ผู้ใช้ Windows คงต้องระมัดระวังเรื่องความปลอดภัยเป็นพิเศษในช่วงนี้ เนื่องจากมีการเผยแพร่ช่องโหว่ความปลอดภัยใน Windows (ช่องโหว่ในไฟล์ Win32k.sys) บนอินเทอร์เน็ต โดยช่องโหว่ความปลอดภัยนี้ยังไม่มีแพตช์สำหรับแก้ไขในปัจจุบัน (เป็นช่องโหว่ 0-day) และที่สำคัญมีรายงานการโจมตีผู้ใช้ Windows ผ่านช่องโหว่ความปลอดภัยดังกล่าวนี้แล้ว
พบช่องโหว่ 0-day ใน Windows win32k.sys
ทีมวิจัยความปลอดภัยของกูเกิลได้ค้นพบช่องโหว่ความปลอดภัยใน Windows เมื่อวันที่ 26 ตุลาคม 2559 และได้เปิดเผยรายละเอียดบนอินเทอร์เน็ตหลังจากแจ้งให้ไมโครซอฟท์ทราบ(เป็นการภายใน)ครบ 7 วัน (อ่านรายละเอียดที่ https://goo.gl/86mp4g)
สำหรับช่องโหว่ความปลอดภัยใน Windows นี้เป็นช่องโหว่ Local Privilege Escalation ในเคอร์เนล Windows (ไฟล์ win32k.sys) ที่สามารถใช้หลบหลีก Security Sandbox ได้ วิธีเริ่มต้นการโจมตีทำได้โดยการส่ง win32k.sys system call NtSetWindowLongPtr() สำหรับอินเด็กซ์ GWLP_ID บน window handle ด้วยชุด GWL_STYLE ถึง WS_CHILD
ช่องโหว่ความปลอดภัยในไฟล์ win32k.sys นี้มีผลกระทบกับ Windows ทุกเวอร์ชัน และมีรายงานว่ามีการโจมตีผู้ใช้ผ่านช่องโหว่ความปลอดภัยดังกล่าวนี้แล้วหลังจากกูเกิลเปิดเผยรายละเอียดบนอินเทอร์เน็ต
ไมโครซอฟท์ประกาศออกแพตช์ช่องโหว่ใน Win32k.sys วันที่ 8 พฤศจิกายน 2559
เมื่อวันที่ 1 พ.ย. 59 ที่ผ่านมา ไมโครซอฟท์ประกาศว่าจะออกการปรับปรุงเพื่อแก้ช่องโหว่ความปลอดภัยใน Win32k.sys ในการออก Patch Tuesday ของเดือนพฤศจิกายน 2559 (ตรงกับวันอังคาร ที่ 8) และยังยอมรับว่าได้ตรวจพบการโจมตีแบบ Phishing (จำนวนไม่มาก) โดยกลุ่มแฮกเกอร์ชื่อ STRONTIUM (อ่านรายละเอียดที่ https://goo.gl/PoLpOG) อย่างไรก็ตาม ในขณะที่เขียนเรื่องนี้ (3 พ.ย. 59) ไมโครซอฟท์ยังไม่มีการออก Advisory ของช่องโหว่ความปลอดภัยดังกล่าวนี้แต่อย่างใด
ไมโครซอฟท์ไม่เห็นด้วยกับการกูเกิลเปิดเผยรายละเอียดช่องโหว่ใน Win32k.sys บนอินเทอร์เน็ตในครั้งนี้
แนวทางการป้องกันความปลอดภัยจากช่องโหว่ 0-day ใน Windows Win32k.sys
ในระหว่างที่รอให้ไมโครซอฟท์ออกการปรับปรุงสำหรับแก้ไขช่องโหว่ความปลอดภัยในไฟล์ Win32k.sys ซึ่งจะออกในวันอังคาร ที่ 8 พ.ย. ให้ผู้ใช้ Windows พิจารณาใช้แนวทางเพื่อความปลอดภัย ดังต่อไปนี้
- ผู้ใช้ Windows 10 ให้อัพเกรดเป็น Version 1607 (Anniversary Update) แล้วใช้ Microsoft Edge ในการท่องอินเทอร์เน็ต เนื่องจาก Microsoft Edge บน Windows 10 เวอร์ชันอัพเดตล่าสุดนี้มีกลไกป้องกันการโจมตีผ่านทางช่องโหว่ความปลอดภัยใน Win32k.sys
- ใช้ Chrome ในการท่องอินเทอร์เน็ต เนื่องจาก Chrome ได้ทำการบล็อค win32k.sys system calls โดยใช้ Win32k lockdown mitigation บน Windows 10 เพื่อป้องกันการหลบหลีก security sandbox
และใช้แนวปฏิบัติเพื่อความปลอดภัย ดังต่อไปนี้
- ทำการติดตั้งการปรับปรุง Windows ให้เป็นล่าสุด โดยใช้ Windows Update (วิธีการทำขึ้นอยู่กับเวอร์ชัน Windows ที่ใช้งาน)
- ติดตั้งโปรแกรมแอนตี้ไวรัสและสปายแวร์ และทำการปรับปรุง Virus definition ให้เป็นปัจจุบัน (ปกติ Windows 8.1 และ 10 จะติดตั้ง Windows Defender)
- ลงชื่อเข้าใช้งาน Windows ด้วยบัญชีผู้ใช้มาตรฐาน (Standard user) แทนการใช้บัญชีผู้ใช้ดูแลระบบ (Administrator user)
- เปิดใช้งาน User Account Control (UAC) และ Windows Firewall (โดยทั่วไปจะเปิดใช้งานตั้งแต่เริ่มต้น)
- ระมัดระวังในการเปิดไฟล์ ลิงก์ หรือโปรแกรมที่ได้รับทางอีเมล โดยเฉพาะอีเมลจากแหล่งที่ไม่น่าเชื่อถือ
- ไม่ติดตั้งโปรแกรม หรือ แอป จากแหล่งที่ไม่น่าเชื่อถือ
จนกว่าไมโครซอฟท์จะออกการปรับปรุงสำหรับแก้ไขช่องโหว่ความปลอดภัยตัวดังกล่าวนี้ในวันอังคารหน้า (8 พ.ย. 59) ให้ผู้ใช้ Windows ใช้งานด้วยความระมัดระวังเป็นพิเศษครับ
[นอกจากนี้ ทีมวิจัยความปลอดภัยของกูเกิลยังค้นพบช่องโหว่ความปลอดภัย CVE-2016-7855 ใน Adobe Flash Player ช่องโหว่ดังกล่าวนี้มีผลกระทบขั้นรุนแรงสูงสุด โดยทางอะโดบีได้ออกการปรับปรุง (เวอร์ชัน 203.0.0.205) ไปเมื่อวันที่ 26 ตุลาคม 2559 ตามเวลาในสหรัฐอเมริกา]
แหล่งอ้างอิง
กูเกิล
ไมโครซอฟท์
ประวัติการปรับปรุงบทความ
10 มีนาคม 2561: ปรับปรุงเนื้อหา
3 พฤศจิกายน 2559: เผยแพร่ครั้งแรก
