พบบั๊กบน Windows Kernel เสี่ยงมัลแวร์บายพาสระบบรักษาความมั่นคงปลอดภัย

Omri Misgav นักวิจัยด้านความมั่นคงปลอดภัยจาก enSilo ออกมาเปิดเผยถึงช่องโหว่บน Kernel ของระบบปฏิบัติการ Windows ซึ่งช่วยให้มัลแวร์สามารถหลบหลีกการตรวจจับของซอฟต์แวร์ด้านความมั่นคงปลอดภัยขณะถูกโหลดเข้าสู่หน่วยความจำของระบบได้ โดยช่องโหว่นี้มีอายุนานถึง 17 ปี

Credit: alexmillos/ShutterStock

ช่องโหว่ที่ Misgav ค้นพบนี้ซ่อนอยู่ใน Kernel API ที่มีชื่อว่า “PsSetLoadImageNotifyRoutine” ซึ่งช่วยโปรแกรมต่างๆ ติดตามการโหลดโมดูลใหม่เข้าสู่หน่วยความจำ อย่างไรก็ตาม Misgav พบว่า พฤติกรรมของการทำ Caching และวิธีที่ไดรฟเวอร์ระบบไฟล์จัดการกับชื่อไฟล์และความผิดพลาดของการเขียนโค้ด ส่งผลกระทบต่อ API ดังกล่าว ทำให้คืนค่า Path ที่ชี้ไปยังโมดูลบนดิสก์ไม่ถูกต้อง

ในเชิงทฤษฎี Misgav เชื่อว่าความผิดพลาดเชิงโปรแกรมของ PsSetLoadImageNotifyRoutine จะช่วยให้แฮ็คเกอร์สามารถบายพาสการตรวจจับของ Antivirus เพื่อลอบส่งมัลแวร์เข้ามาในเครื่องได้ โดยเฉพาะอย่างยิ่งผลิตภัณฑ์รักษาความมั่นคงปลอดภัยที่พึ่งพา API ดังกล่าวในการตรวจสอบมัลแวร์ที่ถูกโหลดเข้าสู่หน่วยความจำ

ปัญหานี้ส่งผลกระทบบนระบบปฏิบัติการ Windows ทุกเวอร์ชันตั้งแต่ Windows 2000 อย่างไรก็ตาม ดูเหมือนว่า Microsoft จะไม่คิดว่าความผิดพลาดนี้จะเป็นช่องโหว่ของระบบปฏิบัติการ และไม่มีแผนที่จะออกแพทช์เพื่อแก้ปัญหาแต่อย่างใด

Misgav ยังได้แนะนำนักพัฒนาซอฟต์แวร์ที่ใช้ PsSetLoadImageNotifyRoutine API ในการพัฒนาโปรแกรม ให้เลี่ยงไปใช้ API อื่นในการตรวจสอบ Path ของโมดูลที่ถูกโหลดเข้าสู่หน่วยความจำแทน เช่น FltGetFileNameInformationUnsafe

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่ https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-2/

ที่มา: http://thehackernews.com/2017/09/windows-kernel-malware.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รัฐบาลจีนอนุมัติการเข้าซื้อกิจการ Xilinx ของ AMD แล้ว แต่มีเงื่อนไข

รัฐบาลจีนอนุมัติการเข้าซื้อกิจการ Xilinx ของ AMD แล้ว แต่มีเงื่อนไข

Microsoft เผยการยับยั้งการ DDoS ขนาด 3.47 Tbps ไว้ได้ด้วย Azure DDoS Protection

Microsoft ได้ออกมาเปิดเผยเหตุการณ์ที่แพลตฟอร์ม Azure DDoS Protection สามารถช่วยป้องกันการระดมโจมตีขนาด 3.47 Tbps เอาไว้