ประเด็นร้อนในสัปดาห์ที่ผ่านมาคงไม่พ้นเรื่องแรนซัมแวร์ WannaCry ที่ใช้ช่องโหว่จาก NSA ในการเข้ายึดเครื่องเป้าหมาย ซึ่ง WannaCry นั้นใช้ช่องโหว่จาก NSA เพียงสองช่อง นั่นคือ EternalBlue และ DoublePulsar
ล่าสุดนักวิจัยด้านความปลอดภัย Miroslav Stampar ได้ค้นพบมัลแวร์ตัวใหม่ในชื่อ EternalRocks ที่ใช่ช่องโหว่จาก NSA รวมกันถึง 7 ช่องโหว่ด้วยกันดังนี้
- EternalBlue — เครื่องมือเจาะช่องโหว่ SMBv1
- EternalRomance —เครื่องมือเจาะช่องโหว่ SMBv1
- EternalChampion —เครื่องมือเจาะช่องโหว่ SMBv2
- EternalSynergy — เครื่องมือเจาะช่องโหว่ SMBv3
- SMBTouch — เครื่องมือสแกนพอร์ต SMB
- ArchTouch —เครื่องมือสแกนพอร์ต SMB
- DoublePulsar — Backdoor Trojan
การทำงานของ EternalRocks นั้น ตัวมันจะปลอมตัวว่าเป็น WannaCry แต่แทนที่มันจะทำการเข้ารหัสไฟล์ มันจะใช้ช่องโหว่ต่างๆ ในการแพร่กระจายตัวมันไปยังคอมพิวเตอร์เครื่องอื่นๆ ในเครือข่ายแทน
ทั้งนี้ยังไม่แน่ชัดว่า EternalRocks นั้นต้องการโจมตีผู้ใช้ในลักษณะใด แต่ว่าในอนาคตมันอาจจะถูกปรับปรุงเพื่อใช้ในการเผยแพร่แรนซัมแวร์เพิ่มเติมก็ได้เช่นกัน
อ้างอิง – The Hacker News
ความเห็นของเรา
ใน WannaCry นั้นใช้ช่องโหว่ EternalBlue ซึ่งมีผลเฉพาะกับ SMB1 ที่ใช้ใน Windows XP หรือเก่ากว่า ดังนั้นในขั้นต้นหากเราปผิดการใช้งาน SMB1 ก็จะสามารถหยุดการแพร่กระจาย WannaCry ไปยังคอมพิวเตอร์เครื่องอื่นๆ ได้
หากแต่ใน EternalRocks นี้ มีเครื่องมือที่ใช้เจาะ SMB2 และ SMB3 อยู่ด้วย ทำให้การปิด SMB1 เพียงอย่างเดียวนั้นไม่เพียงพออีกต่อไป หรือหากปิด SMB2 และ SMB3 ระบบแชร์ไฟล์และอุปกรณ์ต่างๆ ใน Windows Vista ไปจนถึง Windows 10 ก็จะไม่สามารถใช้งานได้ด้วย
ดังนั้นแล้วแนวทางป้องกันที่ดีที่สุดคือรอแพทช์แก้ไขจากไมโครซอฟท์ และหมั่นอัพเดทวินโดวส์ให้เป็นแพทช์ล่าสุดอยู่เสมอๆ ครับ