ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ແກ້ໄຂ (Patch) ​ດ່ວນ​! ພົບ​ເຫັນການ​ໂຈມ​ຕີ​ຄອມພິວເຕີ​ທົ່ວ​ໂລກ​ເຖິງ​ 10,000 ເຄື່ອງ​ ຜ່ານ​ເຄື່ອງ​ມື​ທີ່​ຫຼຸດມາ​ຈາກ​ NSA

ຂໍ້ມູນທົ່ວໄປ 

ຫຼັງ​ຈາກ​ກາງເດືອນ ​ເມ​ສາ​ 2017 ທີ່ກຸ່ມ​ແຮັກ​ເກີ​ (Hacker)​ Shadow Brokers ໄດ້​ເຜີຍແຜ່​ເຄື່ອງ​ມື​ສຳລັບ​ໃຊ້​ເຈາະ​ລະບົບ ​ແລະ​ ລັກ​ຂໍ້​ມູນ​ ຊຶ່ງ​ເປັນ​ເຄື່ອງ​ມື​ທີ່​ອ້າງ​ວ່າ​ຫຼຸດ​ມາ​ຈາກ​ໜ່ວຍ​ງານ​ NSA ຂອງ​ສ​ະຫາລັດ​ອາ​ເມ​ຣິ​ກາ,​ ເວລາ​ຜ່ານ​ໄປ​ບໍ່​ເຖິງ​ 1 ອາທິດ​ ພົບ​ເຫັນການລາຍ​ງານ​ການ​ນຳ​ເຄື່ອງ​ມື​ເຫຼົ່າ​ນີ້​ໄປ​ໃຊ້​ໂຈມ​ຕີ​ຄອມພິວເຕີ​ທົ່ວ​ໂລກ​ເຖິງ​ 10,000 ເຄື່ອງ​ແລ້ວ​.

ຜົນກະທົບ

ໃນ​ບັນດາ​ເຄື່ອງ​ມື​ທີ່​ຖືກ​ເຜີຍແຜ່​ອອກ​ມາ​ ມີ​ເຄື່ອງ​ມື​ຊື່​ ETERNALBLUE ຊຶ່ງ​ໃຊ້​ສຳລັບ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ໃນ​ລະບົບ​ SMB ຂອງ​ Windows ໂດຍ​ຜູ້​ປະສົງ​ຮ້າຍ​ສາມາດ​ສັ່ງ​ໃຫ້​ເຄື່ອງ​ປາຍ​ທາງ​ຣັນ (Run) ​ໂປຣ​ແກຣມ​ ຫຼື​ ຄຳ​ສັ່ງ​ໃດ​ໆ​ກໍ່​ໄດ້​ (ຊ່ອງ​ໂຫວ່​ນີ້​ຖືກ​ແກ້​ໄຂ​ໄປ​ແລ້ວ​ໃນ​ແພັດ (Patch)​​ MS17-010 ທີ່​ອອກມາ​ໃນເດືອນ​ ມີ​ນາ​ 2017) ຫຼັງ​ຈາກ​ໂຈມ​ຕີ​ສຳ​ເລັດ​ຈະ​ຕິດ​ຕັ້ງ​ເຄື່ອງ​ມື​ DOUBLEPULSAR ໄວ້​ໃນ​ເຄື່ອງ​ປາຍ​ທາງ​ເພື່ອ​ໃຊ້​ເປັນ​ backdoor ຮັບ​ຄຳ​ສັ່ງ​ຄວບ​ຄຸມ​ການ​ໂຈມ​ຕີ​ໃນ​ພາຍ​ຫຼັງ​.

ປະຈຸບັນ​ເຄື່ອງ​ມື​ສຳລັບ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ ແລະ​ ບົດ​ຄວາມ​ອະທິບາຍ​ວິທີ​ການ​ໃຊ້​ງານ​ເຄື່ອງ​ມື​ ມີ​ເຜີຍແຜ່​ທົ່ວ​ໄປ​ຕາມ​ອິນ​ເຕີ​ເນັດ​ ເຮັດໃຫ້​ຜູ້​ປະສົງ​ຮ້າຍ​ທີ່​ອາດຈະ​ບໍ່​ໄດ້​ມີ​ຄວາມ​ຊ່ຽວ​ຊານ ດ້ານ​ການ​ເຈາະ​ລະບົບ​ເທົ່າໃດ​ກໍ່​ສາມາດ​ນຳ​ເຄື່ອງ​ມື ​ແລະ ​ວິທີ​ການ​ເຫຼົ່າ​ນັ້ນ​ໄປ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ໄດ້​ ໂດຍ​ນັກ​ວິ​ໄຈ​ດ້ານ​ຄວາມໝັ້ນຄົງ​ປອດໄ​ພ​ ໄດ້​ກວດ​ສອບ​ພົບ​ວ່າ ​ຄອມພິວເຕີ​ທົ່ວ​ໂລກ​ເຖິງ 10,000 ເຄື່ອງ​ຖືກ​ໂຈມ​ຕີ​ຝັງ​ DOUBLEPULSAR ໄວ້​ໃນ​ເຄື່ອງ​ແລ້ວ.

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

ສ່ວນ​ໃຫຍ່​ອຸປະກອນ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ເປັນ​ເຄື່ອງ​ທີ່​ບໍ່​ໄດ້​ຕິດ​ຕັ້ງ​ແພັດ​​ລ່າ​ສຸດ​ ຫຼື ​ເປັນ​ Windows ເວີ​ຊັ່ນ​ເກົ່າ​ທີ່​ບໍ່​ໄດ້ຮັບ​ການ​ອັບ​ເດດ​ແລ້ວ​ (ເຊັ່ນ​ Windows XP ແລະ​ Windows Server 2003).

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຄວນ​ຈະປະຕິບັດດັ່ງນີ້:

-  ອັບ​ເດດ​ Windows ໃຫ້ເປັນ​ເວີ​ຊັ່ນ​ລ່າ​ສຸດ​.

-  ຢຸດ​ໃຊ້​ງານ​ Windows XP ແລະ​ Windows Server 2003 (ຫຼື ​ແຍກ​ອອກຈາກ​ລະບົບ​ເຄືອ​ຂ່າຍ​ຫຼັກ​ ບໍ່​​ເຊື່ອມ​ຕໍ່​ກັບ​ອິນ​ເຕີ​ເນັດ​).

-  ກວດ​ສອບ​ການ​ໂຈມ​ຕີພອດ (Port)​ SMB (445) ອາດ​ພິຈາລະນາ​ບ​ລັອກ (Block) ​ການ​ເຊື່ອມ​ຕໍ່​ SMB ຈາກ​ IP ພາຍນອກ​.

-  ພິຈາລະນາ​ປິດ​ການ​ໃຊ້​ງານ​ SMBv1 ຖ້າຫາກ​ວ່າບໍ່​ຈຳ​ເປັນ​ ໂດຍ​ສາມາດ​ສຶກ​ສາ​ວິທີ​ການ​ໄດ້​ຈາກ​ເວັບ​ໄຊ​ Microsoft (https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012).

ເອກະສານອ້າງອີງ:

  1. https://www.thaicert.or.th/newsbite/2017-04-24-01.html#2017-04-24-01
  2. https://arstechnica.com/security/2017/04/10000-windows-computers-may-be-infected-by-advanced-nsa-backdoor/
  3. https://www.theregister.co.uk/2017/04/21/windows_hacked_nsa_shadow_brokers