CISA ยืนยัน BlueHammer กลายเป็นอาวุธของแรนซัมแวร์แล้ว

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ยืนยันเมื่อวันจันทร์ว่า กลุ่มแรนซัมแวร์ได้ขยับจากการโจมตีแบบ zero-day ที่มุ่งเป้าหมายเฉพาะ ไปสู่การใช้ประโยชน์จากช่องโหว่ BlueHammer ในวงกว้าง ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ (privilege escalation) ระดับความรุนแรงสูงที่พบใน Microsoft Defender การเปลี่ยนจากแบบเจาะจงไปสู่การใช้เป็นวงกว้างนี้เป็นสัญญาณสำคัญสำหรับทุกองค์กรที่ใช้งานระบบ Windows และเพิ่มความเร่งด่วนในการแพตช์และระบบป้องกันแบบหลายชั้นอย่างมาก

ช่องโหว่ BlueHammer เป็นที่สนใจในวงการความปลอดภัยอยู่แล้ว หลังจากถูกนำไปใช้ในทางที่ผิดในฐานะการโจมตี zero-day มาก่อน การยืนยันว่าผู้ปฏิบัติการแรนซัมแวร์กำลังผนวกมันลงในคลังเครื่องมือของพวกเขา นับเป็นก้าวใหม่ ทันทีที่ช่องโหว่เปลี่ยนจากการใช้ในการจารกรรมแบบมุ่งเป้าหรือการโจมตีครั้งเดียว ไปเป็นส่วนหนึ่งของโครงสร้างพื้นฐานของแก๊งแรนซัมแวร์ ความเสี่ยงก็เพิ่มขึ้นอย่างมหาศาล และหน้าต่างเวลาที่องค์กรจะปกป้องตัวเองก็แคบลงอย่างรวดเร็ว

การยกระดับสิทธิ์มีความหมายอย่างไรในการโจมตีด้วยแรนซัมแวร์

ช่องโหว่การยกระดับสิทธิ์มีค่าอย่างยิ่งสำหรับผู้โจมตีด้วยแรนซัมแวร์ เพราะตำแหน่งของมันในห่วงโซ่การโจมตี การเจาะเข้าระบบเครือข่ายได้เป็นเพียงก้าวแรกเท่านั้น เพื่อปล่อยแรนซัมแวร์ได้อย่างมีประสิทธิภาพทั่วทั้งองค์กร ผู้โจมตีมักต้องมีสิทธิ์ระดับสูงที่ช่วยให้เคลื่อนย้ายไปด้านข้าง (lateral movement) ปิดการทำงานของเครื่องมือความปลอดภัย เข้าถึงระบบสำรองข้อมูล และสุดท้ายเข้ารหัสหรือขโมยข้อมูลในวงกว้าง

ช่องโหว่ใน Microsoft Defender มีความสำคัญยิ่งยวด เพราะ Defender ฝังตัวลึกในระบบปฏิบัติการ Windows และทำงานด้วยสิทธิ์ความน่าเชื่อถือสูง หากผู้โจมตีสามารถใช้ประโยชน์จากความสัมพันธ์ด้านความน่าเชื่อถือนั้นได้ พวกเขาอาจยกระดับสิทธิ์จากการยึดพื้นที่จำกัดไปสู่การควบคุมระบบในวงกว้าง โดยไม่ก่อให้เกิดการแจ้งเตือนแบบที่มัลแวร์ต่างถิ่นจะสร้าง

พลวัตนี้ไม่ได้เกิดเฉพาะกับ BlueHammer กลุ่มแรนซัมแวร์มักนำช่องโหว่หลายช่องมาเชื่อมต่อกัน ใช้หนึ่งเพื่อเข้าไป และอีกหนึ่งเพื่อยกระดับและแพร่กระจาย เซิร์ฟเวอร์ 40,000 ตัวถูกบุกรุกผ่านช่องโหว่ cPanel ที่กำลังถูกโจมตี แสดงให้เห็นว่าผู้คุกคามเปลี่ยนจากการค้นพบไปสู่การใช้ประโยชน์เป็นวงกว้างอย่างรวดเร็วเพียงใด เมื่อช่องโหว่นั้นมอบอำนาจควบคุมที่สำคัญ

