CDIC 2023

พบช่องโหว่บนซอฟต์แวร์สนับสนุนของ Lenevo, Dell และ Toshiba

ข่าวร้ายสำหรับผู้ใช้งาน PC ของ Lenovo, Dell และ Toshiba เมื่อซอฟต์แวร์สนับสนุนที่ติดมากับเครื่อง ได้แก่ Lenovo Solution Center, Dell System Detect และ Toshiba Service Station ถูกค้นพบว่ามีช่องโหว่ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้ โดยได้สิทธิ์ระดับ System

ช่องโหว่เหล่านี้ถูกค้นพบโดยแฮ็คเกอร์ที่ใช้ชื่อว่า Slipstream และ RoL เมื่อสัปดาห์ที่ผ่านมา ซึ่งต่อมา CERT Coordination Center ที่มหาวิทยาลัยคาร์เนกี้ เมลลอน (CMU) ก็ได้ออก Security Advisory สำหรับช่องโหว่ดังกล่าวตามมาทันที

broken_lego_wall-Brian_Rinker
Credit: Brian Rinker

Lenovo ได้รับผลกระทบรุนแรงสุด

Lenovo Solution Center นับได้ว่าได้รับผลกระทบต่อช่องโหว่สูงที่สุด กล่าวคือ แฮ็คเกอร์สามารถรันโค้ดบนคอมพิวเตอร์ Lenovo ผ่านทางเว็บไซต์ปลอมของแฮ็คเกอร์โดยได้สิทธิ์เป็น System ทันที

สาเหตุหลักมาจาก LSCTaskService ซึ่งเป็น Service ที่ถูกสร้างขึ้นโดย Lenovo Solution Center และถูกรันโดยสิทธิ์ระดับ System Service นี้จะทำการเปิด HTTP Daemon บนพอร์ท 55555 สำหรับคอยรับคำสั่งต่างๆ หนึ่งในคำสั่งเหล่านั้น คือ RunInstaller ซึ่งจะทำการรันไฟล์ที่เก็บไว้โฟลเดอร์ %APPDATA%\LSC\Local Store

สามารถรันคำสั่งด้วยสิทธิ์ System

ที่น่าตกใจคือ ผู้ใช้คอมพิวเตอร์มีสิทธิ์เข้าถึงและแก้ไขโฟลเดอร์ดังกล่าวได้อย่างเต็มที่โดยไม่ต้องสนใจสิทธิ์ใดๆ แต่ไฟล์ในโฟลเดอร์นี้จะถูกรันโดยสิทธิ์ระดับ System ทันที ผู้ใช้สามารถใช้ช่องโหว่เรื่องสิทธิ์นี้ในการเข้าควบคุมระบบทั้งหมดได้ทันที

มีช่องโหว่ CSRF แถมมาด้วย

นอกจากนี้ ยังมีช่องโหว่ Directory Traversal ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้หลอก Lenovo Solution Center เพื่อรันคำสั่งจากโฟลเดอร์ใดก็ได้ ไม่จำเป็นต้องเป็นโฟลเดอร์ %APPDATA%\LSC\Local Store อีกต่อไป และที่น่าตกใจยิ่งกว่าคือ LSCTaskService ยังมีช่องโหว่ Cross-site Request Forgery (CSRF) แถมมาอีกด้วย ส่งผลให้แฮ็คเกอร์ไม่จำเป็นต้องเข้าถึงเครื่องคอมพิวเตอร์ก็สามารถหลอกล่อให้เหยื่อเข้าถึงเว็บไซต์ของตนเพื่อแอบส่งคำสั่งไปรันบนเครื่องของเหยื่อได้ทันที

Lenovo ได้ทราบถึงช่องโหว่ดังกล่าว และกำลังทำการตรวจสอบเพื่ออุดช่องโหว่ให้เร็วที่สุด ระหว่างนี้แนะนำให้ผู้ใช้ยกเลิกการติดตั้ง Lenovo Solution Center ออกไปก่อน

ช่องโหว่บน Toshiba และ Dell ก็มีแนวคิดคล้ายๆกัน

Slipstream ยังได้เปิดเผยช่องโหว่ของ Toshiba Service Station และ Dell System Detect แต่ก็ยังนับว่ามีความรุนแรงไม่เท่า Lenovo โดย Toshiba Service Station จะทำการสร้าง Service ที่เรียกว่า TMachInfo ซึ่งถูกรันด้วยสิทธิ์ระดับ System และรับคำสั่งผ่านทาง UDP Port 1233 หนึ่งในคำสั่งเหล่านั้น คือ Reg.Read ซึ่งสามารถใช้อ่านค่า Registry บน Windows ได้

สำหรับ Dell นั้น ได้พยายามแก้ไขปัญหาช่องโหว่ดังกล่าวด้วยการพิสูจน์ตัวตนโดยใช้ RSA-1024 Signature แต่กลับเก็บไว้บนเว็บไซต์ที่เปิดให้แฮ็คเกอร์สามารถเข้าไปดาวน์โหลดมาใช้งานได้

ทาง Toshiba และ Dell ยังไม่ได้ออกมาพูดถึงช่องโหว่ที่ถูกค้นพบนี้แต่อย่างใด

ที่มา: http://www.networkworld.com/article/3012058/vulnerabilities-found-in-lenovo-toshiba-dell-support-software.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Gartner Hype Cycle ด้าน AI ปี 2023

Gartner ได้ออกคาดการณ์สำหรับการพัฒนาของ AI ในปี 2023 ซึ่งเจาะจงไปที่ Generative AI โดยหัวข้อแบ่งได้ 2 ส่วนคือ นวัตกรรมที่ได้รับการกระตุ้นจาก Generative AI และอีกส่วนคือ …

[รีวิว] Asus Zenbook 14X OLED รุ่น Sandstone Beige สีเบจ ให้ความรู้สึกเหมือนเซรามิก

Asus Zenbook 14X OLED มีการออกแบบที่โดดเด่นในสีเบจ Sandstone Beige เคลือบผิวด้วยเซรามิกรูปแบบใหม่ที่เราไม่เคยเห็นมาก่อนบนฝาแล็ปท็อป มีรูปทรงบางเบา ขนาดหน้าจอ 14.5” (2880×1800) OLED มาพร้อมพลังขับเคลื่อนชิป CPU …