ปกติแล้วผู้ใช้ Windows สามารถทำการติดตั้งเครื่องพิมพ์ (Printer) ได้ง่ายๆ เพียงแค่คลิกเม้าส์ไม่กี่ครั้งซึ่ง Windows จะดาวน์โหลดไดรฟ์เวอร์และติดตั้งให้โดยอัตโนมัติ แม้ว่าการทำงานดังกล่าวนี้ช่วยเพิ่มความสะดวกให้ผู้ใช้แต่ในขณะเดียวกันก็เป็นช่องโหว่ให้แฮกเกอร์ใช้ติดตั้งมัลแวร์เครื่องพีซีได้โดยไม่รู้ตัว
สำหรับช่องโหว่ที่แฮกเกอร์สามารถใช้ติดตั้งมัลแวร์ลงเครื่องพีซีได้นี้เกิดจากช่องโหว่ (เก่าแก่) ซึ่งมีอายุ 20 ปี (มีมาตั้งแต่ยุค Windows 95) เป็นช่องโหว่ใน Windows Print Spooler ซึ่งเป็นตัวทำหน้าที่จัดการโปรเซสการเชื่อมต่อระหว่างเครื่องพิมพ์กับเอกสารที่สั่งพิมพ์ โดยมันใช้โปรโตคอล Point-and-Print ซึ่งอนุญาตให้ผู้ใช้สามารถดาวน์โหลดไดรฟ์เวอร์เครื่องพิมพ์ที่เก็บอยู่ในตัวเครื่องพิมพ์เองหรือบน print server บนเครือข่ายโดยอัตโนมัติในการใช้งานครั้งแรก พฤติกรรมการทำงานนี้ช่วยเพิ่มความสะดวกแก่ผู้ใช้ในการติดตั้งใช้งานเครื่องพิมพ์เนื่องจากไม่ต้องดาวน์โหลดเองเพราะWindows จะดาวน์โหลดไดรฟ์เวอร์และติดตั้งให้โดยอัตโนมัติ
แต่เนื่องจาก Windows Print Spooler มีช่องโหว่ในการตรวจสอบไดรฟ์เวอร์เครื่องพิมพ์เมื่อทำการติดตั้งจากระยะไกล (CVE-2016-3238) ทำให้แฮกเกอร์สามารถทำการติดตั้งไดรฟ์เวอร์ที่แฝงมัลแวร์ลงบนเครื่องพีซีของเหยื่อได้โดยการใช้เทคนิคการโจมตีแบบ man-in-the-middle (MiTM) บน print server หรือจัดตั้ง print server เถื่อนบนเครือข่าย หรือสร้างอุปกรณ์ที่ปลอมตัวเป็นเครื่องพิมพ์บนเครือข่าย ถ้าหากการโจมตีประสบความสำเร็จแฮกเกอร์สามารถรันโค้ดโดยไม่ได้รับอนุญาตได้ (Arbitrary Code Execution) หรือเข้าควบคุมระบบเครื่องพีซีที่ตกเป็นเหยื่อได้อย่างสมบูรณ์ (ติดตั้งโปรแกรม, ดู แก้ไข หรือลบข้อมูล หรือสร้างบัญชีผู้ใช้ใหม่ โดยเหยื่อไม่รู้ตัว)
Windows Print Spooler ยังมีช่องโหว้ในการอนุญาตให้เขียนข้อมูลในระบบไฟล์ (CVE-2016-3239) ทำให้แฮกเกอร์สามารถใช้รันสคริปท์พิเศษเพื่อยกระดับสิทธิเป็น system privilege ได้ อย่างไรก็ตามการโจมตีด้วยช่องโหว่นี้จะต้องทำจากหน้าเครื่องเท่านั้น และถ้าการโจมตีประสบความสำเร็จแฮกเกอร์จะเข้าควบคุมระบบเครื่องพีซีที่ตกเป็นเหยื่อได้อย่างสมบูรณ์
(ติดตั้งโปรแกรม, ดู แก้ไข หรือลบข้อมูล หรือสร้างบัญชีผู้ใช้ใหม่
โดยเหยื่อไม่รู้ตัว)
ช่องโหว่ใน Windows Print Spooler ทั้ง 2 ตัวนี้มีผลกระทบรุนแรงสูงสุด (Critical) กับ Windows ทุกเวอร์ชันทั้งฝั่งลูกข่ายและแม่ข่าย
ทั้งนี้ ไมโครซอฟท์ออกการปรับปรุงความปลอดภัย MS16-087 เมื่อวันที่ 12 ที่ผ่านมา เพื่อแก้ไข 2 ช่องโหว่ดังกล่าวแล้ว โดยมันจะทำการแก้ไขวิธีการที่ Windows Print Spooler เขียนข้อมูลในระบบไฟล์และจะทำการแจ้งเตือนผู้ใช้เมื่อพยายามทำการติดตั้งไดรฟเวอร์เครื่องพิมพ์ที่ไม่น่าเชื่อถือ ผู้ใช้ Windows สามารถติดตั้งอัพเดตผ่านทาง Windows Update โดยเข้าไปที่ Control Panel > System and Security > Windows Update สำหรับ Windows 7, 8 และ 8.1 และเข้าไปที่ Settings > Update & security > Windows Update สำหรับ Windows 10
ถึงแม้ว่าการโจมตีผ่านช่องโหว่ Windows Printer spooler นั้นอาจจะไม่ได้เกิดขึ้นง่ายเหมือนการโจมตีผ่านช่องโหว่ของ IE (ที่เกิดจากช่องโหว่ของ IE เองหรือปลั๊กอิน Flash player) แต่ก็ไม่ควรชะล่าใจและให้อัพเดตระบบให้เรียบร้อยในทันที่ทำได้เพื่อป้องกันปัญหาที่จะเกิดตามมา เพราะว่าการป้องกันย่อมดีกว่าการแก้ไขเสมอครับ
*ไมโครซอฟท์จะออกการปรับปรุงความปลอดภัย หรือที่รู้จักใน Security Update หรือ Patch Tuesday ในทุกๆ วันอังคารที่ 2 ของเดือน โดยในเดือนกรกฎาคม 2559 มีการออกการปรับปรุงความปลอดภัยจำนวน 11 ตัวเมื่อวันที่ 12 ที่ผ่านมา
แหล่งข้อมูล
Ars Technica
