SMBleed รูโหว่อันตรายใน Windows 10 ที่เพิ่งถูกค้นพบ

ZecOps บริษัทวิจัยด้านความปลอดภัย ได้รายงานการค้นพบ SMBleed รูโหว่ร้ายแรงที่ส่งผลกระทบต่อโปรโตคอล Server Message Block (SMB) ที่เปิดช่องให้แฮกเกอร์สามารถเข้าถึง Kernel memory ได้จากระยะไกล และเมื่อใช้เทคนิคนี้ร่วมกับรูโหว่ SMBGhost ที่มีรายงานก่อนหน้านี้ ก็จะทำให้แฮกเกอร์สามารถติดตั้งมัลแวร์ในเครื่องเป้าหมายได้ทันที ทำให้มันได้รับการจัดอันดับความอันตรายอยู่ในระดับ 10 (สูงสุด)

โปรโตคอล SMB ทำงานผ่าน TCP port 445 ซึ่งเป็นเน็ตเวิร์กโปรโตคอลที่ใช้สำหรับฟังก์ชัน File sharing, Network browsing, Printing services และ Interprocess communication ผ่านเครือข่าย แต่ด้วยการอาศัยข้อผิดพลาดในการทำงานของ Srv2DecompressData โดยส่งข้อความผ่าน Packet ที่ถูกสร้างขึ้นมาเป็นพิเศษ (เช่น SMB2 WRITE) เข้าไปที่ SMBv3 Server ของเป้าหมาย แฮกเกอร์ก็จะสามารถอ่าน และแก้ไขข้อมูลที่อยู่ใน Kernel memory ได้

SMBleed (CVE-2020-1206) อาศัยข้อผิดพลาดในการทำงานของฟังก์ชันบีบอัดที่มีอยู่ในโปรโตคอล SMB ซึ่งคล้ายคลึงกับที่เกิดขึ้นใน SMBGhost หรือบั๊ก EternalDarkness (CVE-2020-0796) โดย SMBleed จะส่งผลกระทบต่อระบบปฏิบัติการ Windows 10 เวอร์ชัน 1903 และ 1909 ที่ทาง Microsoft เพิ่งจะปล่อยแพทช์อัปเดตด้านความปลอดภัยออกมาเมื่อไม่นานมานี้

เรื่องเลวร้าย คือ SMBleed สามารถทำงานร่วมกับ SMBGhost เพื่อโจมตี Windows 10 ได้ด้วย ซึ่งถึงแม้ว่าทาง Microsoft จะได้ปิดรูโหว่นี้ไปแล้วตั้งแต่เดือนมีนาคม ค.ศ. 2020 (พ.ศ. 2563) แต่แฮกเกอร์ก็มุ่งเป้าไปยังคอมพิวเตอร์ที่ยังไม่ยอมอัปเดตแพทช์เพื่อแก้ไข

เวอร์ชันของ Windows 10 ที่ได้รับผลกระทบ จะเป็นไปตามข้อมูลในตารางด้านล่างนี้ ทางแก้ก็ง่ายนิดเดียว เข้าไปอัปเดตให้ Windows 10 เป็นเวอร์ชันล่าสุดเท่านั้นเอง