ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ดูแลระบบและผู้ใช้งานระบบปฏิบัติการ Microsoft Windows ให้ติดตามกรณีการเผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ที่ถูกเรียกว่า “MiniPlasma” ซึ่งเกี่ยวข้องกับช่องโหว่ CVE-2020-17103 โดยช่องโหว่นี้อาจถูกใช้เพื่อยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปเป็นสิทธิ์ระดับ SYSTEM ได้
1. รายละเอียดภัยคุกคาม
CVE-2020-17103 (CVSS v3.1: 7.8 ระดับ High อ้างอิงตาม NVD) เป็นช่องโหว่ประเภท Elevation of Privilege ใน Windows Cloud Files Mini Filter Driver โดยรายงานล่าสุดระบุว่า MiniPlasma อาศัยพฤติกรรมผิดพลาดใน cldflt.sys ซึ่งเป็นส่วนประกอบที่เกี่ยวข้องกับฟีเจอร์ Cloud Files/File Sync ของ Windows เช่น OneDrive จุดบกพร่องเกี่ยวข้องกับฟังก์ชัน HsmOsBlockPlaceholderAccess ที่อาจมีการตรวจสอบสิทธิ์การเข้าถึงไม่เหมาะสม ซึ่งอาจเปิดโอกาสให้ผู้โจมตีที่มีสิทธิ์ผู้ใช้ทั่วไปสามารถยกระดับสิทธิ์เป็น SYSTEM ได้
ทั้งนี้ ขอบเขตของระบบที่ได้รับผลกระทบจาก PoC ดังกล่าวอาจแตกต่างกันตามเวอร์ชัน การตั้งค่า และสภาพแวดล้อมของระบบ ผู้ดูแลระบบควรติดตามประกาศจาก Microsoft เพื่อยืนยันสถานะผลกระทบและแนวทางแก้ไขเพิ่มเติมอย่างเป็นทางการ
2. ระบบที่อาจได้รับผลกระทบ
ระบบที่ควรตรวจสอบและเฝ้าระวัง ได้แก่
2.1 ระบบปฏิบัติการ Microsoft Windows ที่มีไฟล์ไดรเวอร์
C:\Windows\System32\drivers\cldflt.sys
2.2 ระบบ Windows ที่มีการใช้งานฟีเจอร์หรือบริการที่เกี่ยวข้องกับ Cloud Files / File Sync / OneDrive
2.3 เครื่องลูกข่ายหรือเครื่องแม่ข่ายที่อนุญาตให้ผู้ใช้ทั่วไปสามารถรันไฟล์ โปรแกรม หรือสคริปต์ภายในเครื่องได้
2.4 ระบบ Windows ที่มีความเสี่ยงจากการถูกผู้โจมตีเข้าถึงบัญชีผู้ใช้ระดับต่ำ เช่น ผ่านมัลแวร์ ฟิชชิง บัญชีรั่วไหล หรือการเข้าถึงระยะไกลที่ไม่ปลอดภัย
3. ผลกระทบที่อาจเกิดขึ้น
หากช่องโหว่นี้ถูกใช้โจมตีสำเร็จ ผู้โจมตีที่มีสิทธิ์ระดับผู้ใช้ทั่วไปอาจสามารถยกระดับสิทธิ์เป็น SYSTEM ซึ่งเป็นสิทธิ์ระดับสูงสุดของระบบ Windows ได้ ส่งผลให้ผู้โจมตีอาจสามารถดำเนินการที่กระทบต่อความมั่นคงปลอดภัยของระบบ เช่น
– รันคำสั่งหรือโปรแกรมด้วยสิทธิ์ระดับสูง
– ติดตั้งมัลแวร์หรือเครื่องมือโจมตีเพิ่มเติม
– แก้ไขค่าระบบหรือรีจิสทรี
– สร้างหรือแก้ไขบัญชีผู้ใช้
– เข้าถึงข้อมูลภายในเครื่องที่บัญชีทั่วไปไม่ควรเข้าถึง
– ใช้เครื่องที่ถูกยึดเป็นจุดตั้งต้นสำหรับโจมตีระบบอื่นภายในองค์กร
อย่างไรก็ตาม ช่องโหว่นี้เป็น Local Privilege Escalation หมายความว่าผู้โจมตีต้องมีช่องทางเข้าถึงเครื่องเป้าหมายหรือสามารถรันโค้ดบนเครื่องได้ก่อน จึงไม่ใช่ช่องโหว่ที่โจมตีจากอินเทอร์เน็ตโดยตรงได้ทันที
4. แนวทางการตรวจสอบ
ผู้ดูแลระบบควรดำเนินการตรวจสอบเบื้องต้น ดังนี้
4.1 ตรวจสอบว่าระบบมีไฟล์ cldflt.sys หรือไม่ ที่ C:\Windows\System32\drivers\cldflt.sys
4.2 ตรวจสอบเวอร์ชันของระบบ Windows และประวัติการติดตั้งอัปเดตความปลอดภัยล่าสุด
4.3 ตรวจสอบพฤติกรรมผิดปกติที่เกี่ยวข้องกับการยกระดับสิทธิ์ เช่น
– การรัน process ด้วยสิทธิ์ SYSTEM ที่ผิดปกติ
– การสร้างบัญชีผู้ใช้ใหม่โดยไม่ทราบที่มา
– การแก้ไข Registry ที่ผิดปกติ
– การเรียกใช้ command shell หรือ PowerShell จาก path ที่น่าสงสัย
– การรันไฟล์ executable จากโฟลเดอร์ชั่วคราว เช่น %TEMP%, %APPDATA%, หรือ Downloads
4.4 ตรวจสอบข้อมูลจาก EDR/Antivirus/SIEM เพื่อค้นหาพฤติกรรมที่เข้าข่าย Local Privilege Escalation
4.5 ติดตามประกาศจาก Microsoft Security Response Center (MSRC) อย่างใกล้ชิด เพื่อรับทราบว่ามีคำแนะนำหรือแพตช์เพิ่มเติมสำหรับกรณี MiniPlasma หรือไม่
5. แนวทางลดความเสี่ยง
ระหว่างรอข้อมูลเพิ่มเติมจาก Microsoft ผู้ดูแลระบบควรพิจารณาดำเนินมาตรการลดความเสี่ยง ดังนี้
5.1 หลีกเลี่ยงการให้ผู้ใช้ทั่วไปมีสิทธิ์ local administrator และใช้หลัก Least Privilege อย่างเคร่งครัด
5.2 พิจารณาใช้มาตรการ Application Control เช่น Microsoft Defender Application Control (WDAC) หรือ AppLocker เพื่อจำกัดการรันไฟล์ โปรแกรม หรือสคริปต์ที่ไม่ได้รับอนุญาต
5.3 ตั้งค่า EDR/Antivirus/SIEM ให้ตรวจจับพฤติกรรมผิดปกติ เช่น การ spawn shell ด้วยสิทธิ์ SYSTEM หรือการแก้ไข registry ที่ไม่สอดคล้องกับการใช้งานปกติ
5.4 แม้จะมีรายงานว่า PoC อาจทำงานได้ในบางระบบที่อัปเดตแล้ว แต่การอัปเดตยังเป็นมาตรการพื้นฐานที่จำเป็นในการลดความเสี่ยงจากช่องโหว่อื่น ๆ
5.5 หากองค์กรไม่มีความจำเป็นต้องใช้งาน OneDrive หรือบริการซิงโครไนซ์ไฟล์บนคลาวด์ในบางกลุ่มเครื่อง ควรพิจารณาจำกัดหรือปิดใช้งานตามนโยบายขององค์กร เพื่อลดโอกาสถูกโจมตี
ThaiCERT แนะนำให้ผู้ดูแลระบบติดตามสถานการณ์ของ PoC ดังกล่าวอย่างใกล้ชิด เนื่องจากมีการเผยแพร่โค้ดสาธารณะแล้ว และช่องโหว่ลักษณะ Local Privilege Escalation มักถูกใช้ร่วมกับการโจมตีรูปแบบอื่น เช่น ฟิชชิง มัลแวร์ หรือการเจาะระบบเบื้องต้น เพื่อยกระดับสิทธิ์และขยายผลภายในเครือข่ายองค์กร
อย่างไรก็ตาม เนื่องจากกรณี MiniPlasma ยังอาศัยข้อมูลจากรายงานของนักวิจัยและสื่อด้านความปลอดภัยเป็นหลัก ผู้ดูแลระบบควรหลีกเลี่ยงการสรุปผลกระทบแบบฟันธงจนกว่าจะมีประกาศอย่างเป็นทางการจาก Microsoft และควรใช้มาตรการลดความเสี่ยงเชิงป้องกันควบคู่ไปกับการติดตามข้อมูลอัปเดตอย่างต่อเนื่อง
แหล่งอ้างอิง