CEO Blog

ครั้งแรกกับ BlueKeep RDP !! ภัยไซเบอร์รูปแบบใหม่

By นักรบ เนียมนามธรรม11 พ.ย. 2019 เวลา 10:00 น.
ครั้งแรกกับ BlueKeep RDP !! ภัยไซเบอร์รูปแบบใหม่

องค์กรควรเริ่มจากการใช้โปรแกรมรักษาความปลอดภัยในทุกจุดของระบบที่ใช้

เป็นที่ทราบกันดีว่าโลกไซเบอร์ไม่เคยหยุดนิ่ง เช่นเดียวกันกับรูปแบบการจู่โจมทางไซเบอร์ใหม่ๆ ที่แปรผันในทิศทางเดียวกัน ล่าสุด นักวิจัยด้านความปลอดภัยไซเบอร์ ระบุว่า มีการโจมตีรูปแบบใหม่ถือกำเนิดขึ้นเป็นครั้งแรก เพราะในครั้งนี้เป็นการพยายามจู่โจมโดยใช้ BlueKeep RDP แพร่กระจาย เพื่อทำการเจาะสกุลเงินดิจิทัล

เมื่อพฤษภาคมที่ผ่านมา ไมโครซอฟท์ออกแพตช์สำหรับป้องกันการโจมตีขั้นสูงประเภทการรันโค้ดจากระยะไกล หรือที่รู้จักกันในชื่อ BlueKeep ซึ่งแพตช์จะเข้ามาปกปิดช่องโหว่ใน Window Remote Desktop Services ป้องกันไม่ให้คนร้ายสามารถทำการควบคุมระยะไกลและเข้ามาควบคุมเครื่องเป้าหมายผ่านช่องโหว่ระบบด้วยการส่งคำสั่งจาก RDP

BlueKeep ถูกระบุเป็น CVE-2019-0708 ถือเป็นเวิร์มที่ใช้ช่องโหว่ของระบบในการโจมตี เนื่องจากสามารถแพร่กระจายมัลแวร์จากตัวมันเองไปยังเครื่องอื่นที่มีช่องโหว่แบบเดียวกันได้โดยอัตโนมัติ แม้ว่าเครื่องของเหยื่อจะไม่ได้ทำการกดรับหรือตอบโต้ใดๆก็ตาม

การจู่โจมรูปแบบนี้เป็นที่รู้กันดีตั้งแต่ถือกำเนิดขึ้นว่าเป็นภัยคุกคามที่ร้ายแรง ทั้งนี้ไมโครซอฟท์และหน่วยงานของรัฐหลายแห่ง โดยเฉพาะ NAS และ GCHQ พยายามสนับสนุนผู้ใช้งาน Windows รวมไปถึงผู้ดูแลระบบ Windows ทั้งหลายให้ทำการแพตช์ระบบก่อนที่จะมีผู้ไม่ประสงค์ดีใช้ช่องโหว่นี้มาควบคุมหรือเจาะเข้าระบบของผู้ใช้

ถึงแม้ว่าองค์กรด้านความปลอดภัยต่างๆ และนักวิจัยด้านความปลอดภัยทางไซเบอร์ จะประสบความสำเร็จในการป้องกันภัยคุกคาม BlueKeep ไม่ให้แพร่กระจายออกไปสู่สาธารณะ ทั้งที่ก่อนหน้านี้เกือบ 1 ล้านเครื่องยังมีช่องโหว่นี้อยู่ แม้ว่าจะมีการปล่อยแพตช์ไปแล้วเป็นเดือนก็ตาม นี่จึงเป็นเหตุผลว่าทำไมแฮกเกอร์มือสมัครเล่นถึงต้องใช้เวลากว่า 6 เดือนในการกลับมาพร้อมกับการจู่โจมแบบ BlueKeep ซึ่งยังคงไม่แน่ชัดว่าจะทำสำเร็จหรือไม่ รวมถึงยังไม่มีส่วนประกอบของเวิร์มอีกด้วย

ในขณะนี้ยังไม่เป็นที่แน่ชัดว่ามีเครื่อง Windows จำนวนกี่เครื่องที่ถูกจู่โจมผ่านช่องโหว่นี้ เพราะฉะนั้นเพื่อปกป้องเครื่องของท่านเอง ผมแนะนำให้ทุกท่านอัพเดทแพตช์ล่าสุดของ Windows อยู่เสมอครับ

มาถึงเรื่องของเวิร์ม เวิร์มถือเป็นมัลแวร์ชนิดหนึ่งที่สามารถแพร่กระจายตัวเองจากที่หนึ่งไปอีกที่หนึ่งได้ ส่งต่อกันไปเรื่อยๆ ได้ โดยหวังผลให้เกิดความเสียหายขึ้น กับระบบเครือข่ายที่ถูกโจมตีเป็นหลัก โดยผู้ที่สร้างเวิร์มแต่ละประเภทขึ้นมาจะกำหนดว่าเวิร์มที่สร้างจะทำการแพร่กระจายและสร้างความเสียหายให้กับระบบส่วนใด

การป้องกันไม่ให้เวิร์มก่อความเสียหายสำหรับบุคคลทั่วไปควรเริ่มจากการหาโปรแกรม Endpoint Security ที่มีคุณภาพมาติดตั้งบนเครื่องคอมพิวเตอร์ จากนั้นหมั่นอัพเดทโปรแกรมอยู่เสมอ ในส่วนขององค์กรควรเริ่มจากการใช้โปรแกรมรักษาความปลอดภัยในทุกจุดของระบบที่ใช้ เริ่มตั้งแต่ Firewall จนถึง Endpoint และอย่าลืมปกป้อง Cloud ที่บริษัทเลือกใช้เช่นกัน

ในช่วงหลังมานี้การจู่โจมรูปแบบใหม่ๆเริ่มส่งกลิ่นอันน่าสงสัย มีโอกาสสูงที่เวิร์มตัวนี้จะแพร่กระจายทั่วโลกได้ หากผู้ใช้งานแพตช์ไม่ทันการณ์ ตัวผมเองจะยังคงติดตามข่าวสารในเรื่องนี้อย่างต่อเนื่องเพื่อนำมาเล่าให้ทุกท่านทราบทุกๆสัปดาห์ครับ