พบช่องโหว่ความปลอดภัยใหม่บน Windows Remote Desktop ที่ให้แฮกเกอร์ทำ RCE ได้

เครื่องมือยอดฮิตสำหรับเหล่าทีมเทคนิคที่ต้องทำงานระยะไกลคงจะหนีไม่พ้น Windows Remote Desktop ที่เปิดโอกาสให้สมาชิกทีมสามารถเข้ามาแก้ปัญหาต่าง ๆ บนเครื่องไม่ว่าจะจากมุมไหนของโลกก็ได้ แต่จุดนี้ก็มีช่องโหว่หลายช่องให้แฮกเกอร์ใช้งานเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบช่องโหว่ของบริการ Windows Remote Desktop โดยมาจากไมโครซอฟท์เอง ซึ่งช่องโหว่นี้มีชื่อว่า CVE-2024-49115 มีความร้ายแรงที่ค่อนข้างสูงมากจนได้รับคะแนน CVSS ถึง 8.1 เลยทีเดียว

ข้อมูลในเชิงเทคนิคนั้น แหล่งข่าวไม่ได้เปิดเผยมากนัก แต่มีการเปิดเผยว่าช่องโหว่ดังกล่าวที่ทำให้แฮกเกอร์สามารถใช้เทคนิคยิงโค้ดจากระยะไกล (Remote Code Execution) ได้นั้น มาจากจุดอ่อนที่แฝงอยู่ในระบบถึง 2 ตัว นั้นคือ

• CWE-591: จุดอ่อนของระบบที่เกิดจากการบรรจุข้อมูลสำคัญมีความอ่อนไหวสูง (Sensitive Data) ในหน่วยความจำที่ถูกล็อกอย่างไม่สมบูรณ์
• CWE-416: Use After Free หรือ จุดอ่อนที่เกิดจากการใช้ประโยชน์จากพื้นที่ว่างบนหน่วยความจำที่ว่างลงหลังจากการถูกใช้งาน

โดยหลังจากที่จุดอ่อนดังกล่าวเกิดขึ้น แฮกเกอร์จะใช้ประโยชน์จากตรงนี้ด้วยการใช้ Remote Desktop Gateway ต่อสายเข้ามายังเครื่อง ซึ่งหลังจากที่ต่อเข้ามาได้สำเร็จ ผลลัพธ์จะนำไปสู่การเกิด Race Condition (ภาวะการทำงานซ้ำ) จนเปิดช่องโหว่ Use-After-Free บนหน่วยความจำ ทำให้แฮกเกอร์สามารถรันโค้ดจากระยะไกลบนหน่วยความจำดังกล่าวได้ทันที และที่น่ากลัวไปกว่านั้นคือ การใช้งานช่องโหว่นี้สามารถทำได้โดยที่แฮกเกอร์ไม่จำเป็นจะต้องมีสิทธิ์ในการเข้าถึงระบบ และเหยื่อไม่จำเป็นจะต้องเข้ามายุ่งเกี่ยวอะไรด้วย (เรียกได้ว่าเหนือกว่าการใช้มัลแวร์ที่ต้องหลอกให้เหยื่อติดตั้งก่อน)

แต่ข่าวดีก็คือ การใช้งานช่องโหว่นั้น ถึงแม้ตามคำอธิบายข้างบนจะดูง่าย แต่ในทางปฏิบัติค่อนข้างซับซ้อนระดับต้องใช้ความชำนาญพิเศษเพื่อใช้ช่องโหว่ดังกล่าว และช่องโหว่ดังกล่าวนั้นทางไมโครซอฟท์ก็ได้ทำการออกอัปเดตในช่วงกลางเดือนธันวาคมที่ผ่านมาเพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้ว โดยผู้ที่ใช้งาน Windows รุ่นดังต่อไปนี้ ขอให้ทำการตรวจสอบว่าเป็นเวอร์ชันล่าสุดหรือยัง ถ้ายัง ขอให้ทำการอัปเดตโดยด่วน

• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2025