พบมัลแวร์ตัวใหม่ อาศัยช่องโหว่จาก NSA ถึง 7 ช่องในการโจมตี

ประเด็นร้อนในสัปดาห์ที่ผ่านมาคงไม่พ้นเรื่องแรนซัมแวร์ WannaCry ที่ใช้ช่องโหว่จาก NSA ในการเข้ายึดเครื่องเป้าหมาย  ซึ่ง WannaCry นั้นใช้ช่องโหว่จาก NSA เพียงสองช่อง  นั่นคือ EternalBlue และ DoublePulsar

ล่าสุดนักวิจัยด้านความปลอดภัย Miroslav Stampar ได้ค้นพบมัลแวร์ตัวใหม่ในชื่อ EternalRocks  ที่ใช่ช่องโหว่จาก NSA รวมกันถึง 7 ช่องโหว่ด้วยกันดังนี้

  1. EternalBlue — เครื่องมือเจาะช่องโหว่ SMBv1
  2. EternalRomance —เครื่องมือเจาะช่องโหว่ SMBv1
  3. EternalChampion —เครื่องมือเจาะช่องโหว่ SMBv2
  4. EternalSynergy — เครื่องมือเจาะช่องโหว่ SMBv3
  5. SMBTouch — เครื่องมือสแกนพอร์ต SMB
  6. ArchTouch —เครื่องมือสแกนพอร์ต SMB
  7. DoublePulsar — Backdoor Trojan

การทำงานของ EternalRocks นั้น  ตัวมันจะปลอมตัวว่าเป็น WannaCry แต่แทนที่มันจะทำการเข้ารหัสไฟล์  มันจะใช้ช่องโหว่ต่างๆ ในการแพร่กระจายตัวมันไปยังคอมพิวเตอร์เครื่องอื่นๆ ในเครือข่ายแทน

ทั้งนี้ยังไม่แน่ชัดว่า EternalRocks นั้นต้องการโจมตีผู้ใช้ในลักษณะใด  แต่ว่าในอนาคตมันอาจจะถูกปรับปรุงเพื่อใช้ในการเผยแพร่แรนซัมแวร์เพิ่มเติมก็ได้เช่นกัน

อ้างอิง – The Hacker News

ความเห็นของเรา

ใน WannaCry นั้นใช้ช่องโหว่ EternalBlue ซึ่งมีผลเฉพาะกับ SMB1 ที่ใช้ใน Windows XP หรือเก่ากว่า  ดังนั้นในขั้นต้นหากเราปผิดการใช้งาน SMB1 ก็จะสามารถหยุดการแพร่กระจาย WannaCry ไปยังคอมพิวเตอร์เครื่องอื่นๆ ได้

หากแต่ใน EternalRocks นี้  มีเครื่องมือที่ใช้เจาะ SMB2 และ SMB3 อยู่ด้วย  ทำให้การปิด SMB1 เพียงอย่างเดียวนั้นไม่เพียงพออีกต่อไป  หรือหากปิด SMB2 และ SMB3 ระบบแชร์ไฟล์และอุปกรณ์ต่างๆ ใน Windows Vista ไปจนถึง Windows 10 ก็จะไม่สามารถใช้งานได้ด้วย

ดังนั้นแล้วแนวทางป้องกันที่ดีที่สุดคือรอแพทช์แก้ไขจากไมโครซอฟท์  และหมั่นอัพเดทวินโดวส์ให้เป็นแพทช์ล่าสุดอยู่เสมอๆ ครับ

บล็อกเกอร์ไอที คนทำเว็บ ทาสแมว ถ่ายรูปได้ เสพติดหนังและซีรี่ส์เป็นชีวิตจิตใจ