แคสเปอร์สกี้ แลป บริษัทเอกชนผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก พัฒนาเทคโนโลยี Automatic Exploit Prevention หรือ AEP ซึ่งล่าสุดโชว์ความสำเร็จในการบล็อกการจู่โจมผ่านช่องโหว่ระบบที่ถูกพบเมื่อเร็วๆ นี้ในซอฟต์แวร์ Microsoft Office โดยไมโครซอฟท์รายงานว่า การจู่โจมนี้มีเป้าหมายตรงอาศัยช่องโหว่นี้
เมื่อวันที่ 5 พฤศจิกายน 2556 ที่ผ่านมานี้ ไมโครซอฟท์ออกแถลงในหัวข้อความปลอดภัยเรื่อง “Microsoft Security Advisory (2896666)” เพื่อแจ้งยูสเซอร์ถึงช่องโหว่ที่พบในระบบ ว่าเป็นช่องทางให้อาชญากรมีสิทธิเข้าใช้ระบบได้เท่ากับเป็นยูสเซอร์เอง ช่องโหว่นั้นพบใน Microsoft Windows, Microsoft Lync และ Microsoft Office เมื่อดูจากความนิยมในการใช้งานแพร่หลายของโปรแกรมเหล่านี้ ย่อมหมายถึงยูสเซอร์ทั่วโลกที่ตกอยู่ในภาวะเสี่ยงต่อการเป็นเหยื่อถูกจู่โจม
แคสเปอร์สกี้ แลป ได้ยืนยันมาแล้วว่า AEP ประสบความสำเร็จในการบล็อกความพยายามใดก็ตามที่จะใช้ประโยชน์จากช่องโหว่ซึ่งไม่เป็นที่รู้กันมาก่อนในซอฟต์แวร์นั้น ทำให้ยูสเซอร์ปลอดจากการเป็นเป้าหมาย รวมไปถึงภัยคุกคามอื่นๆ ที่อาจอาศัยประโยชน์แฝงมากับการพบช่องโหว่นี้ ด้วยการตรวจระวังกิจกรรมที่มีพฤติกรรมผิดปกติ โดยไม่พึ่งพาข้อมูลของมัลแวร์เก่าๆ ที่มีอยู่แล้วในฐานข้อมูลมัลแวร์แต่เพียงอย่างเดียว ทำให้ฟังก์ชั่น Automatic Exploit Prevention ของแคสเปอร์สกี้ แลป พิสูจน์คุณค่าศักยภาพของโปรแกรมเพื่อความปลอดภัยในการป้องกันภัยมัลแวร์ได้ก่อนมาถึงตัว
“ลอจิกของการตรวจจับมัลแวร์ที่อาศัยช่องโหว่ด้วยวิธีจับสังเกตพฤติกรรมผิดปกตินั้นมีติดตั้งในเทคโนโลยี Automatic Exploit Prevention ของแคสเปอร์สกี้ แลป มาเป็นเวลากว่าปีแล้ว การวิจัยหลังพบช่องโหว่นี้ ชี้ว่าได้มีความพยายามเข้าจู่โจมเริ่มตั้งแต่เดือนกรกฎาคม 2556 ที่ผ่านมา ถือได้ว่าเป็นเรื่องสำคัญที่โซลูชั่นของเราสามารถปกป้องยูสเซอร์ได้ก่อนที่จะมีการประกาศเรื่องช่องโหว่นี้เสียอีก” นิกิตา ชเวตซอฟ รองประธานกรรมการบริหารฝ่ายเทคโนโลยี แคสเปอร์สกี้ แลป กล่าว
ช่องโหว่ในโปรแกรมของไมโครซอฟท์ถูกบันทึกไว้ในชื่อ CVE-2013-3906 เป็นช่องโหว่ที่บังคับการทำงานได้จากระยะไกลพบในคอมโพเน้นท์ในระบบกราฟิกของไมโครซอฟท์ ตามข้อมูลของไมโครซอฟท์ที่ว่า:
“ผู้บุกรุกอาศัยประโยชน์จากช่องโหว่นี้ด้วยวิธีการชวนเชื่อหลอกให้ยูสเซอร์เรียกพรีวิวหรือเปิดอีเมล์, ไฟล์ หรือเว็บไซต์ที่ปรับแต่งมาโดยเฉพาะ เปิดช่องให้แทรกผ่านเข้ามาฉวยครอบครองสิทธิ์การใช้เครื่องเสมือนเป็นยูสเซอร์ตัวจริง”
ตามคำแนะนำของไมโครซอฟท์ ได้จัดให้มีวิธีการแก้ไขซึ่ง “ไม่ได้แก้ไขปัญหาหลักที่เกิดขึ้น หากแต่ช่วยบล็อกกิจกรรมที่เข้าจู่โจมที่รู้ได้ก่อนที่จะมีซีเคียวริติอัพเดทพร้อมใช้งาน” การแก้ไขช่องโหว่นี้คาดว่าจะมีอยู่ในซอฟต์แวร์อัพเดทแพทช์ในรุ่นต่อไปจากไมโครซอฟท์