ทำไมแก๊งแรนซัมแวร์จึงมุ่งเป้าไปที่ Windows Defender โดยเฉพาะ

การที่ Microsoft Defender มีอยู่แทบทุกเครื่องบน Windows ทำให้มันเป็นเป้าหมายที่น่าสนใจสำหรับศัตรู องค์กรที่พึ่งพา Defender เป็นระบบป้องกันปลายทางหลักหรือเพียงระบบเดียว จะมีความเสี่ยงเป็นพิเศษเมื่อช่องโหว่ของ Defender ถูกใช้เป็นอาวุธ เพราะเครื่องมือที่ควรจะปกป้องพวกเขา กลับกลายเป็นช่องโหว่สำหรับการโจมตี

นี่ไม่ใช่ข้อโต้แย้งให้เลิกใช้ Defender แต่เป็นข้อสนับสนุนแนวคิดการป้องกันแบบหลายชั้น (defense-in-depth): หลักการที่ว่าไม่ควรมีเครื่องมือความปลอดภัยใดเพียงชิ้นเดียวที่เป็นด่านเดียวระหว่างผู้โจมตีกับระบบสำคัญของคุณ เมื่อแก๊งแรนซัมแวร์เจาะจงใช้ช่องโหว่ในซอฟต์แวร์ความปลอดภัยของคุณ การมีชั้นป้องกันเพิ่มเติมที่เป็นอิสระต่อกันก็ยิ่งมีความสำคัญมากกว่าที่เคย

การควบคุมระดับเครือข่ายเป็นชั้นหนึ่งเช่นนั้น การแบ่งส่วนเครือข่ายภายใน การบังคับใช้นโยบายควบคุมการเข้าถึงที่เข้มงวด และการเฝ้าระวังการเคลื่อนย้ายด้านข้างที่ผิดปกติ สามารถชะลอหรือหยุดการแพร่กระจายของแรนซัมแวร์ได้ แม้ว่าจะมีการบุกรุกปลายทางสำเร็จแล้วก็ตาม VPN เมื่อกำหนดค่าอย่างถูกต้องบนเครือข่ายองค์กร สามารถจำกัดการสอดแนมที่ผู้โจมตีดำเนินการในช่วงต้นของการบุกรุก โดยควบคุมว่าเส้นทางเครือข่ายใดถูกเปิดเผย คำเตือนล่าสุดจาก FBI เกี่ยวกับกลุ่ม Silent Ransom ที่ปลอมตัวเป็นพนักงาน IT เป็นเครื่องเตือนใจว่าผู้โจมตีมักจะสืบค้นสถาปัตยกรรมเครือข่ายและการควบคุมการเข้าถึง เป็นส่วนหนึ่งของงานเตรียมการก่อนการโจมตี

สิ่งนี้มีความหมายต่อคุณอย่างไร

สำหรับผู้ใช้ Windows ทั่วไป ขั้นตอนเร่งด่วนที่สุดคือการตรวจสอบให้แน่ใจว่า Windows Update เป็นปัจจุบัน และนิยามและส่วนประกอบแพลตฟอร์มของ Microsoft Defender อัปเดตสมบูรณ์แล้ว โดยปกติ Microsoft จะปล่อยแพตช์สำหรับช่องโหว่ระดับความรุนแรงนี้อย่างรวดเร็ว และการติดตั้งทันทีเป็นปฏิบัติการเดียวที่มีประสิทธิภาพสูงสุดที่คุณทำได้

สำหรับผู้ดูแลระบบ IT และทีมความปลอดภัย การยืนยันของ CISA เป็นสัญญาณเรียกร้องให้ทบทวนว่าแพตช์ BlueHammer ได้ถูกติดตั้งแล้วในทุกจุดปลายทาง รวมถึงพนักงานรีโมตและไฮบริดหรือไม่ องค์กรควรทบทวนความสามารถในการตรวจจับพฤติกรรมการยกระดับสิทธิ์ด้วย เพราะการแพตช์แก้ไขช่องโหว่ แต่การเฝ้าระวังนั้นจัดการกับรูปแบบภัยคุกคามโดยรวม

