Breaking News

Windows Updates ที่ไม่ใช้ HTTPS อาจเสี่ยงเป็นต้นเหตุของการเจาะระบบองค์กรได้

ในงาน Black Hat USA 2015 ที่กำลังดำเนินอยู่นี้ นักวิจัยด้านความปลอดภัยจาก Context Information Security ประเทศอังกฤษ ได้ออกมาเปิดเผยวิธีการโจมตีระบบเครือข่ายภายในผ่านการอัพเดท Windows ในบริษัทที่ตั้งค่าการใช้งาน Windows Server Update Services (WSUS) ไม่ปลอดภัยเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเข้าถึงเครื่องลูกข่ายโดยมีสิทธิ์เป็น Admin และขโมยข้อมูลสำคัญออกไปได้

ttt_virus_Infection-fotogestoeber
Credit: fotogestoeber/ShutterStock

ช่องโหว่จากการไม่ใช้งาน HTTPS ในการอัพเดท

WSUS เป็นบริการสำคัญของ Windows Server ที่ช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการการอัพเดทซอฟต์แวร์ให้แก่เครื่องเซิฟเวอร์และเครื่องลูกข่าย (PC) ในบริษัทได้อย่างง่ายดาย แต่การตั้งค่าการใช้งาน WSUS ดั้งเดิมจากโรงงานนั้น จะใช้โปรโตคอล HTTP ในการรับส่งข้อมูลการอัพเดทระหว่างเซิฟเวอร์และเครื่องลูกข่าย ซึ่งไม่มีการเข้ารหัสข้อมูลแต่อย่างใด ผู้ไม่ประสงค์ดีอาจโจมตีผ่านช่องโหว่นี้เพื่อปลอมการอัพเดทและสั่งให้เครื่องลูกข่ายอัพเดทโดยอัตโนมัติได้ โดยใช้สิทธิ์ในการเข้าถึงที่ไม่ต้องสูงมากนัก (Low-privileged Access Rights)

ปลอมการอัพเดทโดยให้ดาวน์โหลดโทรจันหรือมัลแวร์มาติดตั้งแทน

การอัพเดทที่เกิดขึ้นนี้ อาจดาวน์โหลดโทรจันหรือมัลแวร์อื่นๆเพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุมเครื่องคอมพิวเตอร์หรือขโมยข้อมูลได้โดยใช้ชื่อบัญชีและรหัสผ่านปลอมเป็น Admin ของเครื่อง จากการทดสอบของทีมวิจัยจาก Context พบว่า คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ทุกเครื่องที่ทำการอัพเดทผ่านทาง WSUS โดยไม่ใช้โปรโตคอล HTTPS มีความเสี่ยงที่จะถูกโจมตีด้วยวิธีดังกล่าวได้

แนะให้ตรวจสอบ Group Policy และ Registry Key

บริษัทสามารถตรวจสอบว่าการอัพเดท Windows ของตนใช้ HTTPS หรือไม่ผ่านทางการตั้งค่า WSUS Group Policy บนเครื่องเซิฟเวอร์และการตั้งค่า Registry Key บนเครื่องลูกข่าย ถ้า URL ไม่ได้ระบุเป็น HTTPS นั่นหมายความระบบคอมพิวเตอร์ของบริษัทมีความเสี่ยงที่จะถูกโจมตี

Context ระบุว่า การเจาะระบบรูปแบบดังกล่าวเป็นกรณีศึกษาสำหรับการตั้งค่าระบบคอมพิวเตอร์ไม่ดีเพียงพอ และแนะนำว่าให้แต่ละบริษัทใช้การเข้ารหัส SSL ในการอัพเดทระบบปฏิบัติการ แทนที่จะใช้การตั้งค่าดั้งเดิมของโรงงานที่ไม่มีการเข้ารหัส ก็สามารถป้องกันเหตุการณ์แบบนี้ได้ นอกจากนี้ การใช้ Certificate ต่างหากสำหรับการอัพเดทก็ช่วยยกระดับการป้องกัน รวมทั้งมั่นใจได้ว่าการการปลอมแปลงการอัพเดทจะไม่เกิดขึ้น

รายละเอียดงานวิจัย: http://www.contextis.com/documents/161/CTX_WSUSpect_White_Paper.pdf

ที่มา: http://www.net-security.org/secworld.php?id=18725


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NetApp เปิดตัว Memory Accelerated FlexPod เสริม MAX Data และ Intel Optane DC Persistent Memory เร่งความเร็วให้สูงยิ่งขึ้น

NetApp ได้ออกมาประกาศเปิดตัวโซลูชันใหม่ล่าสุดสำหรับ Converged Infrastructure (CI) ภายใต้ชื่อ NetApp Memory Accelerated FlexPod ที่ได้ผสานนวัตกรรมใหม่อย่าง NetApp MAX Data และ Intel Optane DC Persistent Memory เพื่อเพิ่มประสิทธิภาพการทำงานของระบบโดยรวมให้สูงยิ่งขึ้น โดยมีจุดเด่นที่น่าสนใจดังนี้

Intel เปิดตัวอุปกรณ์เร่งการประมวลผล AI รุ่นใหม่ พร้อมชิปรับส่งข้อมูลเครือข่ายระดับ Tbps

ในงาน Hot Chips 2019 ทาง Intel ได้ออกมาประกาศเปิดตัวเทคโนโลยีใหม่ๆ สำหรับเร่งการประมวลผล AI และการรับส่งข้อมูลเครือข่ายที่ระดับความเร็วถึง Tbps ดังนี้