‘Parasite’ ปรสิตในระบบบริษัท

‘Parasite’ ปรสิตในระบบบริษัท

ภัยคุกคามที่มีความร้ายแรงระดับสูง คะแนน 10 เต็ม 10

ท่านเคยดูภาพยนต์สัญชาติเกาหลีใต้เรื่อง “Parasite ชนชั้นปรสิต” ไหมครับ เนื้อเรื่องจะเกี่ยวกับครอบครัวหนึ่งที่แอบลักลอบเข้าไปอยู่ในบ้านของครอบครัวอื่นและใช้ชีวิตอยู่ในนั้นเสมอเป็นบ้านของตนเอง ซึ่งในโลกไซเบอร์เองก็มีภัยคุกคามที่สามารถทำให้แฮกเกอร์แอบลักลอบเข้ามาใช้ระบบเครือข่ายของบริษัทได้เสมือนเป็นเจ้าของบริษัทเองได้เช่นเดียวกัน

เป็นเรื่องด่วนสำหรับทุกบริษัทที่ใช้ระบบปฏิบัติการ “วินโดว์ส” ในการทำงาน เพราะเมื่อไม่นานมานี้มีการพบช่องโหว่ “Zerologon” จากการเข้ารหัสโดยโปรโตคอล (Protocol : ข้อตกลงในการสื่อสารระหว่างคอมพิวเตอร์) ที่ถูกใช้โดย Netlogon มาอนุญาตการเข้าถึงระหว่างคอมพิวเตอร์ทั่วไปกับเครื่องโดเมนเซิร์ฟเวอร์ 

นอกจากนี้ ยังอนุญาตให้เครื่องนั้นๆ สามารถเปลี่ยนรหัสผ่านที่มีอยู่เดิมได้ นี่จึงกลายเป็นภัยคุกคามที่มีความร้ายแรงในระดับสูง ได้รับคะแนนความร้ายแรง 10 เต็ม 10 จากผลการคำนวณของระบบ Common Vulnerability Scoring Systems ทีเดียวครับ

จากข้อมูลเบื้องต้น ผู้โจมตีสามารถปลอมเป็นคอมพิวเตอร์หรือบุคคลในระบบ โดยอาศัยจุดอ่อนของโปรโตคอลที่ใช้ในการเข้ารหัสของ Netlogon เมื่อเครื่องโดเมนเซิร์ฟเวอร์พยายามที่จะพิสูจน์ตัวตนของเครื่องนั้น 

โดย Netlogon มีการใช้การเข้ารหัสด้วยมาตรฐานการเข้ารหัสลับขั้นสูง (AES Encryption) เพื่อที่จะสร้างกุญแจเพื่อถอดรหัส กลับกลายเป็นว่ากระบวนการนี้สามารถที่จะทำให้ค่า Vector Value เป็น 0 ได้ทั้งหมด 

พูดง่ายๆ ก็คือผู้โจมตีสามารถที่จะเพิ่มค่า 0 ลงในช่วงที่มีการใช้รหัสพิสูจน์ตัวตนได้นั่นเอง ซึ่งวิธีการโจมตีเช่นนี้เรียกว่า “Brute Force” เกิดจากการไม่ได้มีการจำกัดจำนวนครั้งของการล็อกอินที่คอมพิวเตอร์เครื่องอื่นจะสามารถล็อกอินผิดได้ 

จึงทำให้สามารถใช้เทคนิคนี้โจมตีไปได้เรื่อยๆ จนผู้โจมตีสามารถที่จะปิดการใช้งานของระบบป้องกันความปลอดภัยให้กับโปรโตคอล (RPC Signing and Sealing) รวมไปถึงสามารถเปลี่ยนรหัสผ่านของ Domain Controller ที่มีหน้าที่ตรวจสอบเครื่องที่จะเข้าระบบก่อนจะยินยอมให้เข้ามาใช้ทรัพยากรและบริการต่างๆ จากเซิร์ฟเวอร์ที่อยู่ภายใต้การดูแลของโดเมนนั้นได้ และยังสามารถทำให้ได้สิทธิ์ Admin ค่าโดเมนอีกด้วย

การจู่โจมนี้ถือว่ามีผลกระทบอย่างรุนแรง เพราะทำให้ผู้โจมตีมาแฝงตัวอยู่ในระบบเครือข่ายได้ หรือทำให้บุคคลอื่นสามารถที่จะต่ออุปกรณ์ของตนเองเข้ากับระบบเครือข่ายภายในได้ ตลอดจนทำการควบคุมโดเมนเซิร์ฟเวอร์ที่ใช้วินโดว์สได้อย่างสมบูรณ์

ผู้เชี่ยวชาญกล่าวว่า ผู้จู่โจมจะเริ่มจากการใช้มัลแวร์ หรือการโจมตีแบบฟิชชิ่ง(Phishing) ก่อนที่จะมีการจู่โจมช่องโหว่ จากนั้นถึงจะเคลื่อนย้ายการจู่โจมไปยังเครื่องอื่นและทำการยกระดับสิทธิ์ผู้ใช้งาน แล้วจึงเริ่มต้นสร้างความเสียหายให้กับบริษัทที่ตกเป็นเหยื่ออย่างรวดเร็ว

บริษัทที่เลือกใช้ระบบปฏิบัติการวินโดว์สจึงควรรีบทำการอัพเดตแพทช์ให้เร็วที่สุด ซึ่งถือเป็นโชคดีที่ทางไมโครซอฟท์มีการอัพเดทแพตช์เพื่ออุดช่องโหว่ดังกล่าวตั้งแต่เดือนส.ค.ที่ผ่านมา โดยการอัพเดทนี้จะช่วยให้ Domain Controller สามารถที่จะปกป้องอุปกรณ์ที่ใช้วินโดว์สได้ทันที 

รวมไปถึงยังเพิ่มความสามารถในการปกป้องด้วยการเก็บข้อมูลและการใช้งานต่างๆ ที่ผิดปกติสำหรับอุปกรณ์ที่มีช่องโหว่ และอยู่คนละเครื่องโดเมนเซิร์ฟเวอร์ได้อีกด้วย 

ขณะนี้บริษัทของท่านได้ทำการอัพเดทแพทช์ล่าสุดแล้วหรือยังครับ?