พบบั๊กบน Windows Kernel เสี่ยงมัลแวร์บายพาสระบบรักษาความมั่นคงปลอดภัย

Omri Misgav นักวิจัยด้านความมั่นคงปลอดภัยจาก enSilo ออกมาเปิดเผยถึงช่องโหว่บน Kernel ของระบบปฏิบัติการ Windows ซึ่งช่วยให้มัลแวร์สามารถหลบหลีกการตรวจจับของซอฟต์แวร์ด้านความมั่นคงปลอดภัยขณะถูกโหลดเข้าสู่หน่วยความจำของระบบได้ โดยช่องโหว่นี้มีอายุนานถึง 17 ปี

Credit: alexmillos/ShutterStock

ช่องโหว่ที่ Misgav ค้นพบนี้ซ่อนอยู่ใน Kernel API ที่มีชื่อว่า “PsSetLoadImageNotifyRoutine” ซึ่งช่วยโปรแกรมต่างๆ ติดตามการโหลดโมดูลใหม่เข้าสู่หน่วยความจำ อย่างไรก็ตาม Misgav พบว่า พฤติกรรมของการทำ Caching และวิธีที่ไดรฟเวอร์ระบบไฟล์จัดการกับชื่อไฟล์และความผิดพลาดของการเขียนโค้ด ส่งผลกระทบต่อ API ดังกล่าว ทำให้คืนค่า Path ที่ชี้ไปยังโมดูลบนดิสก์ไม่ถูกต้อง

ในเชิงทฤษฎี Misgav เชื่อว่าความผิดพลาดเชิงโปรแกรมของ PsSetLoadImageNotifyRoutine จะช่วยให้แฮ็คเกอร์สามารถบายพาสการตรวจจับของ Antivirus เพื่อลอบส่งมัลแวร์เข้ามาในเครื่องได้ โดยเฉพาะอย่างยิ่งผลิตภัณฑ์รักษาความมั่นคงปลอดภัยที่พึ่งพา API ดังกล่าวในการตรวจสอบมัลแวร์ที่ถูกโหลดเข้าสู่หน่วยความจำ

ปัญหานี้ส่งผลกระทบบนระบบปฏิบัติการ Windows ทุกเวอร์ชันตั้งแต่ Windows 2000 อย่างไรก็ตาม ดูเหมือนว่า Microsoft จะไม่คิดว่าความผิดพลาดนี้จะเป็นช่องโหว่ของระบบปฏิบัติการ และไม่มีแผนที่จะออกแพทช์เพื่อแก้ปัญหาแต่อย่างใด

Misgav ยังได้แนะนำนักพัฒนาซอฟต์แวร์ที่ใช้ PsSetLoadImageNotifyRoutine API ในการพัฒนาโปรแกรม ให้เลี่ยงไปใช้ API อื่นในการตรวจสอบ Path ของโมดูลที่ถูกโหลดเข้าสู่หน่วยความจำแทน เช่น FltGetFileNameInformationUnsafe

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่ https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-2/

ที่มา: http://thehackernews.com/2017/09/windows-kernel-malware.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

อัปเดตมุมมอง Multi-Cloud จาก VMware CIO Forum พร้อมทิศทางด้าน Blockchain ของ VMware

ในช่วงเช้าของวันที่ 23 พฤษภาคม 2019 ซึ่งเป็นวันแรกของงาน VMware CIO Forum 2019 ที่สิงคโปร์ ทีมงาน TechTalkThai มีโอกาสได้ร่วมวงเสวนากับทางเหล่าผู้บริหารและผู้เชี่ยวชาญของ VMware ในการเล่าภาพของ Cloud และ Blockchain ซึ่งจะเป็นทิศทางของ VMware ถัดจากนี้ไป จึงขอนำเนื้อหามาสรุปให้ทุกท่านได้อ่านกันดังนี้ครับ

Elastic เปิดฟีเจอร์ด้านความมั่นคงปลอดภัยขั้นพื้นฐานให้ใช้ได้ฟรี

Elastic ได้ประกาศเปิดบางฟีเจอร์ด้านความมั่นคงปลอดภัยให้ใช้งานได้ฟรีๆ บน Elastic Stack ซึ่งการประกาศครั้งนี้เป็นการสนับสนุนควบคู่กันไปกับการประกาศ Elastic Cloud on Kubernetes ด้วย