เตือนภัย! พบ Aikido Wiper ในซอฟต์แวร์ Anti-virus ที่สามารถทำลายข้อมูลใน PC ของเราได้

บทนำ

สวัสดีค่ะ บล็อกแรกของเดือนนี้ แนนจะมาเตือนภัยทุกคนเกี่ยวกับ Aikido Wiper ช่องโหวสุดอันตรายที่สามารถทำลายข้อมูลในคอมพิวเตอร์ของเราแบบกู้คืนไม่ได้ ให้ทุกคนได้รู้จักและระวังกันไว้ค่ะ

บทความนี้แปลมาจาก MicrosoftやAvastなどの人気アンチウイルスソフトがPCのデータを完全破壊してしまう脆弱性「Aikido(合気道)」が見つかる โดยจะปรับเนื้อหาเล็กน้อย เพื่อให้อ่านได้ง่ายขึ้นนะคะ

Aikido Wiper

เมื่อวันที่ 7 ธันวาคม 2565 SafeBreach องค์กรด้าน Cyber security ของสหรัฐอเมริกาได้รายงานว่า

ตรวจพบช่องโหว "Zero-day" ที่ใช้ประโยชน์จากฟังก์ชันลบไฟล์ติดไวรัส ภายใน Anti-virus software และ Endpoint Detection and Response (EDR) เจ้าดัง อย่าง Microsoft Defender, Avast, AVG, Trend Micro เพื่อลบข้อมูลในคอมพิวเตอร์โดยไม่สามารถกู้คืนได้ ซึ่งเป็น PoC ที่ใช้ประโยชน์จากซอฟต์แวร์รักษาความปลอดภัยที่ติดตั้งบนระบบเป้าหมาย ในการโจมตีและลบข้อมูลในอุปกรณ์ของเหยื่อได้โดยไม่ต้องได้รับความยินยอม

Or Yair นักวิจัยด้าน Security ของ SafeBreach ได้ให้ข้อมูลว่า การป้องกันแบบ real time ของ Anti-virus software จำนวนมาก จะแบ่งออกเป็น 2 ขั้นตอน คือ 1. การตรวจจับไฟล์ที่เป็นอันตรายผ่านการสแกนอัตโนมัติ และ 2. การลบไฟล์ที่เป็นอันตราย

ในขณะระหว่าง 2 ขั้นตอนการตรวจจับไวรัสนี้ จะมีการใช้ Bug ที่เรียกว่า Time-of-check to time-of-use (TOCT) มารบกวนการทำงาน ทำให้ระบบเกิดความผิดปกติ กล่าวคือ เมื่อตรวจพบไฟล์อันตราย แทนที่จะระบุเส้นทางของไฟล์อันตรายนั้น กลับไประบุไฟล์ปกติและทำลายไปแทน

ในการประชุมด้านความปลอดภัย Black Hat Europe 2022 ได้ตั้งชื่อ PoC นี้ว่า "Aikido Wiper" เพราะเจ้า PoC นี้ล้างข้อมูลโดยใช้ประโยชน์จากซอฟต์แวร์รักษาความปลอดภัย เพื่อลบไฟล์อื่น ๆ ของเราออกไป

อีกหนึ่งข้อมูลสำคัญคือ เมื่อคุณ Yair ทดลองใช้ "Aikido Wiper" กับซอฟต์แวร์รักษาความปลอดภัยรายใหญ่ พบว่ามีซอฟต์แวร์ที่ไม่ปลอดภัยมากกว่า 6 จาก 11 รายการ ดังต่อไปนี้

・ Microsoft Windows Defender
・ Windows Defender for Endpoint
・ TrendMicro Apex One
・ Avast Antivirus
・ AVG Antivirus
・ SentinelOne

เนื่องจาก Aikido Wiper ใช้ประโยชน์จากการทำงานของซอฟต์แวร์รักษาความปลอดภัยซึ่งเป็นสิ่งที่เรียกได้ว่าน่าเชื่อถือที่สุดในระบบ ทำให้เราไม่สามารถตรวจจับหรือป้องกันการลบไฟล์ได้เลย นอกจากนี้ Aikido Wiper ยังสามารถลบ file system สำคัญ ๆ รวมถึง Driver ทำให้ระบบปฏิบัติการไม่สามารถ Boost ได้อีกด้วย

ในเดือนกรกฎาคมและสิงหาคม ปี 2022 ที่ผ่านมา คุณ Yair ได้รายงานเรื่องช่องโหว่นี้ให้กับผู้จำหน่ายซอฟต์แวร์รักษาความปลอดภัยที่มีปัญหา ในบรรดาบริษัทที่ได้รับรายงาน มี 3 บริษัทที่ได้ดำเนินการแก้ไข ได้แก่ Microsoft, Trend Micro และ Avast (AVG) โดยได้สร้างและอัพเดท Patch ใหม่เพิ่มเติมแล้ว

อย่างไรก็ตาม ยังไม่มีการยืนยันบริษัทซอฟต์แวร์อื่นๆ อย่างเช่น SentinelOne ว่าได้ดำเนินการรับมือกับเรื่องนี้อย่างไร อีกทั้งยังมีความเป็นไปได้ที่อาจมี Aikido Wiper แฝงอยู่ในซอฟต์แวร์รักษาความปลอดภัยของบริษัทอื่น ๆ ที่ยังไม่ผ่านการทดสอบด้วยเช่นกัน

คุณ Yair จึงแนะนำให้ทุก ๆ องค์กรปรึกษากับ vender ของ EDR หรือ Anti-virus software ที่กำลังใช้งานอยู่เพื่อหาทางป้องกันช่องโหวนั้น โดยการติดตั้งซอฟต์แวร์เวอร์ชันอัพเดท หรือ Patch เพิ่มเติมเข้าไป ก็จะสามารถช่วยรักษาความปลอดภัยให้กับระบบและคอมพิวเตอร์ของเราได้ค่ะ

เป็นยังไงกันบ้างคะ ความร้ายการของ Aikido Wiper ยังไงทุกคนก็อย่าลืมเซฟงานหรือข้อมูลสำคัญไว้บนคลาวด์ หรือ Google Drive เผื่อไว้ด้วย ไม่ควรเซฟไว้แค่ในเครื่องเราอย่างเดียว เพราะอาจเกิดเหตุไม่คาดคิดเมื่อไรก็ได้เลยค่ะ