ก่อนหน้านี้ Microsoft ออกมาบอกว่า Windows 10 S จะเป็นตัวที่สามารถป้องกัน Ransomware ใดๆได้ รวมถึง Malware ตัวที่ไม่เคยมีใครเจอด้วย

Microsoft เปิดตัว Windows 10 S ซึ่งเป็นระบบปฏิบัติการที่มุ่งไปยังกลุ่มของนักเรียน โดยจะมาใน Surface Laptop ตัวใหม่. Microsoft กล่าวว่าจะไม่มีผลกระทบน้อยต่อ ransomware เพราะมีการป้องกันการรันโปรแกรมใดๆนอกจาก app store ของ Microsoft ซึ่งการจะทำให้ application สามารถผ่านการ approve ใน app store ของ Microsoft จะต้องถูกผ่านการตรวจและทดสอบมากมาย ซึ่งทำให้ระบบปฏิบัติการจะป้องกัน malware ต่างๆได้นั่นเอง

ซึ่งแน่นอนว่าทาง ZD-Net ไม่เชื่อ ดังนั้นจึงทำการซื้อ Surface Laptop ที่เพิ่งออกมาใหม่ที่มาพร้อมกับ Windows 10 S จากนั้นก็เริ่มทำการทดสอบเลยโดยการว่าจ้างให้ Security Researcher และผู้ร่วมก่อตั้งบริษัท Hacker House ชื่อว่า Matthew Hickey เริ่มจากการสร้าง account ที่เป็น offline จากนั้นทำการติดตั้ง security update patch ทุกอย่างให้เรียบร้อย

Matthew ใช้เวลา 3 ชม. จนสามารถยึดเครื่องได้ ซึ่งเค้า comment ว่ามันง่ายมาก ซึ่งตอนแรกเค้าว่าจะยากกว่านี้เพราะคำพูดที่ประกาศจาก Microsoft ไปก่อนหน้านี้ ตัว Microsoft เองไม่เพียงแค่ block การรัน application ที่ไม่อยู่ใน store ของ Microsoft อีกทั้งมีการปิดการใช้งานสิ่งใดๆที่ไม่จำเป็น เช่น การตัด cmd.exe ทิ้ง, การเไม่สามารถเข้าถึงเครื่องมือการเขียน script ได้, ไม่สามารถใช้งาน powershell ได้ ซึ่งทุกครั้งที่ user พยายามเปิด application ที่ไม่อนุญาตจะมีการบอกว่า application ถูก limit

 

แต่ Attacker ยังคงสามารถยึดเครื่องได้จากการโจมตีไปยังช่องโหว่ของ Microsof Word ซึ่งมีการรัน macro ได้อยู่ดี. Matthew สร้าง Word document ที่มี malicious macro อยู่ทำให้สามารถ bypass การปิดการใช้งาน application นอกเหนือผ่าน app store ได้ เพราะ Microsoft Office (Microsoft Word) เป็น application ที่ถูก approve แล้วใน app store นั่นเอง เมื่อ document ถูกเปิดด้วย Microsoft word โดยใช้สิทธิ์ของ administrator ทำให้ process ย่อยได้สิทธิ์ของ administrator ไปด้วย

ซึ่งตอนแรกติด “Protected View” ของ Word ซึ่งโดยปกติจะกันการรัน macro ใดๆจากไฟล์ที่ถูก download มาจาก internet แต่สามารถ bypass ได้โดยการ download ผ่าน network file sharing แทน ทำให้ macro สามารถทำงานได้นั่นเอง เมื่อทำได้จึงกลายเป็นได้ shell ด้วยสิทธิ์ administrator ไปโดยปริยายนั่นเอง จากนั้นจึงทำการ download payload ของ Metasploit แล้วก็เริ่มไปยังส่วนเพิ่มสิทธิ์ของ user จนได้สิทธิ์ system (privilege escalation) และการทำส่วน post exploitation (กระบวนการหลังจากยึดเครื่องได้สำเร็จ) ต่างๆต่อนั่นเอง เมื่อถึงจุดนี้แล้วการจะรัน malware ไฟล์ใดๆรวมถึง ransomware ใดๆ ถือเป็นเรื่องที่ง่ายมาก ซึ่งทั้งหมดก็ไม่ได้เป็นสิ่งที่ทำได้ยากเลยในเมื่อมองจากมุมของ Security Professional ต่างๆ

แต่เรื่องมันมีจุดพีคที่ว่า Microsoft กลับบอกว่าปฎิเสธเรื่องราวดังกล่าว “ในช่วงต้นๆของมิถุนายน, เรากล่าวว่า Windows 10 S นั้นไม่มีช่องโหว่ใดๆกับ ransomware ใดๆ และจากข้อมูลของทาง ZDNet นั้นก็บ่งบอกว่าที่กล่าวไปนั้นเป็นเรื่องจริง เราคอยเฝ้าระวัง threat และการโจมตีใหม่ๆอย่างต่อเนื่อง ทาง Microsoft โต้เถียงได้ว่ามีการใช้เครื่องมือหลายอย่าง ซึ่งมันไม่เหมือนโลกจริงๆที่มีในปัจจุบัน ซึ่งมี step มากมายที่จำเป็นต้องทำ ไมเหมือนกับการที่ user กด double-click ในโลกความเป็นจริง Hacker อาจจะยอมแพ้ไปก่อนที่จะใช้เวลาถึงสามชม. ในการหาช่องโหว่ต่างๆก็เป็นได้

ในตอนท้าย Microsoft กล่าวว่า ไม่มีทางที่ “ransomware ใดๆ”จะสามารถทำงานได้ แต่จะทำงานได้ก็ต่อเมื่อใช้สิทธิ์ของ system ซึ่งเป็นสิทธิ์สูงสุด ซึ่งนั่นหมายความว่าจำเป็นต้องยึดเครื่องได้แบบเบ็ดเสร็จถึงจะติดตั้ง  ransomware ได้นั่นเอง และมันต้องมีการเรียนรู้อยู่เสมออยู่แล้ว ไม่มีสิ่งใดๆที่ไม่สามารถแฮ็ตได้นั่นเอง

Source:: ZDNet