“สำหรับคอมพิวเตอร์ที่ปิด (disabled) การทำงานของคำสั่ง AutoPlay แล้ว ลูกค้าจะโดนเล่นงานผ่านช่องโหว่ดังกล่าวก็ต่อเมื่อสืบค้น (browse) เข้าไปยังโฟลเดอร์ราก (root folder) ของไดรฟ์ยูเอสบี หรือฮาร์ดดิสก์แบบใช้ภายนอก ช่องโหว่ของระบบจึงจะทำงานได้ ซึ่งปกติ ฟังก์ชัน AutoPlay ของ Windows 7 สำหรับอุปกรณ์สตอเรจที่ต่อทางพอร์ตยูเอสบี (USB devices) จะถูกปิดการทำงานโดยอัตโนมัติอยู่แล้ว” แม้จะฟังดูเหมือนพีซีที่ใช้ Windows 7 จะปลอดภัย เนื่องจากชอร์ทคัตอันตรายไม่ถูกเรียกทันทีที่เสียบอุปกรณ์ยูเอสบีด้วยคำสั่ง AutoPlay แต่ Graham Cluley นักวิจัยจาก Sophos บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยเตือนว่า การโจมตีสามารถเริ่มต้นได้โดยอัตโนมัติผ่านทาง Windows Explorer แม้จะปิดการทำงานของฟังก์ชัน AutoRun และ AutoPlay แล้วก็ตาม

“โอกาส ที่ผู้ใช้ Windows 7 จะถูกโจมตีด้วยช่องโหว่ดังกล่าวเป็นไปได้มากยิ่งขึ้นในช่วงสุดสัปดาห์ที่ ผ่านมา เมื่อแฮคเกอร์ที่ใช้ชื่อว่า Ivanlef0u ได้เผยแพร่ชุดคำสั่งที่ได้รับการพิสูจน์แล้ว (proof-of-concept code) ออกไปบนเน็ต ประเด็นที่น่ากังวลก็คือ แฮคเกอร์ที่ไม่หวังดีคนอื่นๆ อาจกำลังพยายามใช้ช่องโหว่ดังกล่าวก็ได้” Cluley โพสต์ไว้ในบล็อกของ Sophos “ในอดีตเราพบหนอนไวรัส (ตัวอย่าง Conficker ที่ดังมาก) สามารถแพร่กระจายอย่างรวดเร็วผ่านทางอุปกรณ์ยูเอสบี ทำให้หลายๆ บริษัทต้องสั่งให้ฝ่ายไอที disable การทำงานของคำสั่ง AutoPlay ดังนั้น มันจึงเป็นเรื่องเสียงมาก หากเกิดมัลแวร์ที่ใช้ช่องโหว่ที่พบในขณะนี้ ซึ่งยังไม่มีแพตช์ออกมาแก้ไขปัญหาแต่อย่างใด” อย่างไรก็ตาม ไมโครซอฟท์ยันยันว่า ช่องโหว่ที่ตรวจสอบอยู่นี้มีโอกาสที่ผู้ไม่หวังดีสามารถใช้ในการแพร่กระจา ยมัลแวร์ หรือรูทคิทผ่านทางอุปกรณ์ยูเอสบีได้

[youtube]http://www.youtube.com/watch?v=1UxN7WJFTVg[/youtube]

ที่มา : ข่าวไอที ทิป-เทคนิค คอมพิวเตอร์

รายงานข่าวเมื่อวันจันทร์ที่ผ่านมา Laurent Gaffie แฮคเกอร์รายหนึ่งอ้างว่า เขาพบวิธีโจมตีระบบปฏิบัติการรุ่นใหม่ล่าสุดที่กำลังจะออกมาอย่าง Windows 7 รวมถึงโอเอสรุ่นปัจจุบันอย่าง Vista ผ่านทางอินเทอร์เน็ต โดยระบบจะแสดงหน้าจอน้ำเงินมรณะ (Blue Screen Of Death) ขึ้นมาอย่างไรก็ตาม ไมโครซอฟท์กล่าวว่า ทางบริษัทมั่นใจ Windows 7 ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว อีกทั้งยังไม่ได้รับรายงานใดๆ จากลูกค้าว่า โดนโจมตีจากช่องโหว่ที่พบนี้

Gaffie ตอบกลับทันทีว่า ช่องโหว่ดังกล่าวไม่สามารถใช้งานได้ตลอดเวลา แต่มันมีอยู่จริง “กรณีของ Windows 7 เป็นเรื่องที่น่าขัน เพราะผู้ใช้ส่วนใหญ่ที่โพสต์ข้อความในบล็อกของผมประมาณ 50% บอกว่า มัน (โค้ด) เวิร์ก ในขณะที่อีก 50% บอกว่า มันไม่เวิร์ก ผมเดาว่า มันอาจจะเกิดจากการที่บางเวอร์ชันไม่ได้ใช้ไดรเวอร์ตัวเดียวกัน” ช่องโหว่ที่ว่านี้ยังอาจจะนำไปสู่การพัฒนารูปแบบการโจมตีแบบ DDoS ได้อีกด้วย

อย่างไรก็ตาม เมื่อวานนี้ทาง Internet Storm Center (ISC) ได้ยืนยันว่า ช่องโหว่ดังกล่าวสามารถใช้งานได้จริง “เรายืนยันว่า ช่องโหว่ที่พบมีผลกระทบกับ Windows 7/Vista/Server 2008″ ข้อความยืนยันได้ถูกโพสต์แจ้งไว้ในเว็บไซต์ของ ISC นอกจากนี้ ข้อความคอมเมนต์ที่ปรากฎในบล็อกของ Gaffie ก็ระบุตรงกัน โดยผลลัพธ์ของการโจมตีจะทำให้คอมพิวเตอร์ของเหยื่อเกิดอาการที่เรียกว่า จอน้ำเงินมรณะ (BSOD) ลักษณะคือ โอเอสจะแสดงหน้าจอสีน้ำเงินพร้อมแสดงบรรทัดของโค้ดการทำงานในส่วนที่ผิดพลาด จนล่ม ผู้ที่เข้ามาคอมเมนต์ในไซต์ยังเชื่อว่า โค้ดที่พัฒนาขึ้นมานั้นสามารถนำไปปรับแต่ง เพื่อเจาะเข้าไปควบคุมการทำงานบนคอมพิวเตอร์ของเหยื่อได้โดยสมบูรณ์ได้อย่าง ง่ายดาย

Gaffie อธิบายว่า ช่องโหว่ที่พบจะอยู่ในโพรโตคอลของการทำงานที่เรียกว่า System Message Block (SMB) Version 2 ซึ่งพบใน Windows Vista, Windows 7 และ Windows Server 2008 ส่วนระบบปฏิบัติการเวอร์ชันก่อนหน้านี้อย่าง Windows XP และ Windows 200 จะใช้ SMB1 จึงไม่ได้รับผลกระทบจากช่องโหว่ที่ว่านี้ ในส่วนของ? SMB มันเป็นโพรโตคอลหนึ่งสำหรับการทำงานบนเครือข่ายที่ทำให้ Windows สามารถแชร์ไฟล์ ไดเร็กทอรี และอุปกรณ์ต่างๆ ให้ใช้งานร่วมกันได้ ซึ่ง SMB2 เป็นเวอร์ชันอัพเดตของโพรโตคอล SMB1 เพื่อลดความจำเป็นที่ต้องมีการตรวจสอบกลับไปกลับมาระหว่างเครื่องไคลเอ็นต์ และเซิร์ฟเว่อร์หลายรอบ

ทางด้านตัวแทนของไมโครซอฟท์กล่าวว่า หากผู้ใช้ท่านใดที่รู้สึกว่า กำลังได้รับผลกระทบจากช่องโหว่ดังกล่าวสามารถติดต่อกับทางไมโครซอฟท์ได้ โดยไม่ต้องเสียค่าใช้จ่ายใดๆ ทั้งสิ้น ผ่านทางเว้บไซต์ Microsoft Security Support

ผู้เชี่ยวชาญออกมาเตือนว่า Windows 7 RC ได้ละเลยการแก้ไขช่องโหว่ทางด้านระบบรักษความปลอดภัยใน Windows Explorer ซึ่งมีอยู่ในระบบปฏิบัติการ Windows NT โดย Windows Explorer ใน Windows 7 จะสามารถซ่อน(ไม่แสดง)นามสกุลที่ใช้ระบุชนิดของไฟล์ได้ จุดนี้เองที่ทำให้มันอาจเกิดปัญหาได้ เนื่องจากผู้เขียนไวรัสสามารถนำคุณสมบัตินี้ไปใช้ในการปลอมแปลงโค้ดอันตราย ที่รันได้ให้ผู้ใช้เข้าใจผิดมองเห็นไฟล์เอกสาร? ตัวอย่าง เช่น แฮคเกอร์สามารถเปลี่ยนชื่อไฟล์ VIRUS.EXE ไปเป็น VIRUS.TXT.EXE หรือ VIRUS.JPG.EXE ซึ่ง Windows Explorer ใน Windows 7 จะไม่แสดง(ซ่อน)ส่วนที่เป็น .EXE ของชื่อไฟล์ ทำให้ผู้ใช้เผลอเข้าใจผิดคิดว่าเป็นไฟล์เอกสาร หรือไฟล์ภาพ เนื่องจากระบบจะแสดงไอคอนเป็นไฟล์เอกสาร และไฟล์ภาพอีกด้วย ผลลัพธ์คือ ผู้ใช้ดับเบิ้ลคลิ้กด้วยความมั่นใจว่าปลอดภัย เพราะคิดว่ากำลังเปิดไฟล์เอกสาร แต่แท้จริงแล้วกลับเป็นการสั่งรันไวรัสต่างหาก

F-Secure บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยรายงานว่า Windows 7 RC ยังคงเปิดโอกาสให้แฮคเกอร์ใช้กลลวงนีได้ ดังภาพตัวอย่างที่แสดงไว้ในบล็อกของทางบริษัท ซึ่งบั๊กนี้น่าจะได้รับการแก้ไขในเวอร์ชันสมบูรณ์ แต่ก่อนจะถึงวันนั้น หวังว่า จะไม่มีผู้โชคร้ายจากการู้เท่าไม่ถึงการณ์เสียก่อนนะครับ

ข่าว : ARiP.co.th