TTT 2025 Events
IBM Flashsystem

Windows Updates ที่ไม่ใช้ HTTPS อาจเสี่ยงเป็นต้นเหตุของการเจาะระบบองค์กรได้

ในงาน Black Hat USA 2015 ที่กำลังดำเนินอยู่นี้ นักวิจัยด้านความปลอดภัยจาก Context Information Security ประเทศอังกฤษ ได้ออกมาเปิดเผยวิธีการโจมตีระบบเครือข่ายภายในผ่านการอัพเดท Windows ในบริษัทที่ตั้งค่าการใช้งาน Windows Server Update Services (WSUS) ไม่ปลอดภัยเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเข้าถึงเครื่องลูกข่ายโดยมีสิทธิ์เป็น Admin และขโมยข้อมูลสำคัญออกไปได้

ttt_virus_Infection-fotogestoeber
Credit: fotogestoeber/ShutterStock

ช่องโหว่จากการไม่ใช้งาน HTTPS ในการอัพเดท

WSUS เป็นบริการสำคัญของ Windows Server ที่ช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการการอัพเดทซอฟต์แวร์ให้แก่เครื่องเซิฟเวอร์และเครื่องลูกข่าย (PC) ในบริษัทได้อย่างง่ายดาย แต่การตั้งค่าการใช้งาน WSUS ดั้งเดิมจากโรงงานนั้น จะใช้โปรโตคอล HTTP ในการรับส่งข้อมูลการอัพเดทระหว่างเซิฟเวอร์และเครื่องลูกข่าย ซึ่งไม่มีการเข้ารหัสข้อมูลแต่อย่างใด ผู้ไม่ประสงค์ดีอาจโจมตีผ่านช่องโหว่นี้เพื่อปลอมการอัพเดทและสั่งให้เครื่องลูกข่ายอัพเดทโดยอัตโนมัติได้ โดยใช้สิทธิ์ในการเข้าถึงที่ไม่ต้องสูงมากนัก (Low-privileged Access Rights)

ปลอมการอัพเดทโดยให้ดาวน์โหลดโทรจันหรือมัลแวร์มาติดตั้งแทน

การอัพเดทที่เกิดขึ้นนี้ อาจดาวน์โหลดโทรจันหรือมัลแวร์อื่นๆเพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุมเครื่องคอมพิวเตอร์หรือขโมยข้อมูลได้โดยใช้ชื่อบัญชีและรหัสผ่านปลอมเป็น Admin ของเครื่อง จากการทดสอบของทีมวิจัยจาก Context พบว่า คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ทุกเครื่องที่ทำการอัพเดทผ่านทาง WSUS โดยไม่ใช้โปรโตคอล HTTPS มีความเสี่ยงที่จะถูกโจมตีด้วยวิธีดังกล่าวได้

แนะให้ตรวจสอบ Group Policy และ Registry Key

บริษัทสามารถตรวจสอบว่าการอัพเดท Windows ของตนใช้ HTTPS หรือไม่ผ่านทางการตั้งค่า WSUS Group Policy บนเครื่องเซิฟเวอร์และการตั้งค่า Registry Key บนเครื่องลูกข่าย ถ้า URL ไม่ได้ระบุเป็น HTTPS นั่นหมายความระบบคอมพิวเตอร์ของบริษัทมีความเสี่ยงที่จะถูกโจมตี

Context ระบุว่า การเจาะระบบรูปแบบดังกล่าวเป็นกรณีศึกษาสำหรับการตั้งค่าระบบคอมพิวเตอร์ไม่ดีเพียงพอ และแนะนำว่าให้แต่ละบริษัทใช้การเข้ารหัส SSL ในการอัพเดทระบบปฏิบัติการ แทนที่จะใช้การตั้งค่าดั้งเดิมของโรงงานที่ไม่มีการเข้ารหัส ก็สามารถป้องกันเหตุการณ์แบบนี้ได้ นอกจากนี้ การใช้ Certificate ต่างหากสำหรับการอัพเดทก็ช่วยยกระดับการป้องกัน รวมทั้งมั่นใจได้ว่าการการปลอมแปลงการอัพเดทจะไม่เกิดขึ้น

รายละเอียดงานวิจัย: http://www.contextis.com/documents/161/CTX_WSUSpect_White_Paper.pdf

ที่มา: http://www.net-security.org/secworld.php?id=18725

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ปลดล็อกทุกขีดจำกัดของข้อมูล Hybrid Multicloud ด้วยสถาปัตยกรรมใหม่จาก Nutanix AOS

แผนของ Hybrid Multicloud ในทางปฏิบัตินั้นยังมีความท้าทายอยู่ไม่น้อย ในประเด็นด้านการบูรณาการของเครื่องมือและข้อมูล โดยการออกแบบแอปพลิเคชันสมัยใหม่ควรให้ความสำคัญในเรื่องของ Cloud native ที่ถูกบริหารจัดการด้วย Kubernetes แต่ในชีวิตจริงการย้ายข้อมูลข้ามไปยังคลาวด์หรือ On-premise ไม่ใช่เรื่องที่ง่ายเช่นนั้น เพราะขาดซึ่งแพลตฟอร์มข้อมูลกลางที่ยึดโยงข้อมูลเข้ากับแอปพลิเคชันอย่างแท้จริง นั่นจึงนำไปสู่การเปิดตัวสถาปัตยกรรมด้านสตอเรจใหม่จาก …

ขอเชิญร่วมงานสัมมนา Microsoft Azure “Migrate to Innovate: Be AI-Ready and secure your IT foundation” [4 มิ.ย. 2568 — 9.00น.]

Metro Systems Corporation ร่วมกับ Microsoft ขอเชิญผู้สนใจเข้าร่วมงานสัมมนาในหัวข้อ “Migrate to Innovate: Be AI-Ready and secure your IT …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand