กรุงเทพฯ--9 ก.ย.--คอร์ แอนด์ พีค
รายงานพิเศษจากเทรนด์ ไมโคร
การโจมตีแบบ “ซีโร่-เดย์” (Zero-Day) ที่ครั้งหนึ่งเคยคิดกันว่าเป็นแค่นิยายวิทยาศาสตร์นั้น ได้เกิดขึ้นจริงแล้วบนโลกทุกวันนี้ นักวิจัยด้านความปลอดภัยของเทรนด์ ไมโคร ได้พบคอนเซ็ปต์ของการใช้ประโยชน์จากช่องโหว่ "COM Object Instantiation Memory Corruption Vulnerability" (CAN-2005-1990) ของโปรแกรมอินเทอร์เน็ต เอ็กซ์พลอเรอร์
ช่องโหว่ที่ว่านี้ ได้ประกาศและถกเถียงรายละเอียดกันเป็นครั้งแรกในไมโครซอฟท์ ซีเคียวริตี้ บูลเลตติน ฉบับที่ MS05-038 เมื่อวันที่ 9 สิงหาคม 2548 ที่ผ่านมา และคอนเซ็ปต์ดังกล่าว ได้พิสูจน์แล้วว่าในวันเดียวกันที่มีการประกาศขึ้นบนเว็บไซต์ยอดนิยมสำหรับดูและโพสต์การใช้ประโยชน์ของช่องโหว่ใหม่ๆ
นายเดวิด เพอร์รี ผู้อำนวยการฝ่ายการศึกษาและฝึกอบรมสำหรับบริษัทผู้ผลิตเนื้อหาเรื่องความปลอดภัยและการป้องกันไวรัสของเทรนด์ ไมโคร ซึ่งเคยเตือนเจ้าหน้าที่ด้านความปลอดภัยของทั้งภาครัฐและภาคเอกชนเมื่อ 2 ปีก่อนเกี่ยวกับระยะเวลาที่สั้นลงระหว่างการประกาศเตือนช่องโหว่และการค้นพบการใช้ประโยชน์ของช่องโหว่นั้น กล่าวว่า เมื่อปี 2543/2544 ผู้เขียนโปรแกรมไวรัสใช้เวลาหลังไมโครซอฟท์ออกประกาศความปลอดภัยฉบับที่ MS00-078 ประมาณ 11 เดือน พัฒนาไวรัสนิมดา ซึ่งใช้ช่องโหว่ในประกาศเตือนฉบับดังกล่าว
“ในปี 2545 ช่วงห่างของระยะเวลาดังกล่าวลดลงเกือบครึ่งหนึ่ง โดยหลังประกาศเตือนฉบับที่ MS02-039 เราก็ได้เห็นไวรัส SQLP ออกอาละวาดภายในเวลา 185 วัน ขณะที่อีก 6 เดือนต่อมา ไวรัส MSBLAST แพร่ระบาดไปทั่วเครือข่ายอินเทอร์เน็ตภายในระยะเวลาไม่ถึง 1 เดือน และเมื่อปีที่แล้ว เวิร์ม SASSER ใช้เวลาเพียงแค่ 17 วันในการเขียนโปรแกรมก่อนถูกส่งออกสร้างความเสียหายให้กับระบบคอมพิวเตอร์ทั่วโลก” เพอร์รี่ กล่าว
จากข้อมูลที่มีอยู่มากมาย โค้ดประสงค์ร้ายที่หาได้ตามเว็บไซต์อินเทอร์เน็ตสาธารณะทั่วไป รวมถึงระดับทักษะของผู้เขียนโปรแกรมมัลแวร์ที่เพิ่มสูงขึ้น เพอร์รี่ คาดว่า การโจมตีแบบซีโร่-เดย์ จะแพร่หลายมากขึ้นในอนาคตอันใกล้นี้
การใช้ประโยชน์จากช่องโหว่ทำงานได้อย่างไรและทำไมถึงอันตราย
เทรนด์ ไมโคร พิจารณาว่าการใช้ประโยชน์จากช่องโหว่เป็นอันตราย ไม่ใช่แค่เพราะผลกระทบที่เกิดขึ้น แต่ยังรวมไปถึงความง่ายที่การโจมตีแต่ละครั้งจะเกิดขึ้นด้วย โดยครอบคลุมไปถึงการใช้เทคนิคการจัดการทางสังคมที่ประสบความสำเร็จไปแล้วหลายต่อหลายครั้ง การโจมตีที่ใช้จุดอ่อนในลักษณะนี้ไม่จำเป็นต้องใช้การปฏิสัมพันธ์จากผู้ใช้ นอกเหนือไปจากการหลอกให้ผู้ใช้ให้เข้าไปในเว็บไซต์ปลอม ซึ่งเป็นวิธีการโกงของฟิชชิ่งแบบเก่าที่ใช้แล้วประสบความสำเร็จเสมอ
วิธีการทำงาน:
- แฮกเกอร์สร้างหน้าเว็บให้ใช้ประโยชน์จากช่องโหว่ได้ โดยสามารถสั่งให้โค้ดทำงานได้จากระยะไกลเมื่อผู้ใช้เปิดหน้าเว็บที่ว่านี้
- ต่อจากนั้น แฮกเกอร์จะสั่งให้โค้ดทำงานได้จากระยะไกลในบริบทของผู้ใช้ที่ล็อกอินอยู่ ณ เวลานั้น หากผู้ใช้ล็อกอินด้วยสิทธิของ “ผู้ดูแลระบบ” แฮกเกอร์จะสามารถควบคุมคอมพิวเตอร์ของผู้ใช้ได้ทั้งหมด ติดตั้งโปรแกรมต่างๆ ซึ่งประกอบไปด้วยสปายแวร์ ไวรัส และโปรแกรมประสงค์ร้ายอื่นๆ ได้ นอกจากนี้ ยังสามารถดู เปลี่ยน ลบข้อมูล หรือสร้างบัญชีใหม่ที่มาพร้อมกับสิทธิผู้ใช้เต็มรูปแบบ
- แฮกเกอร์สามารถใช้เครื่องคอมพิวเตอร์ของผู้ใช้เป็น “ซอมบี้” เพื่อทำซ้ำไวรัส และโปรแกรมประสงค์ร้ายอื่นๆ รวมถึงช่วยให้โปรแกรมเหล่านี้แพร่ระบาดได้ง่ายขึ้น
เดิมโค้ดที่ว่านี้ เขียนขึ้นเพื่อใช้ประโยชน์จากช่องโหว่ในประกาศฉบับที่ MS04-040 เมื่อเดือนธันวาคม 2547 แต่ต่อมาถูกใช้เพื่อใช้ประโยชน์จากช่องโหว่ในโปรแกรม JView Profiler ซึ่งเปิดเผยไปเมื่อเดือนที่แล้วในประกาศฉบับที่ MS05-037 การใช้ประโยชน์จากช่องโหว่ในอดีตใช้โค้ดตัวเดียวกันดังที่ได้อธิบายไปแล้ว ด้วยการแก้ไขการอ้างอิงเป็น Class Identifier (CLSID) เพื่อพัฒนาไวรัสตัวใหม่
โจมตี “ซีโร่-เดย์” ง่ายๆใน 3 ขั้นตอน
เพอร์รี่ อธิบายว่า การโจมตีแบบ “ซีโร่-เดย์” สามารถทำได้ง่ายภายใน 3 ขั้นตอนดังต่อไปนี้
1. โปรแกรมอินเทอร์เน็ต เอ็กซ์พลอเรอร์ มีช่องโหว่ ซึ่งเปิดโอกาสให้ใช้ประโยชน์ได้ทาง COM
Objects เมื่อโค้ดดังกล่าวถูกเขียนขึ้นเพื่อใช้ประโยชน์จาก Objects เหล่านี้ สิ่งที่นักเขียนโปรแกรมไวรัสต้องทำเพียงอย่างเดียว คือ ทดสอบกับ COM Objects เพื่อค้นหา Objects ตัวอื่นที่แสดงพฤติกรรมเหมือนกัน
2. ประกาศเรื่องความปลอดภัยของไมโครซอฟท์ ช่วยจัดหารายชื่อ “Vulnerable Objects” ฉบับสมบูรณ์ ซึ่งถูกสร้างขึ้นเพื่อแสดงพฤติกรรมที่คล้ายกับช่องโหว่ JVIEW Profiler โดยการอัพเดตจะกำหนดให้ทำลายเฉพาะ Objects ที่รู้จักแล้วเท่านั้น การสแกนรายชื่อดังกล่าว นักเขียนโปรแกรมไวรัสต้องการเพียงแค่ทดสอบ COM Objects เหล่านั้นว่า เคยถูกตรวจพบไปแล้วหรือยัง เพื่อลดกระบวนการการทดสอบ
3. เมื่อทดสอบ COM object จนมั่นใจ นักเขียนโปรแกรมไวรัสสามารถเปลี่ยน CLSID ของไวรัสได้อย่างง่ายดาย และไวรัสดังกล่าวจะสามารถใช้ Object ตัวอื่นได้
เพอร์รี่ คาดว่า การใช้ประโยชน์จากช่องโหว่ในลักษณะนี้จะแพร่หลายมากขึ้น
“นับเป็นสิ่งที่ดีเอามากๆ ที่ผู้ขายยอมรับความผิดพลาดและพัฒนาโปรแกรมแก้ไขเพื่อปิดรูโหว่ด้านความปลอดภัย และเราชื่นชมทุกความพยายามที่ต้องการทำให้โลกเป็นสถานที่ที่ปลอดภัยมากยิ่งขึ้น” เพอร์รี่ กล่าว “การแจ้งเตือนแม้ว่าจะเป็นประโยชน์กับสาธาณชน แต่ก็มีผลข้างเคียงทางลบในเรื่องการให้ข้อมูลกับนักเขียนโปรแกรมไวรัส เนื่องจาก ประกาศด้านความปลอดภัยแจกแจงรายละเอียดทุกด้านของช่องโหว่ ดังนั้น
นักเขียนโปรแกรมไวรัสที่ฉลาดจะสามารถใช้ข้อมูลที่มีเป้าหมายเพื่อปกป้องผู้ใช้ ไปในการสร้างความเสียหายให้กับผู้ใช้ได้อย่างง่ายดายและรวดเร็ว”
ประกาศทั้งหมดของไมโครซอฟท์
ประกาศด้านความปลอดภัยของไมโครซอฟท์ฉบับที่ MS05-038 ได้ประกาศออกไปเมื่อวันที่ 9 สิงหาคม 2548 ประกาศฉบับที่ว่านี้ ประกอบด้วยรายละเอียดเกี่ยวกับ 3 ช่องโหว่”ร้ายแรง” ในโปรแกรมอินเทอร์เน็ต เอ็กซ์พลอเรอร์ของไมโครซอฟท์ โดยหนึ่งในนั้น คือ ช่องโหว่ COM Objects ดังที่ได้อธิบายไปแล้วข้างต้น ขณะที่อีก 2 ช่องโหว่ที่เหลือ ซึ่งเปิดโอกาสให้นักเขียนโปรแกรมไวรัสควบคุมการเข้าถึงเครื่องคอมพิวเตอร์ของผู้ใช้ได้เต็มรูปแบบนั้น ประกอบด้วย (รายละเอียดเพิ่มเติมสามารถค้นหาได้ที่ศูนย์ข้อมูลความปลอดภัยของเทรนด์ ไมโคร)
- ช่องโหว่ Web Folder Behaviors Cross-Domain (CAN-2005-1989) ช่องโหว่ข้ามโดเมนในโปรแกรมอินเทอร์เน็ต เอ็กซ์พลอเรอร์ สามารถถูกนำไปใช้ประโยชน์ในการเปิดเผยข้อมูล หรือสั่งให้โค้ดทำงานได้จากระยะไกลบนเครื่องที่ติดเชื้อได้ แฮกเกอร์อาจใช้ประโยชน์จากช่องโหว่นี้ด้วยการสร้างหน้าเว็บและล่อลวงให้ผู้ใช้เปิดดู โดยหน้าเว็บที่ว่านี้จะสั่งให้โค้ดทำงานได้จากระยะไกล นอกจากนี้ยังสามารถควบคุมระบบของผู้ใช้ในขอบเขตของล็อกอิน โพรไฟล์ของผู้ใช้ปัจจุบัน
- ช่องโหว่ JPEG Image Rendering Memory Corruption (CAN-2005-1988) ช่องโหว่ที่สั่งให้โค้ดทำงานได้จากระยะไกลพบในโปรแกรมอินเทอร์เน็ต เอ็กซ์พลอเรอร์ เนื่องจากวิธีจัดการภาพเจเพ็ก การใช้ช่องโหว่นี้ แฮกเกอร์จะสร้างภาพเจเพ็กที่สามารถสั่งให้โค้ดทำงานบนเครื่องของผู้ใช้ได้จากระยะไกล ดังนั้น สิ่งเดียวที่แฮกเกอร์ต้องทำ คือ หลอกให้ผู้ใช้เปิดเว็บไซต์ที่บรรจุภาพเจเพ็กดังกล่าว หรือเปิดอ่านอีเมล์ที่มีภาพเจเพ็กที่ว่านี้ฝังอยู่ในเนื้อความ และสิ่งที่แฮกเกอร์จะได้ คือ ควบคุมระบบของผู้ใช้ในขอบเขตของล็อกอิน โพรไฟล์ ของผู้ใช้ในปัจจุบัน
ผู้เชี่ยวชาญด้านความปลอดภัย เตือนว่า ช่องโหว่เหล่านี้เป็นอันตราย เนื่องจาก เปิดช่องให้นักเขียนโปรแกรมไวรัสเข้าควบคุมเครื่องพีซีของผู้ใช้ได้เต็มรูปแบบ โดยในบางกรณีเพียงแค่ดูหน้าเว็บ หรืออีเมล์ที่มีภาพเจเพ็กฝังอยู่เท่านั้น ตรงข้ามกับการโกงแบบฟิชชิ่ง และไวรัสแบบเดิม ที่ต้องอาศัยผู้ใช้ปฏิสัมพันธ์กับอีเมล์หรือเว็บไซต์ ซึ่งเป็นการเปิด”โอกาสครั้งที่สอง”ให้ผู้ใช้ได้คิดเกี่ยวกับการกระทำของตัวเอง ก่อนที่จะตกเป็นเหยื่อ
เจมส์ ยาเนซ่า ผู้จัดการอาวุโสฝ่ายวิจัยป้องกันไวรัสของเทรนด์ ไมโคร บอกว่า ในบางครั้ง การเปิดอีเมล์เฉยๆก็เพียงพอที่จะทำให้ถูกไวรัสโจมตีได้
“สิ่งที่น่ากลัวที่สุดของช่องโหว่เหล่านี้ คือ ผู้ใช้ส่วนใหญ่ใช้เอชทีเอ็มแอลในอีเมล์ของตัวเอง และโปรแกรมอีเมล์จำนวนมากก็ตั้งค่าเริ่มต้นให้เปิดอีเมล์ทั้งหมดทันทีที่ถูกเลือก ทำให้ผู้ใช้ไม่สามารถเลือกข้อความที่จะลบทิ้งได้โดยไม่ติดเชื้อ” ยาเนสซ่า กล่าว
เรียนรู้เพื่อป้องกันตัวเองจากการโจมตีทุกรูปแบบ
แม้จะมีเครื่องมือหลอกให้ผู้ใช้หลงเปิดดูเว็บไซต์ประสงค์ร้ายเหล่านี้มากมาย แต่นักวิจัย เชื่อว่า วิธีการธรรมดาที่ได้รับการพิสูจน์แล้วว่าใช้ได้ผล คือ อีเมล์ และเทคนิคการจัดการทางสังคม
เพื่อป้องกันตัวเองจากการโจมตีเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยของเทรนด์ ไมโคร มีคำแนะนำดังต่อไปนี้
1. ตั้งค่าความปลอดภัยในโปรแกรมบราวเซอร์ให้สูงขึ้น ในกรณีที่แฮกเกอร์สามารถทะลุเข้ามาได้ในทุกระดับ การตั้งค่าความปลอดภัยให้สูง จะทำให้โอกาสที่แฮกเกอร์จะหลุดเข้ามามีน้อยลง
2. จำกัดสิทธิผู้ใช้เมื่อออนไลน์ การใช้ช่องโหว่เหล่านี้ แฮกเกอร์สามารถทำงานได้เฉพาะเมื่อมีสิทธิที่เหมือนกันกับผู้ใช้เท่านั้น ถ้าผู้ใช้ล็อกอินด้วยสิทธิผู้ใช้มาตรฐาน แฮกเกอร์อาจจะเข้าถึงได้ตามสิทธิของผู้ใช้มาตรฐาน แต่ถ้าผู้ใช้ล็อกอินด้วยสิทธิของผู้ดูแลระบบ แฮกเกอร์ก็จะสามารถควบคุมพีซีของผู้ใช้ได้ทั้งหมด
3. เปลี่ยนค่ากำหนดรายละเอียดต่างๆของอีเมล์เป็น
a. ปิดค่าดาวน์โหลดอัตโนมัติเมื่อพรีวิวข้อความ
b. บล็อกภาพและเนื้อหาอินเทอร์เน็ตรูปแบบอื่นๆ (รวมถึงเอชทีเอ็มแอล) จากการดาวน์โหลดสู่เครื่องคอมพิวเตอร์โดยอัตโนมัติ
4. ฝึกพฤติกรรมการใช้อีเมล์โดยปลอดภัย ซึ่งรวมไปถึงการไม่คลิ๊กลิงค์ที่ฝังอยู่ในอีเมล์
5. หลีกเลี่ยงการเปิดไฟล์แนบที่เป็นภาพ หรือไฟล์ประเภทอื่นๆจากอีเมล์ที่ส่งมาจากคนที่ไม่รู้จัก หรือแม้แต่คนที่รู้จัก แต่ไม่ได้ขอให้ส่งไฟล์มาให้ หากสงสัยให้ถามเจ้าของอีเมล์ว่าส่งอะไรมาให้หรือเปล่า ก่อนที่จะเปิดไฟล์แนบใดๆ
รายละเอียดเพิ่มเติมเกี่ยวกับประกาศเรื่องความปลอดภัยในอดีต และคำแนะนำที่สมบูรณ์มากขึ้นเพื่อป้องกันตัวเองจากช่องโหว่เหล่านี้ สอบถามได้ที่ ศูนย์ข้อมูลความปลอดภัยเทรนด์ ไมโคร
สอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณศรีสุพัฒ เสียงเย็น ที่ปรึกษาประชาสัมพันธ์
บริษัท คอร์ แอนด์ พีค จำกัด โทร. 0-2-439-4600 ต่อ 8300
โทรศัพท์มือถือ 01-694-7807
อีเมล์: srisuput@corepeak.com
สามารถคลิกดูภาพได้ที่ www.thaipr.net--จบ--