BlueKeep คือชื่อของช่องโหว่ประเภท Remote Code Execution ในบริการ Remote Desktop บน Windows ซึ่งเป็นช่องโหว่ที่ทำให้ผู้ประสงค์ร้ายสามารถส่งโค้ดอันตรายเข้ามาประมวลผลที่เครื่องคอมพิวเตอร์ของเหยื่อได้ การโจมตีผ่านช่องโหว่นี้สามารถทำได้อัตโนมัติผ่านเครือข่าย ที่ผ่านมาทาง Microsoft และนักวิจัยด้านความมั่นคงปลอดภัยได้ประเมินว่าช่องโหว่นี้มีโอกาสที่จะถูกใช้เพื่อแพร่กระจายมัลแวร์ผ่านเครือข่ายได้ แต่ปัจจุบันยังพบแค่การโจมตีเพื่อให้เครื่องคอมพิวเตอร์ปลายทางขึ้นจอฟ้า (BSOD)
ระบบปฏิบัติการที่ได้รับผลกระทบจากช่องโหว่นี้คือ Windows XP, Windows 2003, Windows 7, และ Windows Server 2008 โดยทาง Microsoft ได้ออกแพตช์มาเพื่อแก้ไขปัญหาตั้งแต่เดือนพฤษภาคม 2562 (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-05-24-01.html) แต่ปัจจุบันก็ยังมีรายงานเครื่องคอมพิวเตอร์จำนวนหนึ่งที่เชื่อมต่อกับอินเทอร์เน็ตโดยไม่ได้ติดตั้งแพตช์ดังกล่าว
เมื่อวันที่ 2 พฤศจิกายน 2562 นักวิจัยด้านความมั่นคงปลอดภัยชื่อ Kevin Beaumont ได้รายงานว่าพบการนำช่องโหว่ BlueKeep มาโจมตีเครื่องคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตเพื่อให้ขึ้นจอฟ้า โดยเขาได้ข้อมูลนี้จากเครื่อง honeypot ที่เปิดรับการโจมตีไว้ นอกจากนี้ นักวิจัยชื่อฯ Marcus Hutchins ก็ได้ออกมายืนยันว่าพบการโจมตีในลักษณะเดียวกัน โดยได้ให้ข้อมูลเพิ่มเติมว่า รูปแบบการโจมตีที่พบนี้ยังไม่ใช่การโจมตีลักษณะ worm ที่ให้เครื่องในเครือข่ายแพร่กระจายการโจมตีกันไปเองได้ แต่น่าจะเป็นการกำหนดค่า IP ของเครื่องปลายทางแล้วทยอยส่งโค้ดไปยิงทีละเครื่องมากกว่า
จากข้อมูลการวิเคราะห์ นักวิจัยฯ พบว่าผู้โจมตีน่าจะใช้โค้ดสำหรับโจมตีช่องโหว่ BlueKeep จาก Metasploit โดยจุดประสงค์เพื่อติดตั้งมัลแวร์ขุดเงินดิจิทัลในเครื่องของเหยื่อ แต่การโจมตีทำไม่สำเร็จจึงทำให้เครื่องขึ้นจอฟ้า ในอนาคตอาจเป็นไปได้ว่าผู้โจมตีสามารถปรับรูปแบบการโจมตีเพื่อให้เกิดความเสียหายมากกว่านี้ได้
เพื่อลดความเสี่ยงและผลกระทบ ผู้ใช้ Windows XP, Windows 2003, Windows 7, และ Windows Server 2008 ควรอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด หรือติดตั้งแพตช์ทีแก้ไขช่องโหว่นี้
ผู้ใช้ Windows 7, Windows Server 2008 R2, และ Windows Server 2008 สามารถดาวน์โหลดอัปเดตได้จาก https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 หรือติดตั้งอัตโนมัติผ่าน Windows Update
ผู้ใช้ Windows XP และ Windows Server 2003 สามารถดาวน์โหลดอัปเดตได้จาก https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
หากยังไม่สามารถติดตั้งแพตช์ได้ ทาง Microsoft ได้แนะนำวิธีแก้ไขปัญหาเฉพาะหน้าคือเปิดใช้งาน Network Level Authentication (NLA) สำหรับบริการ Remote Desktop เพื่อป้องกันไม่ให้ผู้ไม่หวังดีสามารถโจมตีช่องโหว่นี้ได้โดยไม่ต้องรู้ชื่อบัญชีหรือรหัสผ่าน แต่วิธีนี้ก็ไม่สามารถป้องกันได้ทั้งหมด นอกจากนี้ ผู้ดูแลระบบอาจพิจารณาปิดไม่ให้ใช้งานบริการ Remote Desktop หากไม่จำเป็น หรืออนุญาตให้ล็อกอินได้เฉพาะจากเครือข่ายภายใน ซึ่งหากจะเข้าใช้งานบริการนี้ได้ต้องล็อกอินผ่าน VPN อีกชั้นหนึ่ง
——————————————–
ที่มา : ThaiCERT / 6 พฤศจิกายน 2562
Link : https://www.thaicert.or.th/newsbite/