นักวิจัยพบ ! Windows Defender มีช่องโหว่ร้ายแรงให้แฮ็กเกอร์เล็ดลอดโจมตีได้

ตั้งแต่เข้าสู่ช่วงยุค Windows 11 ตัว Windows Defender ระบบรักษาความปลอดภัยบนระบบปฏิบัติการ Windows ก็ได้รับเสียงชื่นชมในความแข็งแกร่งของตัวระบบ จนทำให้ผู้ใช้งานอย่างน้อยในระดับผู้ใช้งานตามบ้านหลายรายที่ใช้ Windows ของแท้นั้น เลิกซื้อซอฟต์แวร์ Anti-Virus กันไปเลย แต่ถึงแม้ระบบนี้จะมาจากผู้พัฒนา Windows โดยตรง แต่ก็ใช่ว่าจะไม่มีช่องโหว่เลย

จากรายงานโดยทีมวิจัยจาก SafeBreach ได้พบว่าตัวระบบ Windows Defender นั้นมีช่องโหว่ร้ายแรงในระดับที่แฮ็กเกอร์สามารถใช้เล็ดลอดผ่านระบบป้องกันเพื่อเข้าทำการลบไฟล์บนเครื่องได้ นั้นคือช่องโหว่ "CVE-2023-24860" โดยตัวช่องโหว่นั้นเปิดโอกาสให้แฮ็กเกอร์สามารถแกะลายเซ็น (Byte signature) จาก Endpoint Detection and Response (EDR) ที่อยู่บนระบบ Windows Defender ของเครื่องเหยื่อ ด้วยวิธีการที่เรียกว่า "Black box approach" โดยทีมวิจัยได้ทำการฝังลายเซ็นดังกล่าวบนไฟล์ทดสอบ เพื่อทำการทดสอบช่องโหว่ ซึ่งผลของการทดสอบนั้นปรากฏว่า ทางทีมงานสามารถเข้าถึงไฟล์บนเครื่องจากระยะไกลได้ โดยทางทีมสามารถทำการลบไฟล์ Server log, อีเมลที่อยู่ในกล่องข้อความของ Mozilla Thunderbird, ไปจนถึงไฟล์ Windows Event Log ได้

ภาพจาก https://gbhackers.com/research-windows-defender-bypassed/

โดยหลังจากที่ทางไมโครซอฟท์ได้ทราบเรื่องดังกล่าว ก็ได้ทำการปล่อยแพทซ์เพื่ออุดรอยรั่วดังกล่าว แต่ทางทีมวิจัยก็ได้กล่าวว่า แพทซ์ดังกล่าวนั้นไม่สามารถอุดรอยรั่วได้ทั้งหมด นำไปสู่การค้นพบช่องโหว่ "CVE-2023-36010" ที่แฮ็กเกอร์สามารถใช้ในการเข้าสู่ตัวเครื่องทดแทนช่องโหว่ที่ถูกอุดไปจากการอัปเดตได้ ซึ่งช่องโหว่นี้นั้น แฮ็กเกอร์จะเปลี่ยนไปใช้ช่องโหว่ของระบบ MySQL แทนที่ช่องโหว่ของ Windows Defender แทน

ภาพจาก https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36010

เพื่อความปลอดภัยของผู้ใช้งาน ทางทีมข่าวขอให้ผู้ใช้งาน Windows หมั่นติดตามข่าวด้านความปลอดภัยเพื่อเตรียมการรับมือภัยต่าง ๆ รวมทั้งหมั่นทำการอัปเดตตัว Windows อย่างสม่ำเสมอเพื่อความปลอดภัยของข้อมูล