พบบั๊กบน Windows Kernel เสี่ยงมัลแวร์บายพาสระบบรักษาความมั่นคงปลอดภัย

Omri Misgav นักวิจัยด้านความมั่นคงปลอดภัยจาก enSilo ออกมาเปิดเผยถึงช่องโหว่บน Kernel ของระบบปฏิบัติการ Windows ซึ่งช่วยให้มัลแวร์สามารถหลบหลีกการตรวจจับของซอฟต์แวร์ด้านความมั่นคงปลอดภัยขณะถูกโหลดเข้าสู่หน่วยความจำของระบบได้ โดยช่องโหว่นี้มีอายุนานถึง 17 ปี

Credit: alexmillos/ShutterStock

ช่องโหว่ที่ Misgav ค้นพบนี้ซ่อนอยู่ใน Kernel API ที่มีชื่อว่า “PsSetLoadImageNotifyRoutine” ซึ่งช่วยโปรแกรมต่างๆ ติดตามการโหลดโมดูลใหม่เข้าสู่หน่วยความจำ อย่างไรก็ตาม Misgav พบว่า พฤติกรรมของการทำ Caching และวิธีที่ไดรฟเวอร์ระบบไฟล์จัดการกับชื่อไฟล์และความผิดพลาดของการเขียนโค้ด ส่งผลกระทบต่อ API ดังกล่าว ทำให้คืนค่า Path ที่ชี้ไปยังโมดูลบนดิสก์ไม่ถูกต้อง

ในเชิงทฤษฎี Misgav เชื่อว่าความผิดพลาดเชิงโปรแกรมของ PsSetLoadImageNotifyRoutine จะช่วยให้แฮ็คเกอร์สามารถบายพาสการตรวจจับของ Antivirus เพื่อลอบส่งมัลแวร์เข้ามาในเครื่องได้ โดยเฉพาะอย่างยิ่งผลิตภัณฑ์รักษาความมั่นคงปลอดภัยที่พึ่งพา API ดังกล่าวในการตรวจสอบมัลแวร์ที่ถูกโหลดเข้าสู่หน่วยความจำ

ปัญหานี้ส่งผลกระทบบนระบบปฏิบัติการ Windows ทุกเวอร์ชันตั้งแต่ Windows 2000 อย่างไรก็ตาม ดูเหมือนว่า Microsoft จะไม่คิดว่าความผิดพลาดนี้จะเป็นช่องโหว่ของระบบปฏิบัติการ และไม่มีแผนที่จะออกแพทช์เพื่อแก้ปัญหาแต่อย่างใด

Misgav ยังได้แนะนำนักพัฒนาซอฟต์แวร์ที่ใช้ PsSetLoadImageNotifyRoutine API ในการพัฒนาโปรแกรม ให้เลี่ยงไปใช้ API อื่นในการตรวจสอบ Path ของโมดูลที่ถูกโหลดเข้าสู่หน่วยความจำแทน เช่น FltGetFileNameInformationUnsafe

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่ https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-2/

ที่มา: http://thehackernews.com/2017/09/windows-kernel-malware.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Apple แพตซ์แก้ปัญหา Security สำหรับ MacOS, iOS และ Safari

แพตซ์ที่ออกมาเมื่อวานนี้ ในทั้ง 3 ผลิตภัณฑ์คือ MacOS, iOS และ Safari เกิดจากความร่วมมือกันของนักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero, Trend Micro’s Zero …

Splunk 7.1 ออกแล้ว รองรับ AI มากขึ้น ทำงานเร็วกว่ารุ่น 6.6 ถึง 2,000 เท่า

Splunk ได้ออกมาประกาศเปิดตัว Splunk Enterprise 7.1 และ Splunk Cloud 7.1 แล้วอย่างเป็นทางการ โดยเพิ่มความสามารถใหม่ๆ ที่น่าสนใจดังนี้