สถานการณ์นี้เป็นตัวอย่างสมบูรณ์แบบของ “Window of vulnerability” ซึ่งช่องโหว่เป็นที่รู้กันอยู่ และน่าจะเป็นไปได้ว่าตกเป็นเป้าหมายของอาชญากรไซเบอร์ แต่บริษัทซอฟต์แวร์ก็ไม่สามารถที่จะวิธีแก้ไขได้ทันที จนกว่าจะถึงวันนั้น ยูสเซอร์จำนวนมากมายก็ตกอยู่ในภาวะเสี่ยงต่อการเป็นเป้าหมายของอาขญากรรมไซเบอร์กันทั่วโลก
แคสเปอร์สกี้ แลป ปกป้องยูสเซอร์จากช่องโหว่ของซอฟต์แวร์ต่างๆ
ผู้เชี่ยวชาญแคสเปอร์สกี้ แลป ออกรายงานผลการวิจัยเกี่ยวกับ “การขยายตัวของการหาประโยชน์จากช่องโหว่ในซอฟต์แวร์” เพื่อกระตุ้นเตือนมาหลายปีแล้ว ด้วยโปรแกรมเช่นนี้มีเป้าหมายเพื่อหาประโยชน์จากช่องโหว่ตามโปรแกรมถูกต้องตามกฎหมายที่ใช้งานแพร่หลาย ซึ่งเมื่อค้นพบโดยผู้ร้ายแทนที่จะเป็นเจ้าของซอฟต์แวร์เช่นนี้จะเรียกว่า Zero-Days เมื่อแคสเปอร์สกี้ แลปสังเกตพบเทรนด์เช่นนี้ในหมู่อาชญากรไซเบอร์ จึงออกแบบ Automatic Exploit Prevention เทคโนโลยีเฉพาะตัวที่สร้างขึ้นมาเฉพาะโดยทีมผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป
การทำงานของ Automatic Exploit Prevention คือตรวจหาพฤติกรรมปกติของโปรแกรมร้าย และจับตาซอฟต์แวร์ที่มักเป็นเป้าหมายการจู่โจมเป็นกรณีพิเศษ เทคโนโลยีนี้มีในโซลูชั่น B2B และ B2C ของแคสเปอร์สกี้ แลป มีหลายฟังก์ชั่นต่างๆ กัน ในการบล็อกการแอบแฝงหาประโยชน์รูปแบบต่างๆ รวมทั้งติดตามหาต้นตอซอฟต์แวร์ที่กำลังพยายามจะ launch และคอยตรวจจับพฤติกรรมของโปรแกรมที่ใช้งานอยู่ก่อนที่จะเปิดใช้งานตัวใหม่ การเฝ้าระวังแบบกันก่อนเกิดเหตุเช่นนี้ผนวกเข้ากับ Forced Address Space Layout Randomization (ASLR) ซึ่งคอยสุ่มตรวจอิมเมจของโมดูลทั้งที่โหลดมาแล้วและที่กำลังโหลด และป้องกันการแอทแทคจากการค้นหาเป้าหมาย
การค้นคว้าวิจัยของแคสเปอร์สกี้ แลป ยังคงดำเนินไปอย่างต่อเนื่อง ให้ความสนใจที่ช่องโหว่ตามซอฟต์แวร์ และผลกระทบต่อระบบความปลอดภัยไอทีเมื่อเดือนตุลาคมที่ผ่านมา บริษัทฯ ได้ออกรายงาน “Java under attack — the evolution
of exploits in 2012-2013” มีช่องโหว่จาวาอยู่มากกว่า 160 รายการที่พบในช่วงหนึ่งปี และถูกโจมตีด้วยมัลแวร์มากกว่า 14 ล้านครั้ง รวมทั้ง ช่องโหว่ที่รู้จักกันดีในชื่อ Zero-Day ที่ใช้เป็นช่องทางหาประโยชน์มาแล้วในแคมเปญจารกรรมที่ชื่อ Icefog
แหล่งข้อมูลเพิ่มเติม
ห้องสมุดบทความ รวบรวมข้อมูลเกี่ยวกับเทคโนโลยีเพื่อความปลอดภัยชนะรางวัลของแคสเปอร์สกี้ แลป
https://www.kaspersky.com/about/press/whitepapers
ข้อมูลเทคโนโลยี Automatic Exploit Prevention ของแคสเปอร์สกี้ แลป
Microsoft Security Advisory (2896666)
https://technet.microsoft.com/en-us/security/advisory/2896666
รายงาน “การขยายตัวของการหาประโยชน์จากช่องโหว่ในซอฟต์แวร์”
https://eugene.kaspersky.com/2012/05/25/the-dangers-of-exploits-and-zero-days-and-their-prevention/
รายงาน “Java under attack — the evolution of exploits in 2012-2013”
https://media.kaspersky.com/pdf/kaspersky-lab-report-java-under-attack-2012-2013.pdf
รายงาน “Independent research awards first place to Kaspersky Lab’s exploit prevention technology”