ช่องโหว่แบบ Zero-day นั้นมักจะสร้างความปวดหัวให้กับเหล่าผู้ใช้งานไปจนถึงนักพัฒนาอย่างสม่ำเสมอ เพราะช่องโหว่เหล่านี้มักเกิดจากขั้นตอนการพัฒนา โดยบางตัวนั้นอาจจะตรวจเจอแต่แก้ไขได้ไม่ทันวันที่ซอฟต์แวร์ต้องจัดจำหน่าย แต่บางตัวนั้นกว่าจะรู้ตัวแฮกเกอร์ก็ได้ใช้ประโยชน์จากมันได้ไปแล้ว และครั้งนี้ก็เป็นปัญหาที่เกิดขึ้นบนระบบปฏิบัติการ Windows
ในช่วงเดือนเมษายนที่ผ่านมา ทางทีมงานวิจัยของ Kaspersky ได้พบกับช่องโหว่ Zero-Day (CVE-2024-30051) บนระบบปฏิบัติการ Windows 11 ซึ่งทางทีมงานได้ทำการกล่าวถึงรายละเอียดของช่องโหว่ดังกล่าวผ่านทางเว็บไซต์ Secuirelist ซึ่งเป็นเว็บไซต์สำหรับการรายงานปัญหาด้านความปลอดภัยไซเบอร์ที่ค้นพบโดยทีมงานของ Kaspersky
โดยการค้นพบดังกล่าวนั้นมาจากการวิจัยช่องโหว่ CVE-2023-36033 ซึ่งเป็นช่องโหว่ด้านความปลอดภัยที่ทำให้แฮกเกอร์สามารถยกระดับสิทธิ์ในการเข้าถึง Windows DWM Core Library ได้ โดยการศึกษาวิจัยดังกล่าวนั้นนำมาสู่การค้นพบช่องโหว่ด้านความปลอดภัยแบบ Zero-day อีกตัวหนึ่งซึ่งสามารถยกระดับการเข้าถึงตัวระบบได้คล้ายคลึงกัน แต่มีรายละเอียดในเชิงเทคนิคที่แตกต่างกันหลายอย่าง โดยเมื่อทางทีมวิจัยศึกษาเจาะลึกลงไป ก็ได้ทำการบัญญัติเป็นช่องโหว่ตัวใหม่ (CVE-2024-30051) และได้รายงานให้กับทางไมโครซอฟท์ทันทีหลังจากค้นพบช่องโหว่ดังกล่าว ซึ่งทางไมโครซอฟท์ก็ได้ทำการอุดช่องโหว่ไปแล้วเมื่อวันที่ 14 พฤษภาคม ที่ผ่านมา โดย ณ เวลาปัจจุบัน ทาง Kaspersky ยังไม่ได้ทำการเปิดเผยข้อมูลในเชิงเทคนิคของช่องโหว่ดังกล่าวแต่อย่างใด
ทางทีมงาน Kaspersky ยังระบุอีกว่า แฮกเกอร์นั้นได้ใช้ช่องว่างดังกล่าวเพื่อการปล่อยมัลแวร์ QakBot ซึ่งเป็นมัลแวร์ประเภทเข้าถึงข้อมูลจากทางไกล (Remote Access Trojan หรือ RAT) โดยมัลแวร์ตัวดังกล่าวนั้น นอกจากจะสามารถขโมยข้อมูลต่าง ๆ ของเหยื่อได้แล้ว ยังมีความสามารถในการเปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดต่าง ๆ จากระยะไกล ซึ่งมักใช้ในการขโมยข้อมูลจากระบบเครือข่ายของเหยื่อ หรือกระทั่งใช้ในการปล่อยมัลแวร์เรียกค่าไถ่ (Ransomeware) ใส่เครื่องของเหยื่อได้เลยทีเดียว
ภาพจาก https://securelist.com/qakbot-technical-analysis/103931/
นอกจากนั้นแล้ว ยังมีมัลแวร์อีกหลายตัวที่ใช้ประโยชน์จากช่องโหว่นี้ เช่น PDM:Exploit.Win32.Generic, PDM:Trojan.Win32.Generic, UDS:DangerousObject.Multi.Generic, Trojan.Win32.Agent.gen และ Trojan.Win32.CobaltStrike.gen เป็นต้น ซึ่งทางป้องกันที่ดีที่สุดสำหรับผู้ใช้งานในตอนนี้คือ หมั่นทำการอัปเดต Windows อย่างสม่ำเสมอเพื่ออุดช่องโหว่ดังกล่าว และระมัดระวังการเปิดไฟล์ใด ๆ จากคนแปลกหน้า
|