นอกจากนี้ ควรทราบว่า CISA ไม่ได้เพิ่มช่องโหว่ลงในแค็ตตาล็อกช่องโหว่ที่ถูกใช้โจมตี (Known Exploited Vulnerabilities) อย่างลวก ๆ การมีรายการอยู่ในแค็ตตาล็อกนั้นหมายถึงคำสั่งทางปฏิบัติการที่มีผลผูกพันสำหรับหน่วยงานรัฐบาลกลางสหรัฐฯ และเป็นสัญญาณแรงถึงภาคเอกชนว่าการใช้ช่องโหว่จริงกำลังดำเนินอยู่ ไม่ใช่แค่ในทางทฤษฎี ประวัติของหน่วยงานในการชี้ช่องโหว่ที่ก่อให้เกิดความเสียหายจริง ทำให้มันเป็นระบบเตือนภัยล่วงหน้าที่เชื่อถือได้ ความน่าเชื่อถือนั้นก็ทำให้มันกลายเป็นเป้าหมายด้วยเช่นกัน: การเปิดเผยบน GitHub ที่เชื่อมโยงกับผู้รับเหมาของ CISA เมื่อต้นปีนี้ ตอกย้ำว่าแม้แต่องค์กรที่มุ่งเน้นความปลอดภัยก็ต้องเผชิญความเสี่ยงด้านโครงสร้างพื้นฐาน

ข้อปฏิบัติที่นำไปใช้ได้

  • แพตช์ตอนนี้ ติดตั้งการอัปเดตความปลอดภัยของ Microsoft ที่พร้อมใช้งานทั้งหมด โดยให้ความสนใจเป็นพิเศษกับแพตช์ใด ๆ ที่แก้ไขส่วนประกอบของ Microsoft Defender
  • ตรวจสอบจุดปลายทางของท่าน ยืนยันว่าการกระจายแพตช์ไปถึงพนักงานรีโมต สำนักงานสาขา และอุปกรณ์ใด ๆ ที่อาจพลาดรอบการอัปเดตอัตโนมัติ
  • จัดชั้นการป้องกัน อย่าพึ่งพาเครื่องมือความปลอดภัยใดเพียงตัวเดียวเป็นกลยุทธ์การปกป้องทั้งหมดของคุณ จับคู่ความปลอดภัยปลายทางกับการเฝ้าระวังเครือข่าย การควบคุมการเข้าถึง และการตรวจจับพฤติกรรม
  • เฝ้าระวังการยกระดับสิทธิ์ ตรวจสอบบันทึกเหตุการณ์การยกระดับกระบวนการที่ผิดปกติ โดยเฉพาะเหตุการณ์ที่เกี่ยวข้องกับกระบวนการของซอฟต์แวร์ความปลอดภัย
  • ทบทวนการแบ่งส่วนเครือข่าย หากแรนซัมแวร์เข้ามายึดพื้นที่ได้จริง การแบ่งส่วนเครือข่ายที่แข็งแรงสามารถจำกัดการแพร่กระจายของมันก่อนที่จะถูกตรวจจับและควบคุม

การเปลี่ยนผ่านของ BlueHammer จากเครื่องมือ zero-day ไปสู่อุปกรณ์สามัญของแก๊งแรนซัมแวร์ เป็นรูปแบบที่ชุมชนความปลอดภัยเคยเห็นมาก่อน และมันจะเกิดขึ้นอีกกับช่องโหว่ในอนาคต การสร้างแนวปฏิบัติด้านความปลอดภัยที่คำนึงถึงวิวัฒนาการที่คาดการณ์ได้นี้ จะคงทนกว่าการตอบสนองต่อช่องโหว่แต่ละช่องเพียงลำพัง