‘Parasite’ ปรสิตในระบบบริษัท
"Parasite" ปรสิตระบบบริษัทที่มาในรูปแบบ "แฮกเกอร์" ในโลกไซเบอร์ โดยแอบลักลอบเข้ามาใช้ระบบเครือข่ายของบริษัทได้เสมือนเป็นเจ้าของบริษัทเอง นับเป็นเรื่องเร่งด่วนที่บริษัท โดยเฉพาะบริษัทที่ใช้ระบบปฏิบัติการวินโดว์สในการทำงาน
ท่านเคยดูภาพยนตร์สัญชาติเกาหลีใต้เรื่อง “Parasite ชนชั้นปรสิต” ไหมครับ เนื้อเรื่องจะเกี่ยวกับครอบครัวหนึ่งที่แอบลักลอบเข้าไปอยู่ในบ้านของครอบครัวอื่นและใช้ชีวิตอยู่ในนั้นเสมอเป็นบ้านของตนเอง ซึ่งในโลกไซเบอร์เองก็มีภัยคุกคามที่สามารถทำให้แฮกเกอร์แอบลักลอบเข้ามาใช้ระบบเครือข่ายของบริษัทได้เสมือนเป็นเจ้าของบริษัทเองได้เช่นเดียวกัน
เป็นเรื่องด่วนสำหรับทุกบริษัทที่ใช้ระบบปฏิบัติการ “วินโดว์ส” ในการทำงาน เพราะเมื่อไม่นานมานี้มีการพบช่องโหว่ “Zerologon” จากการเข้ารหัสโดยโปรโตคอล (Protocol : ข้อตกลงในการสื่อสารระหว่างคอมพิวเตอร์) ที่ถูกใช้โดย Netlogon มาอนุญาตการเข้าถึงระหว่างคอมพิวเตอร์ทั่วไปกับเครื่องโดเมนเซิร์ฟเวอร์
นอกจากนี้ยังอนุญาตให้เครื่องนั้นๆ สามารถเปลี่ยนรหัสผ่านที่มีอยู่เดิมได้ นี่จึงกลายเป็นภัยคุกคามที่มีความร้ายแรงในระดับสูง ได้รับคะแนนความร้ายแรง 10 เต็ม 10 จากผลการคำนวณของระบบ Common Vulnerability Scoring Systems ทีเดียวครับ
จากข้อมูลเบื้องต้น ผู้โจมตีสามารถปลอมเป็นคอมพิวเตอร์หรือบุคคลในระบบ โดยอาศัยจุดอ่อนของโปรโตคอลที่ใช้ในการเข้ารหัสของ Netlogon เมื่อเครื่องโดเมนเซิร์ฟเวอร์พยายามที่จะพิสูจน์ตัวตนของเครื่องนั้น
โดย Netlogon มีการใช้การเข้ารหัสด้วยมาตรฐานการเข้ารหัสลับขั้นสูง (AES Encryption) เพื่อที่จะสร้างกุญแจเพื่อถอดรหัส กลับกลายเป็นว่ากระบวนการนี้สามารถที่จะทำให้ค่า Vector Value เป็น 0 ได้ทั้งหมด
พูดง่ายๆ ก็คือผู้โจมตีสามารถที่จะเพิ่มค่า 0 ลงในช่วงที่มีการใช้รหัสพิสูจน์ตัวตนได้นั่นเอง ซึ่งวิธีการโจมตีเช่นนี้เรียกว่า “Brute Force” เกิดจากการไม่ได้มีการจำกัดจำนวนครั้งของการล็อกอินที่คอมพิวเตอร์เครื่องอื่นจะสามารถล็อกอินผิดได้
จึงทำให้สามารถใช้เทคนิคนี้โจมตีไปได้เรื่อยๆ จนผู้โจมตีสามารถที่จะปิดการใช้งานของระบบป้องกันความปลอดภัยให้กับโปรโตคอล (RPC Signing and Sealing) รวมไปถึงสามารถเปลี่ยนรหัสผ่านของ Domain Controller ที่มีหน้าที่ตรวจสอบเครื่องที่จะเข้าระบบก่อนจะยินยอมให้เข้ามาใช้ทรัพยากรและบริการต่างๆ จากเซิร์ฟเวอร์ที่อยู่ภายใต้การดูแลของโดเมนนั้นได้ และยังสามารถทำให้ได้สิทธิ์ Admin ค่าโดเมนอีกด้วย
การจู่โจมนี้ถือว่ามีผลกระทบอย่างรุนแรง เพราะทำให้ผู้โจมตีมาแฝงตัวอยู่ในระบบเครือข่ายได้ หรือทำให้บุคคลอื่นสามารถที่จะต่ออุปกรณ์ของตนเองเข้ากับระบบเครือข่ายภายในได้ ตลอดจนทำการควบคุมโดเมนเซิร์ฟเวอร์ที่ใช้วินโดว์สได้อย่างสมบูรณ์
ผู้เชี่ยวชาญกล่าวว่า ผู้จู่โจมจะเริ่มจากการใช้มัลแวร์ หรือการโจมตีแบบฟิชชิ่ง (Phishing) ก่อนที่จะมีการจู่โจมช่องโหว่ จากนั้นถึงจะเคลื่อนย้ายการจู่โจมไปยังเครื่องอื่นและทำการยกระดับสิทธิ์ผู้ใช้งาน แล้วจึงเริ่มต้นสร้างความเสียหายให้กับบริษัทที่ตกเป็นเหยื่ออย่างรวดเร็ว
บริษัทที่เลือกใช้ระบบปฏิบัติการวินโดว์สจึงควรรีบทำการอัพเดตแพทช์ให้เร็วที่สุด ซึ่งถือเป็นโชคดีที่ทางไมโครซอฟท์มีการอัพเดทแพตช์เพื่ออุดช่องโหว่ดังกล่าวตั้งแต่เดือน ส.ค.ที่ผ่านมา โดยการอัพเดทนี้จะช่วยให้ Domain Controller สามารถที่จะปกป้องอุปกรณ์ที่ใช้วินโดว์สได้ทันที
รวมไปถึงยังเพิ่มความสามารถในการปกป้องด้วยการเก็บข้อมูลและการใช้งานต่างๆ ที่ผิดปกติสำหรับอุปกรณ์ที่มีช่องโหว่ และอยู่คนละเครื่องโดเมนเซิร์ฟเวอร์ได้อีกด้วย
ขณะนี้บริษัทของท่านได้ทำการอัพเดทแพทช์ล่าสุดแล้วหรือยังครับ?