พบช่องโหว่บนซอฟต์แวร์สนับสนุนของ Lenevo, Dell และ Toshiba

ข่าวร้ายสำหรับผู้ใช้งาน PC ของ Lenovo, Dell และ Toshiba เมื่อซอฟต์แวร์สนับสนุนที่ติดมากับเครื่อง ได้แก่ Lenovo Solution Center, Dell System Detect และ Toshiba Service Station ถูกค้นพบว่ามีช่องโหว่ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้ โดยได้สิทธิ์ระดับ System

ช่องโหว่เหล่านี้ถูกค้นพบโดยแฮ็คเกอร์ที่ใช้ชื่อว่า Slipstream และ RoL เมื่อสัปดาห์ที่ผ่านมา ซึ่งต่อมา CERT Coordination Center ที่มหาวิทยาลัยคาร์เนกี้ เมลลอน (CMU) ก็ได้ออก Security Advisory สำหรับช่องโหว่ดังกล่าวตามมาทันที

broken_lego_wall-Brian_Rinker
Credit: Brian Rinker

Lenovo ได้รับผลกระทบรุนแรงสุด

Lenovo Solution Center นับได้ว่าได้รับผลกระทบต่อช่องโหว่สูงที่สุด กล่าวคือ แฮ็คเกอร์สามารถรันโค้ดบนคอมพิวเตอร์ Lenovo ผ่านทางเว็บไซต์ปลอมของแฮ็คเกอร์โดยได้สิทธิ์เป็น System ทันที

สาเหตุหลักมาจาก LSCTaskService ซึ่งเป็น Service ที่ถูกสร้างขึ้นโดย Lenovo Solution Center และถูกรันโดยสิทธิ์ระดับ System Service นี้จะทำการเปิด HTTP Daemon บนพอร์ท 55555 สำหรับคอยรับคำสั่งต่างๆ หนึ่งในคำสั่งเหล่านั้น คือ RunInstaller ซึ่งจะทำการรันไฟล์ที่เก็บไว้โฟลเดอร์ %APPDATA%\LSC\Local Store

สามารถรันคำสั่งด้วยสิทธิ์ System

ที่น่าตกใจคือ ผู้ใช้คอมพิวเตอร์มีสิทธิ์เข้าถึงและแก้ไขโฟลเดอร์ดังกล่าวได้อย่างเต็มที่โดยไม่ต้องสนใจสิทธิ์ใดๆ แต่ไฟล์ในโฟลเดอร์นี้จะถูกรันโดยสิทธิ์ระดับ System ทันที ผู้ใช้สามารถใช้ช่องโหว่เรื่องสิทธิ์นี้ในการเข้าควบคุมระบบทั้งหมดได้ทันที

มีช่องโหว่ CSRF แถมมาด้วย

นอกจากนี้ ยังมีช่องโหว่ Directory Traversal ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้หลอก Lenovo Solution Center เพื่อรันคำสั่งจากโฟลเดอร์ใดก็ได้ ไม่จำเป็นต้องเป็นโฟลเดอร์ %APPDATA%\LSC\Local Store อีกต่อไป และที่น่าตกใจยิ่งกว่าคือ LSCTaskService ยังมีช่องโหว่ Cross-site Request Forgery (CSRF) แถมมาอีกด้วย ส่งผลให้แฮ็คเกอร์ไม่จำเป็นต้องเข้าถึงเครื่องคอมพิวเตอร์ก็สามารถหลอกล่อให้เหยื่อเข้าถึงเว็บไซต์ของตนเพื่อแอบส่งคำสั่งไปรันบนเครื่องของเหยื่อได้ทันที

Lenovo ได้ทราบถึงช่องโหว่ดังกล่าว และกำลังทำการตรวจสอบเพื่ออุดช่องโหว่ให้เร็วที่สุด ระหว่างนี้แนะนำให้ผู้ใช้ยกเลิกการติดตั้ง Lenovo Solution Center ออกไปก่อน

ช่องโหว่บน Toshiba และ Dell ก็มีแนวคิดคล้ายๆกัน

Slipstream ยังได้เปิดเผยช่องโหว่ของ Toshiba Service Station และ Dell System Detect แต่ก็ยังนับว่ามีความรุนแรงไม่เท่า Lenovo โดย Toshiba Service Station จะทำการสร้าง Service ที่เรียกว่า TMachInfo ซึ่งถูกรันด้วยสิทธิ์ระดับ System และรับคำสั่งผ่านทาง UDP Port 1233 หนึ่งในคำสั่งเหล่านั้น คือ Reg.Read ซึ่งสามารถใช้อ่านค่า Registry บน Windows ได้

สำหรับ Dell นั้น ได้พยายามแก้ไขปัญหาช่องโหว่ดังกล่าวด้วยการพิสูจน์ตัวตนโดยใช้ RSA-1024 Signature แต่กลับเก็บไว้บนเว็บไซต์ที่เปิดให้แฮ็คเกอร์สามารถเข้าไปดาวน์โหลดมาใช้งานได้

ทาง Toshiba และ Dell ยังไม่ได้ออกมาพูดถึงช่องโหว่ที่ถูกค้นพบนี้แต่อย่างใด

ที่มา: http://www.networkworld.com/article/3012058/vulnerabilities-found-in-lenovo-toshiba-dell-support-software.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Infor WMS พร้อมพาธุรกิจรับมือความท้าทายด้าน Supply Chain ในปี 2020 ด้วยระบบ Intelligent Warehouse ครบวงจร

การแพร่ระบาดของ COVID-19 ที่ปั่นป่วน Supply Chain ไปทั่วโลกในปีนี้นั้นเป็นเหตุการณ์หนึ่งที่เน้นย้ำให้เห็นชัดถึงความสำคัญของการจัดการ Supply Chain ที่ดี เมื่อความผันผวนเป็นสิ่งที่ต้องเผชิญในทุกวัน การตัดสินใจที่รวดเร็วและเหมาะสมกับบริบทก็ย่อมสร้างข้อได้เปรียบให้กับธุรกิจ หนึ่งซอฟต์แวร์ที่สามารถตอบโจทย์ความรวดเร็วและการเปลี่ยนแปลงนี้ได้เป็นอย่างดีคือ Infor WMS ซึ่งเป็นซอฟต์แวร์จัดการคลังสินค้าอย่างครบวงจรที่พัฒนาขึ้นจากองค์ความรู้มากกว่า …

REvil Ransomware เปลี่ยนโมเดลเรียกค่าไถ่ ทำรายได้กว่า 3,000 ล้านบาทต่อปี

แฮ็กเกอร์ผู้พัฒนา REvil Ransomware ออกมาเปิดเผยว่า พวกเขาสามารถทำเงินได้มากถึง 3,000 ล้านบาทภายใน 1 ปี โดยเปลี่ยนแนวทางเรียกค่าไถ่ใหม่ จากการเข้ารหัสไฟล์ไปเป็นการขโมยไฟล์แล้วขู่เผยแพร่สู่สาธารณะ ส่งผลให้องค์กรขนาดใหญ่ตัดสินใจยอมจ่ายค่าไถ่มากขึ้น