Windows Updates ที่ไม่ใช้ HTTPS อาจเสี่ยงเป็นต้นเหตุของการเจาะระบบองค์กรได้

ในงาน Black Hat USA 2015 ที่กำลังดำเนินอยู่นี้ นักวิจัยด้านความปลอดภัยจาก Context Information Security ประเทศอังกฤษ ได้ออกมาเปิดเผยวิธีการโจมตีระบบเครือข่ายภายในผ่านการอัพเดท Windows ในบริษัทที่ตั้งค่าการใช้งาน Windows Server Update Services (WSUS) ไม่ปลอดภัยเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเข้าถึงเครื่องลูกข่ายโดยมีสิทธิ์เป็น Admin และขโมยข้อมูลสำคัญออกไปได้

ttt_virus_Infection-fotogestoeber
Credit: fotogestoeber/ShutterStock

ช่องโหว่จากการไม่ใช้งาน HTTPS ในการอัพเดท

WSUS เป็นบริการสำคัญของ Windows Server ที่ช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการการอัพเดทซอฟต์แวร์ให้แก่เครื่องเซิฟเวอร์และเครื่องลูกข่าย (PC) ในบริษัทได้อย่างง่ายดาย แต่การตั้งค่าการใช้งาน WSUS ดั้งเดิมจากโรงงานนั้น จะใช้โปรโตคอล HTTP ในการรับส่งข้อมูลการอัพเดทระหว่างเซิฟเวอร์และเครื่องลูกข่าย ซึ่งไม่มีการเข้ารหัสข้อมูลแต่อย่างใด ผู้ไม่ประสงค์ดีอาจโจมตีผ่านช่องโหว่นี้เพื่อปลอมการอัพเดทและสั่งให้เครื่องลูกข่ายอัพเดทโดยอัตโนมัติได้ โดยใช้สิทธิ์ในการเข้าถึงที่ไม่ต้องสูงมากนัก (Low-privileged Access Rights)

ปลอมการอัพเดทโดยให้ดาวน์โหลดโทรจันหรือมัลแวร์มาติดตั้งแทน

การอัพเดทที่เกิดขึ้นนี้ อาจดาวน์โหลดโทรจันหรือมัลแวร์อื่นๆเพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุมเครื่องคอมพิวเตอร์หรือขโมยข้อมูลได้โดยใช้ชื่อบัญชีและรหัสผ่านปลอมเป็น Admin ของเครื่อง จากการทดสอบของทีมวิจัยจาก Context พบว่า คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ทุกเครื่องที่ทำการอัพเดทผ่านทาง WSUS โดยไม่ใช้โปรโตคอล HTTPS มีความเสี่ยงที่จะถูกโจมตีด้วยวิธีดังกล่าวได้

แนะให้ตรวจสอบ Group Policy และ Registry Key

บริษัทสามารถตรวจสอบว่าการอัพเดท Windows ของตนใช้ HTTPS หรือไม่ผ่านทางการตั้งค่า WSUS Group Policy บนเครื่องเซิฟเวอร์และการตั้งค่า Registry Key บนเครื่องลูกข่าย ถ้า URL ไม่ได้ระบุเป็น HTTPS นั่นหมายความระบบคอมพิวเตอร์ของบริษัทมีความเสี่ยงที่จะถูกโจมตี

Context ระบุว่า การเจาะระบบรูปแบบดังกล่าวเป็นกรณีศึกษาสำหรับการตั้งค่าระบบคอมพิวเตอร์ไม่ดีเพียงพอ และแนะนำว่าให้แต่ละบริษัทใช้การเข้ารหัส SSL ในการอัพเดทระบบปฏิบัติการ แทนที่จะใช้การตั้งค่าดั้งเดิมของโรงงานที่ไม่มีการเข้ารหัส ก็สามารถป้องกันเหตุการณ์แบบนี้ได้ นอกจากนี้ การใช้ Certificate ต่างหากสำหรับการอัพเดทก็ช่วยยกระดับการป้องกัน รวมทั้งมั่นใจได้ว่าการการปลอมแปลงการอัพเดทจะไม่เกิดขึ้น

รายละเอียดงานวิจัย: http://www.contextis.com/documents/161/CTX_WSUSpect_White_Paper.pdf

ที่มา: http://www.net-security.org/secworld.php?id=18725

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สยาม เอไอ สร้างศักยภาพอนาคต AI ให้ประเทศไทย ด้วยเทคโนโลยี AI จากเดลล์ เทคโนโลยีส์

บริษัท สยาม เอไอ คอร์ปอเรชั่น ผู้ให้บริการ คลาวด์คอมพิวติ้งที่มีประสิทธิภาพสูงสำหรับงานทางด้านเอไอ ร่วมมือกับ เดลล์ เทคโนโลยีส์ ประเทศไทย พัฒนาโครงสร้างพื้นฐานด้านปัญญาประดิษฐ์ (AI) ในประเทศไทย โดยมีเป้าหมายที่จะยกระดับศักยภาพด้าน AI ของประเทศให้ทัดเทียมนานาชาติ พร้อมทั้งส่งเสริมการเรียนรู้และพัฒนานวัตกรรม AI ผ่านความร่วมมือกับสถาบันการศึกษา

Brocade เปิดตัว SAN Switch รุ่นใหม่ ‘G710’ เจาะกลุ่มธุรกิจระดับ SMB

Brocade G710 เป็น SAN Switch รุ่นล่าสุดที่มาพร้อมกับ Fibre Channel 64G 24 พอร์ท