นักวิจัยชี้ Text Editor ยอดนิยมอาจถูกใช้ยกระดับสิทธิ์การโจมตีได้

Dor Azouri นักวิจัยจาก SafeBreach บริษัทผู้ให้บริการแพลตฟอร์ตจำลองการโจมตีและเหตุการณ์รั่วไหลออกมาแจ้งเตือนว่า Text Editor ยอดนิยมสามารถก่อให้เกิดยกระดับสิทธิ์การโจมตี เนื่องจากมันมักจะอนุญาตให้ผู้ใช้งานรัน Code จาก Third-party และเพิ่มความสามารถด้วยการใช้งาน Extension อื่นได้

Credit: ShutterStock.com

Azouri ได้ทดลองสมมติฐานของตนกับ Text Editor ยอดนิยมหลายเจ้า เช่น Sublime, Vim, Emacs, Gedit, Pico, Nano อย่างไรก็ตามพบว่า Pico และ Nano ไม่นำไปสู่การยกระดับสิทธิ์การโจมตีเนื่องจากมีการจำกัดการเพิ่มความสามารถได้ดี โดยด่านแรกนั้นเพียงแฮ็กเกอร์ต้องเข้าถึงเครื่องผู้ใช้งานก่อนด้วยวิธี เช่น Social Engineering, Phishing หรืออื่นๆ หลังจากนั้นเมื่อเข้าไปได้แล้วก็นำไฟล์ Extension อันตรายของตนไปวางไว้ในจุดที่ Text Editor กำหนดไว้แล้วแต่วิธีการของ Text Editor  ดังนั้นเมื่อ Extension ถูกเรียกใช้มันจะสามารถได้รับสิทธิ์ในระดับสูงขึ้นได้  ตัวอย่างเช่นกรณีของ Emacs  ผู้โจมตีสามารถเข้าไปเพิ่มโค้ดเพียงแค่ 1 บรรทัดเท่านั้นภายในไฟล์ ‘init.el’ เพื่อให้โค้ดถูกเรียกใช้งานตอน Startup และนักวิจัยยังพบอีกว่าไฟล์ init นั้นสามารถแก้ไขได้โดยไม่ต้องมีสิทธิ์ระดับผู้ดูแล ผู้สนใจสามารถรายงานฉบับเต็มได้ที่นี่

ถึงแม้ว่ายังไม่มีรายงานการโจมตีด้วยข้อสันนิษฐานดังกล่าวแต่ Azouri ได้ยกตัวอย่างว่า “บางกรณีที่นักพัฒนาของโปรแกรมอนุญาตการใช้งาน Plugin จาก Thrid-party จากความนิยมของ Plugin นั้น ทำให้มันสามารถถูกอัปเดตโค้ดอันตรายเข้ามาเพิ่มได้ในภายหลังโดยที่ตั้งหรือไม่ตั้งใจก็ตาม ซึ่งผู้ใช้งานก็จะไม่รู้ได้เลยว่าโค้ดที่อัปเดตมาใหม่นั้นเป็นอันตราย” อย่างไรก็ตามผู้ที่น่าโทษก็คือ User เองด้วยโดยเฉพาะในฝั่งเซิร์ฟเวอร์ Linux ที่มักจะต้องการ Execute Text Editor ในสิทธิ์ระดับสูงเอง ทั้งนี้ฝ่ายนักพัฒนาของโปรแกรม Editor อย่าง Vim หรือ Emacs เองทราบรายงานครั้งนี้แล้วแต่ยืนยันว่าจะไม่แก้ไขใดๆ โดยเฉพาะ Vim กล่าวว่าเป็นความรับผิดชอบของผู้ใช้งานเอง ส่วน Gedit และ Sublime นั้นยังคงไร้การติดต่อใดๆ

ที่มา : https://www.securityweek.com/hackers-can-abuse-text-editors-privilege-escalation 


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Fortinet เปิดตัว FortiWeb 6.1.0 เสริมฟีเจอร์ Machine Learning และ Botnet Detection

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยสมรรถนะสูง ประกาศเปิดตัว FortiWeb เวอร์ชัน 6.1.0 ใหม่ล่าสุด พร้อมผสานเทคโนโลยี Machine Learning เข้าไปยังฟีเจอร์ต่างๆ รวมไปถึงปรับปรุง Botnet Detection ให้มีประสิทธิภาพดียิ่งขึ้น

Cloudflare เผยซอร์สโค้ดไลบรารี่เข้ารหัส ‘CIRCL’ ช่วยศึกษาผลลัพธ์จาก Quantum Computing

Cloudflare ได้ประกาศเปิดเผยซอร์สโค้ดในไลบรารี่การเข้ารหัสของตนที่ชื่อ CIRCL ไว้บน GitHub ซึ่งเป็นความพยายามในการเตรียมตัวรับมือกับยุคของ Quantum Computing ที่อาจจะส่งผลกับอัลกอริทึมการเข้ารหัสที่มีอยู่ในปัจจุบัน