Breaking News

พบบั๊กบน Windows Kernel เสี่ยงมัลแวร์บายพาสระบบรักษาความมั่นคงปลอดภัย

Omri Misgav นักวิจัยด้านความมั่นคงปลอดภัยจาก enSilo ออกมาเปิดเผยถึงช่องโหว่บน Kernel ของระบบปฏิบัติการ Windows ซึ่งช่วยให้มัลแวร์สามารถหลบหลีกการตรวจจับของซอฟต์แวร์ด้านความมั่นคงปลอดภัยขณะถูกโหลดเข้าสู่หน่วยความจำของระบบได้ โดยช่องโหว่นี้มีอายุนานถึง 17 ปี

Credit: alexmillos/ShutterStock

ช่องโหว่ที่ Misgav ค้นพบนี้ซ่อนอยู่ใน Kernel API ที่มีชื่อว่า “PsSetLoadImageNotifyRoutine” ซึ่งช่วยโปรแกรมต่างๆ ติดตามการโหลดโมดูลใหม่เข้าสู่หน่วยความจำ อย่างไรก็ตาม Misgav พบว่า พฤติกรรมของการทำ Caching และวิธีที่ไดรฟเวอร์ระบบไฟล์จัดการกับชื่อไฟล์และความผิดพลาดของการเขียนโค้ด ส่งผลกระทบต่อ API ดังกล่าว ทำให้คืนค่า Path ที่ชี้ไปยังโมดูลบนดิสก์ไม่ถูกต้อง

ในเชิงทฤษฎี Misgav เชื่อว่าความผิดพลาดเชิงโปรแกรมของ PsSetLoadImageNotifyRoutine จะช่วยให้แฮ็คเกอร์สามารถบายพาสการตรวจจับของ Antivirus เพื่อลอบส่งมัลแวร์เข้ามาในเครื่องได้ โดยเฉพาะอย่างยิ่งผลิตภัณฑ์รักษาความมั่นคงปลอดภัยที่พึ่งพา API ดังกล่าวในการตรวจสอบมัลแวร์ที่ถูกโหลดเข้าสู่หน่วยความจำ

ปัญหานี้ส่งผลกระทบบนระบบปฏิบัติการ Windows ทุกเวอร์ชันตั้งแต่ Windows 2000 อย่างไรก็ตาม ดูเหมือนว่า Microsoft จะไม่คิดว่าความผิดพลาดนี้จะเป็นช่องโหว่ของระบบปฏิบัติการ และไม่มีแผนที่จะออกแพทช์เพื่อแก้ปัญหาแต่อย่างใด

Misgav ยังได้แนะนำนักพัฒนาซอฟต์แวร์ที่ใช้ PsSetLoadImageNotifyRoutine API ในการพัฒนาโปรแกรม ให้เลี่ยงไปใช้ API อื่นในการตรวจสอบ Path ของโมดูลที่ถูกโหลดเข้าสู่หน่วยความจำแทน เช่น FltGetFileNameInformationUnsafe

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่ https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-2/

ที่มา: http://thehackernews.com/2017/09/windows-kernel-malware.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[วิดีโอ] Cisco Webex in Minutes: วิธีใช้ Cisco Webex เบื้องต้น (บรรยายไทย)

คลิปวิดีโอความยาว 7 นาทีนี้จะอธิบายการใช้งาน Cisco Webex เบื้องต้นสำหรับการประชุมออนไลน์ ไม่ว่าจะเป็น การสร้างห้องประชุมแบบทันที, การสร้างห้องประชุมแบบนัดหมายล่วงหน้า, การเชิญคนเข้าร่วมประชุม, การติดตั้งแอป Cisco Webex Meetings สำหรับการประชุมครั้งแรก …

Fortinet Stay Home “อยู่บ้าน หยุดเชื้อ เพื่อชาติ”

Fortinet Thailand แจกฟรี!! เสื้อยืด Stay Home และ Alcohol Spray แบบพกพา สนับสนุนให้คนไทย อยู่บ้าน หยุดเชื้อ เพื่อชาติ ลูกค้าองค์กรและตัวแทนจำหน่ายสินค้า …