เตือนภัย: shortcut (.lnk) ของ Windows มีช่องโหว่…อาจจะระบาดหนักเร็วๆ นี้


ช่วงนี้จะมีข่าวเกี่ยวกับเรื่อง security มากหน่อย สงสัยจะเพราะใกล้งาน Black Hat 2010 ที่ Las Vegas แล้ว (แม้ชื่องานจะเป็น “Black Hat” แต่ผมดูใน Hak5 สังเกตว่าคนที่ไปร่วมงานแต่ละปีมีแต่พวก White Hat Hackers ทั้งนั้นโดยเฉพาะผู้บรรยาย)

ที่จริงช่องโหว่นี้ของ Windows เป็นข่าวมาได้สักพักหนึ่งแล้ว ครั้งแรกที่ผมเห็นข่าวนี้มาจาก The H Online: Trojan spreads via new Windows hole ในวันที่ 15 ที่ผ่านมา ในเนื้อข่าวรายงานว่าทีมของ VirusBlokAda โปรแกรม Antivirus สัญชาติ Belarus ได้ตรวจพบ Trojan ตัวหนึ่งเข้าระบาดใน Windows 7 ผ่านทาง Flash drive โดยไม่ใช้ช่องทาง autorun.inf (ช่องทางสุดคลาสสิกของไวรัสใน Flash drive) แต่เป็นการเจาะผ่านช่องโหว่ในตัว .lnk shortcut file ซึ่งเมื่อ Windows Explorer แสดง icon ของไฟล์ .lnk นั้น Trojan ก็จะทำงานและวิ่งเข้าเครื่องทันที

หลังจากนั้นไม่นาน Microsoft ก็ได้ยืนยันว่าการจัดการไฟล์ shortcut (พวกนามสกุล .lnk) ของ Windows นั้นมีช่องโหว่อย่างที่ว่าจริง ซึ่งช่องโหว่นี้ยอมให้ระบบมีการรันคำสั่งอื่นที่แฝงอยู่ในไฟล์ .lnk ได้ และเวอร์ชันของ Windows นับจาก Windows XP มาจนถึง Windows 7 มีช่องโหว่นี้เหมือนกันหมด ที่ร้ายไปกว่านั้นคือ ไม่จำเป็นต้องแพร่ผ่านทาง .lnk ในเครื่องหรือใน Flash drive เท่านั้นแต่ .lnk ผ่าน WebDAV หรือ Network share ก็สามารถใช้เป็นแหล่งแพร่ Trojan ได้เหมือนกัน

The vulnerability exists because Windows incorrectly parses shortcuts in such a way that malicious code may be executed when the icon of a specially crafted shortcut is displayed. This vulnerability can be exploited locally through a malicious USB drive, or remotely via network shares and WebDAV. An exploit can also be included in specific document types that support embedded shortcuts.

และเมื่อสองวันก่อน หลังจากที่ทั้งวงการเฝ้ารอมาสัปดาห์กว่าๆ (เพราะ source code ของ Trojan ดังกล่าวได้กระจายไปว่อนอินเตอร์เน็ตแล้ว) Microsoft ก็อุตส่าห์เข็นออก patch มาอุดช่องโหว่นี้จนได้ แต่ “ออกมาเหมือนไม่ออก” เพราะ patch ของ Microsoft ออกเหมือนเด็กที่ปั่นการบ้านวินาทีสุดท้ายก่อนส่งครู พี่แกเล่นปิดการแสดงผล icon ของทุกๆ .lnk shortcut ในระบบเลย ทั้งบน Desktop, ใน Start Menu แบบว่าไม่ต้องเหลือให้เดากันได้เลย แทบไม่ต่างอะไรจากวิธี Workaround ที่ Microsoft แนะนำไว้ตั้งแต่แรกเลย คือ ไปแก้ registry ให้ปิดการแสดงผล icon ซะ (ที่ค่า HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler) เออ เล่นง่ายดีเนอะ ปิดมันให้หมดเลยสิ้นเรื่อง

ภาพจาก The H Online

ตามรายงานในปัจจุบัน Trojan ที่เจาะช่องโหว่นี้ยังคงจำกัดเป้าหมายโจมตีอยู่ที่เครื่องของสำนักงานขนาดใหญ่ๆ เท่านั้น เท่าที่ทราบเหยื่อรายที่โดนเล็งเป้าในตอนนี้มีเพียงรายเดียวคือ SCADA (Supervisory Control and Data Acquisition) ของ Siemens (ผมหมายถึงโดนเล็งเป้า “ถล่ม” จากเครื่อง zombie ที่ติด Trojan นะ) ทำให้ Internet Storm Center (ISC) จึงยังตัดสินใจคงระดับความเสี่ยงของช่องโหว่นี้ที่ระดับ Green ไว้ก่อน จนกว่าจะมีรายงานการระบาดอีกระลอก

แต่บรรดาผู้เชี่ยวชาญและนักวิเคราะห์ด้านความปลอดภัยกลับมองว่าการระบาดขนานหนักของช่องโหว่นี้จะต้องเกิดขึ้นแน่ๆ ขึ้นอยู่กับว่า “เมื่อไร?” เท่านั้นเอง และผู้ไม่เชี่ยวชาญแถมขี้กลัวอย่างผมก็เชื่อตามนั้นเหมือนกัน ถ้ามันระบาดจริง ผมคิดว่าระดับผลกระทบมันน่าจะกว้างกว่าครั้งของ Flashy หรือ Conficker ซะอีก เพราะ แพร่ผ่านได้ทั้ง removable media และ network แถมใครมันจะไปคาดว่าไฟล์ .lnk ธรรมดาๆ จะมีอันตรายไปได้ ไม่ใช่ .exe สักหน่อย

เชื่อผม Linux เถอะ

2 Responses to เตือนภัย: shortcut (.lnk) ของ Windows มีช่องโหว่…อาจจะระบาดหนักเร็วๆ นี้

  1. pitchayuth says:

    ผมโดนแล้วอ่ะ แล้วผมไม่มีเวลาไปเปลี่ยนWindowใหม่

  2. เป็นเหมือนกันเลยครับ ลงใหม่อย่างเดียวครับ

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: