นักวิจัยค้นพบวิธี Bypass ฟีเจอร์ป้องกัน Ransomware ของ Windows ระบุ MS ไม่ยอมรับว่าเป็นช่องโหว่

Yago Jesus นักวิจัยด้าน Security แห่งบริษัท SecurityByDefault จากสเปนได้ออกมาเปิดเผยถึงการค้นพบวิธีการ Bypass ระบบ Windows Controlled Folder Access ซึ่งเป็นฟีเจอร์ที่ Microsoft ออกแบบมาเพื่อป้องกัน Ransomware บน Windows 10 ได้แล้ว

 

Credit: ShutterStock.com

 

Windows Controlled Folder Access นี้เป็นความสามารถที่เปิดให้ผู้ใช้งาน Windows 10 Fall Creators Update สามารถทำการเลือกได้ว่าไฟล์ในโฟลเดอร์ใดจะมีการควบคุมให้เปิดแก้ไขข้อมูลได้บ้าง และสามารถระบุได้ว่ามี Application ใดสามารถทำการแก้ไขไฟล์ในโฟลเดอร์นั้นๆ ได้บ้าง เพื่อลดความเสี่ยงที่ Ransomware จะมาทำการเข้ารหัสไฟล์ในโฟลเดอร์นั้นๆ

Yago Jesus ได้พบว่า Microsoft นั้นได้ทำการกำหนดให้ Microsoft Office Application ทั้งหมดอยู่ใน Whitelist ของ Application ที่สามารถเปิดอ่านไฟล์ในทุกๆ โฟลเดอร์ที่กำหนดให้ถูกป้องกันอยู่ภายใต้ Windows Controlled Folder Access ในแบบ Default ทำให้การโจมตีใดๆ ที่อาศัย Microsoft Office เป็นช่องทางนั้นก็สามารถทำการแก้ไขไฟล์ในโฟลเดอร์เหล่านั้นได้

หลังจากที่เขาค้นพบความจริงข้อนี้แล้ว เขาก็ได้ทำการพัฒนาตัวอย่างการโจมตีขึ้นมาโดยใช้ OLE Object ใน Microsoft Office เพื่อทำการเปลี่ยนแปลงแก้ไขไฟล์ที่อยู่ภายใต้โฟลเดอร์ซึ่งปกป้องด้วย Controlled Folder Access, ทำการกำหนดค่า Password-protect ให้เจ้าของไฟล์ไม่สามารถเข้าถึงไฟล์นั้นๆ ได้, ทำการ Copy เนื้อหาจากไฟล์ต่างๆ ออกมาอยู่ในโฟลเดอร์อื่นๆ ที่ไม่ได้อยู่ภายใต้ Controlled Folder Access แล้วทำการเข้ารหัสก่อนที่จะลบไฟล์ต้นฉบับทิ้งไป

Yago Jesus ได้ติดต่อทีมงาน Microsoft เพื่อแจ้งถึงประเด็นดังกล่าว แต่ทาง Microsoft ได้ตอบเขากลับมาว่ากรณีนี้ไม่ใช่ช่องโหว่ทางด้าน Security แต่อย่างใด แต่ทาง Microsoft ก็จะปรับปรุง Windows Controlled Folder Access ให้ดีขึ้นในอนาคตเพื่อป้องกันการ Bypass ในลักษณะนี้ในทางใดทางหนึ่ง

การที่ Microsoft ตอบมาในลักษณะนี้หมายความว่าทาง Microsoft ไม่ยอมรับว่าปัญหานี้เป็นช่องโหว่ ทำให้ Yago Jesus นั้นจะไม่ได้รับเครดิตใดๆ และจะไม่ได้รางวัลจากโครงการ Bug Bounty ด้วย

สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติม สามารถศึกษาข้อมูลได้ที่ http://www.securitybydefault.com/2018/01/microsoft-anti-ransomware-bypass-not.html ครับ

 

ที่มา: https://www.bleepingcomputer.com/news/security/researcher-bypasses-windows-controlled-folder-access-anti-ransomware-protection/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS …