจถูกใช้ยกระดับสิทธิ์การโจมตีได้

Dor Azouri นักวิจัยจาก SafeBreach บริษัทผู้ให้บริการแพลตฟอร์ตจำลองการโจมตีและเหตุการณ์รั่วไหลออกมาแจ้งเตือนว่า Text Editor ยอดนิยมสามารถก่อให้เกิดยกระดับสิทธิ์การโจมตี เนื่องจากมันมักจะอนุญาตให้ผู้ใช้งานรัน Code จาก Third-party และเพิ่มความสามารถด้วยการใช้งาน Extension อื่นได้

Credit: ShutterStock.com

Azouri ได้ทดลองสมมติฐานของตนกับ Text Editor ยอดนิยมหลายเจ้า เช่น Sublime, Vim, Emacs, Gedit, Pico, Nano อย่างไรก็ตามพบว่า Pico และ Nano ไม่นำไปสู่การยกระดับสิทธิ์การโจมตีเนื่องจากมีการจำกัดการเพิ่มความสามารถได้ดี โดยด่านแรกนั้นเพียงแฮ็กเกอร์ต้องเข้าถึงเครื่องผู้ใช้งานก่อนด้วยวิธี เช่น Social Engineering, Phishing หรืออื่นๆ หลังจากนั้นเมื่อเข้าไปได้แล้วก็นำไฟล์ Extension อันตรายของตนไปวางไว้ในจุดที่ Text Editor กำหนดไว้แล้วแต่วิธีการของ Text Editor  ดังนั้นเมื่อ Extension ถูกเรียกใช้มันจะสามารถได้รับสิทธิ์ในระดับสูงขึ้นได้  ตัวอย่างเช่นกรณีของ Emacs  ผู้โจมตีสามารถเข้าไปเพิ่มโค้ดเพียงแค่ 1 บรรทัดเท่านั้นภายในไฟล์ ‘init.el’ เพื่อให้โค้ดถูกเรียกใช้งานตอน Startup และนักวิจัยยังพบอีกว่าไฟล์ init นั้นสามารถแก้ไขได้โดยไม่ต้องมีสิทธิ์ระดับผู้ดูแล ผู้สนใจสามารถรายงานฉบับเต็มได้ที่นี่

ถึงแม้ว่ายังไม่มีรายงานการโจมตีด้วยข้อสันนิษฐานดังกล่าวแต่ Azouri ได้ยกตัวอย่างว่า “บางกรณีที่นักพัฒนาของโปรแกรมอนุญาตการใช้งาน Plugin จาก Thrid-party จากความนิยมของ Plugin นั้น ทำให้มันสามารถถูกอัปเดตโค้ดอันตรายเข้ามาเพิ่มได้ในภายหลังโดยที่ตั้งหรือไม่ตั้งใจก็ตาม ซึ่งผู้ใช้งานก็จะไม่รู้ได้เลยว่าโค้ดที่อัปเดตมาใหม่นั้นเป็นอันตราย” อย่างไรก็ตามผู้ที่น่าโทษก็คือ User เองด้วยโดยเฉพาะในฝั่งเซิร์ฟเวอร์ Linux ที่มักจะต้องการ Execute Text Editor ในสิทธิ์ระดับสูงเอง ทั้งนี้ฝ่ายนักพัฒนาของโปรแกรม Editor อย่าง Vim หรือ Emacs เองทราบรายงานครั้งนี้แล้วแต่ยืนยันว่าจะไม่แก้ไขใดๆ โดยเฉพาะ Vim กล่าวว่าเป็นความรับผิดชอบของผู้ใช้งานเอง ส่วน Gedit และ Sublime นั้นยังคงไร้การติดต่อใดๆ

ที่มา : https://www.securityweek.com/hackers-can-abuse-text-editors-privilege-escalation 

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Darktrace พบเกตเวย์ AI เชื่อม Amazon Bedrock ถูกแฮ็กไปขุดคริปโต

นักวิจัยจากบริษัทด้านความมั่นคงปลอดภัยไซเบอร์ Darktrace ซึ่งมีฐานอยู่ในสหราชอาณาจักร ได้เผยรายละเอียดเกี่ยวกับการบุกรุกระบบคลาวด์ โดยพบว่าเกตเวย์ปัญญาประดิษฐ์ที่เชื่อมต่อกับบริการ Amazon Bedrock ของ Amazon Web Services ถูกแฮ็กเพื่อนำไปใช้ขุดคริปโทเคอร์เรนซี

Microsoft ยกระดับการจัดการช่องโหว่บน Windows รับมือยุคที่ AI เร่งการค้นพบช่องโหว่

Microsoft เผยแนวทางปรับปรุงการจัดการช่องโหว่บน Windows ให้ทันกับยุคที่ AI ทำให้การค้นพบช่องโหว่เกิดขึ้นเร็วขึ้นและครอบคลุมโค้ดจำนวนมากขึ้น ทั้งฝั่งผู้ป้องกันและผู้โจมตี