Breaking News

พบช่องโหว่บนซอฟต์แวร์สนับสนุนของ Lenevo, Dell และ Toshiba

ข่าวร้ายสำหรับผู้ใช้งาน PC ของ Lenovo, Dell และ Toshiba เมื่อซอฟต์แวร์สนับสนุนที่ติดมากับเครื่อง ได้แก่ Lenovo Solution Center, Dell System Detect และ Toshiba Service Station ถูกค้นพบว่ามีช่องโหว่ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้ โดยได้สิทธิ์ระดับ System

ช่องโหว่เหล่านี้ถูกค้นพบโดยแฮ็คเกอร์ที่ใช้ชื่อว่า Slipstream และ RoL เมื่อสัปดาห์ที่ผ่านมา ซึ่งต่อมา CERT Coordination Center ที่มหาวิทยาลัยคาร์เนกี้ เมลลอน (CMU) ก็ได้ออก Security Advisory สำหรับช่องโหว่ดังกล่าวตามมาทันที

broken_lego_wall-Brian_Rinker
Credit: Brian Rinker

Lenovo ได้รับผลกระทบรุนแรงสุด

Lenovo Solution Center นับได้ว่าได้รับผลกระทบต่อช่องโหว่สูงที่สุด กล่าวคือ แฮ็คเกอร์สามารถรันโค้ดบนคอมพิวเตอร์ Lenovo ผ่านทางเว็บไซต์ปลอมของแฮ็คเกอร์โดยได้สิทธิ์เป็น System ทันที

สาเหตุหลักมาจาก LSCTaskService ซึ่งเป็น Service ที่ถูกสร้างขึ้นโดย Lenovo Solution Center และถูกรันโดยสิทธิ์ระดับ System Service นี้จะทำการเปิด HTTP Daemon บนพอร์ท 55555 สำหรับคอยรับคำสั่งต่างๆ หนึ่งในคำสั่งเหล่านั้น คือ RunInstaller ซึ่งจะทำการรันไฟล์ที่เก็บไว้โฟลเดอร์ %APPDATA%\LSC\Local Store

สามารถรันคำสั่งด้วยสิทธิ์ System

ที่น่าตกใจคือ ผู้ใช้คอมพิวเตอร์มีสิทธิ์เข้าถึงและแก้ไขโฟลเดอร์ดังกล่าวได้อย่างเต็มที่โดยไม่ต้องสนใจสิทธิ์ใดๆ แต่ไฟล์ในโฟลเดอร์นี้จะถูกรันโดยสิทธิ์ระดับ System ทันที ผู้ใช้สามารถใช้ช่องโหว่เรื่องสิทธิ์นี้ในการเข้าควบคุมระบบทั้งหมดได้ทันที

มีช่องโหว่ CSRF แถมมาด้วย

นอกจากนี้ ยังมีช่องโหว่ Directory Traversal ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้หลอก Lenovo Solution Center เพื่อรันคำสั่งจากโฟลเดอร์ใดก็ได้ ไม่จำเป็นต้องเป็นโฟลเดอร์ %APPDATA%\LSC\Local Store อีกต่อไป และที่น่าตกใจยิ่งกว่าคือ LSCTaskService ยังมีช่องโหว่ Cross-site Request Forgery (CSRF) แถมมาอีกด้วย ส่งผลให้แฮ็คเกอร์ไม่จำเป็นต้องเข้าถึงเครื่องคอมพิวเตอร์ก็สามารถหลอกล่อให้เหยื่อเข้าถึงเว็บไซต์ของตนเพื่อแอบส่งคำสั่งไปรันบนเครื่องของเหยื่อได้ทันที

Lenovo ได้ทราบถึงช่องโหว่ดังกล่าว และกำลังทำการตรวจสอบเพื่ออุดช่องโหว่ให้เร็วที่สุด ระหว่างนี้แนะนำให้ผู้ใช้ยกเลิกการติดตั้ง Lenovo Solution Center ออกไปก่อน

ช่องโหว่บน Toshiba และ Dell ก็มีแนวคิดคล้ายๆกัน

Slipstream ยังได้เปิดเผยช่องโหว่ของ Toshiba Service Station และ Dell System Detect แต่ก็ยังนับว่ามีความรุนแรงไม่เท่า Lenovo โดย Toshiba Service Station จะทำการสร้าง Service ที่เรียกว่า TMachInfo ซึ่งถูกรันด้วยสิทธิ์ระดับ System และรับคำสั่งผ่านทาง UDP Port 1233 หนึ่งในคำสั่งเหล่านั้น คือ Reg.Read ซึ่งสามารถใช้อ่านค่า Registry บน Windows ได้

สำหรับ Dell นั้น ได้พยายามแก้ไขปัญหาช่องโหว่ดังกล่าวด้วยการพิสูจน์ตัวตนโดยใช้ RSA-1024 Signature แต่กลับเก็บไว้บนเว็บไซต์ที่เปิดให้แฮ็คเกอร์สามารถเข้าไปดาวน์โหลดมาใช้งานได้

ทาง Toshiba และ Dell ยังไม่ได้ออกมาพูดถึงช่องโหว่ที่ถูกค้นพบนี้แต่อย่างใด

ที่มา: http://www.networkworld.com/article/3012058/vulnerabilities-found-in-lenovo-toshiba-dell-support-software.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Palo Alto Networks อัปเดตความสามารถให้ Prisma เน้น Security สำหรับ DevOps โดยเฉพาะ

Palo Alto Networks ได้ประกาศเพิ่มความสามารถหลายประการให้แก่ Cloud Native Security Platform (Prisma) ของตน ที่ตอบโจทย์ทีม DevOps ขององค์กรโดยเฉพาะ

ใช้ Smartphone หรือ Tablet ทำงานจากที่บ้านแทน PC ทำอย่างไรได้บ้าง?

ในภาวะที่หลายๆ ธุรกิจกำลังพิจารณาหาทางออกในการใช้นโยบาย Work from Home ให้ได้อย่างมีประสิทธิภาพโดยที่พนักงานยังคงทำงานได้เต็มที่เสมือนมาทำงานที่ออฟฟิศอยู่ และเกิดการสั่งซื้อ PC/Notebook เพิ่มท่ามกลางภาวะที่ผู้ผลิตยังไม่สามารถเดินกำลังการผลิตได้ดีนักจนบางแบรนด์สินค้าเริ่มขาด Stock กันไปแล้ว ทางเลือกหนึ่งนอกเหนือจากการให้พนักงานทำงานผ่าน Notebook ที่สามารถพกพาไปทำงานที่บ้านนั้น ก็คือการใช้ Smartphone หรือ Tablet ทำงานแทน Notebook อย่างเต็มที่ 100% ไปเลยนั่นเอง ในบทความนี้เราจะพาไปพิจารณาทางเลือกแต่ละทางที่เป็นไปได้กันครับ