TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
แนวคิดในการปกป้องระบบ IT ที่มีความสำคัญสูงขององค์กรนั้นก็มีหลากหลาย หนึ่งในหนทางที่เหล่าผู้ผลิต Software มักนำเสนอก็คือการทำ Application Whitelisting โดยการให้ผู้ดูแลระบบทำการกำหนด Application ที่ใช้งานอยู่ในระบบ Production ให้เป็น Whitelist และสั่งห้ามไม่ให้ระบบเรียกใช้งาน Application ที่อยู่นอกเหนือจากรายการเหล่านี้ขึ้นมาได้ ซึ่งในทางทฤษฎีวิธีการนี้ก็ควรจะช่วยป้องกันไม่ให้โค้ดที่อาจเป็นอันตรายหรือ Malware ถูกเรียกใช้งานขึ้นมาได้ แต่ผู้เชี่ยวชาญด้านความปลอดภัยจาก SEC Consult นั้นกลับเห็นต่างออกไป และทำการพิสูจน์ให้เราเห็นกันว่าแนวคิดนี้ยังไม่ปลอดภัยอย่างแท้จริง
ระบบ Application Whitelisting จาก McAfee ได้ถูกเลือกให้กลายเป็น Software ตัวอย่างในการทำ Bypass ครั้งนี้โดย SEC Consult ซึ่งก่อนหน้านี้ SEC Consult ก็ได้มีการแจ้งถึงช่องโหว่ต่างๆ ไปยัง McAfee เมื่อวันที่ 3 มิถุนายน 2015 ที่ผ่านมา ซึ่ง McAfee ก็ไม่ได้ทำการอุดช่องโหว่แต่อย่างใดจนกระทั่งถึงเส้นตายที่ SEC Consult จะออกมาเปิดเผยช่องโหว่เหล่านี้สู่สาธารณะ ทำให้เป็นที่มาของ Whitepaper ชุดนี้
ภายใน Whitepaper ชุดนี้จะกล่าวถึงวิธีการ Bypass ระบบ Application Whitelisting โดยเริ่มตั้งแต่การทำ Basic Code Execution, Full Code Execution, Bypassing User Account Control, Bypassing Write/Read Protection และการเจาะผ่านช่องโหว่ของ Kernel ที่ระบบของ McAfee เรียกใช้
ผู้ที่สนใจสามารถ Download ทั้ง Whitepaper, YouTube, Slide ได้ที่ http://blog.sec-consult.com/2016/01/mcafee-application-control-dinosaurs.html เลยนะครับ
น่าสงสาร McAfee เล็กน้อยที่ SEC Consult เลือกมาให้เป็นตัวอย่างในการสาธิตการ Bypass ระบบ Application Whitelisting แต่ในทางกลับกัน McAfee เองก็จะได้นำ Feedback เหล่านี้กลับไปปรับปรุงผลิตภัณฑ์ให้ดีขึ้นได้เช่นกัน
ที่มา: http://blog.sec-consult.com/2016/01/mcafee-application-control-dinosaurs.html
