พบช่องโหว่บน Windows Imaging Component
พบช่องโหว่บน Windows Imaging Component ถูกใช้ปล่อยมัลแวร์ผ่านไฟล์ JPEG
อีกหนึ่งวิธีการที่เริ่มจะเป็นที่นิยมในการรันโค้ดติดตั้งมัลแวร์ หรือใช้โค้ดในการเปิดทางให้แฮกเกอร์สามารถเข้าสู่เครื่องของเหยื่อได้ นั่นคือ การซ่อนโค้ดในไฟล์รูปภาพที่ดูไม่มีพิษมีภัยเพื่อทำการรันโค้ดจากระยะไกล หรือ RCE (Remote Code Execution) ซึ่งการที่จะทำเช่นนี้ได้ หลายครั้งก็มักจะมาจากช่องโหว่ความปลอดภัยของตัวระบบเอง เช่น ในข่าวนี้
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัยในส่วนของ Windows Imaging Component ซึ่งเป็น Library ภายในของ Windows ที่ใช้ในการประมวลผลรูปภาพตัวหนึ่งที่มีชื่อว่า WindowsCodecs.dll ในรุ่น 10.0.26100.0 ถึง 10.0.26100.4945 โดยไฟล์นี้จะถูกใช้งานการประมวลไฟล์รูปภาพแบบพื้นฐานต่าง ๆ เช่น JPEG, PNG, GIF, และ BMP ช่องโหว่ดังกล่าวนั้นมีรหัสว่า CVE-2025-50165 ซึ่งช่องโหว่นี้มีคะแนนความร้ายแรง หรือ CVSS Score ที่สูงถึง 9.8 หรือ ร้ายแรงมาก สำหรับช่องโหว่นี้จะเป็นช่องโหว่ประเภท Uninitialized Function Pointer Dereference ซึ่งอธิบายอย่างง่าย ๆ คือ เป็นช่องโหว่ที่ตัวโปรแกรมนั้นเรียกใช้งานฟังก์ชัน ด้วยการใช้งาน Pointer (ตัวชี้เป้า) ที่ยังไม่ถูกกำหนดที่อยู่ของหน่วยความจำ (Memory Address) ที่ถูกต้อง จนทำให้ถูกยกเลิกการเรียกใช้งาน (Uninitilized) นำไปสู่อาการค้างจากการทำงานผิดพลาดและทำให้แฮกเกอร์แทรกแซงโค้ดโดยไม่ได้รับอนุญาตได้ ซึ่งช่องโหว่นี้จะเปิดขึ้นในระหว่างการประมวล หรือ บีบอัดไฟล์ตระกูล JPEG ที่มีความลึกของสี (Color Depth) ในระดับ 12 บิต และ 16 บิต
ซึ่งตัวชี้ฟังก์ชัน (Function Pointer) ที่เป็นประเด็นนั้น มีชื่อว่า compress_data_12 และ compress_data_16 ที่ควรถูกเรียกใช้งานระหว่างที่มีการบีบอัด หรือ ประมวลผลไฟล์ JPEG ที่มีคุณลักษณะดังกล่าวไม่ถูกเรียกใช้ ทำให้มีการค้างเกิดขึ้น ซึ่งถ้าไฟล์ JPEG ที่มีคุณลักษณะดังกล่าวได้มีการแอบซ่อนโค้ดมัลแวร์ไว้ ก็จะนำไปสู่การรันโค้ดมัลแวร์จากในขั้นตอนนี้
แต่จากในการทดสอบนั้น ทางทีมวิจัยพบว่าช่องโหว่ดังกล่าวนั้นอาจไม่ได้มีความร้ายแรงมากเท่าที่ประเมินไว้ในช่วงแรก เนื่องจากการที่จะใช้งานช่องโหว่ได้นั้น จะต้องจำเพาะเจาะจงโจมตีแอปพลิเคชันที่มีการใช้งานไฟล์ WindowsCodecs.dll เวอร์ชันที่มีปัญหา และตัวแอปพลิเคชันจะต้องมีการอนุญาตให้เข้ารหัสไฟล์ JPEG ซ้ำ (Re-Encoding) ถึงจะนำไปสู่เงื่อนไขในการทำ RCE ซึ่งการที่เหยื่อทำการเปิดดูภาพเฉย ๆ นั้นจะไม่สามารถนำไปสู่การทำ RCE ได้ ซ้ำตัวไฟล์ JPEG นั้นจะต้องมีระดับความลึกของสี เพียงแค่ 12 บิต หรือ 16 บิต เท่านั้น ซึ่งเกิดขึ้นได้ไม่บ่อย เนื่องจากมักจะเกิดขึ้นในช่วงของการสร้างไฟล์รูปตัวอย่างขนาดเล็ก (Thumbnail) และ การบันทึกไฟล์รูปภาพใหม่ด้วยฝีมือของเหยื่อเป้าหมายเอง ไม่เพียงเท่านั้น ในการใช้งานวิธีการดังกล่าว แฮกเกอร์จะต้องเข้าถึงหน่วยความจำ Heap เพื่อที่จะเข้าถึงที่อยู่ของข้อมูลที่รั่วไหลออกมาก ทำให้ทางทีมวิจัยกล่าวว่า ช่องโหว่ดังกล่าวนั้นสามารถใช้งานสถานการณ์จริงนอกการทดลองได้ยากยิ่งนัก
ทางผู้ใช้งานที่มีการอัปเดต Windows เป็นประจำก็ไม่มีความจำเป็นต้องเป็นห่วงเรื่องความปลอดภัยแต่อย่างใด เพราะนอกจากช่องโหว่จะใช้งานได้ยากแล้ว ทางอัปเดตล่าสุดจากทางไมโครซอฟท์ยังได้มีการอุดช่องโหว่ดังกล่าวลงเป็นที่เรียบร้อยแล้ว
จากประสบการณ์การใช้งานระบบ Windows ผมขอแนะนำว่าการอัปเดตแพตช์ของระบบปฏิบัติการและแอปพลิเคชันต่าง ๆ เป็นสิ่งสำคัญมากในการป้องกันช่องโหว่ความปลอดภัย เช่นช่องโหว่ CVE-2025-50165 ใน Windows Imaging Component ที่ถูกพบว่ามีช่องทางให้แฮกเกอร์รันโค้ดผ่านไฟล์ JPEG มัลแวร์ที่แฝงมากับรูปภาพซึ่งดูเหมือนไม่เป็นอันตราย วิธีการโจมตีลักษณะนี้มีแนวโน้มเพิ่มขึ้น เนื่องจากไฟล์รูปภาพเป็นไฟล์ทั่วไปที่ผู้ใช้มักเปิดดูโดยไม่ระวังการความปลอดภัย การที่มีช่องโหว่ซึ่งเปิดทางให้สามารถรันโค้ดจากไฟล์ JPEG ที่มีความลึกของสีแบบ 12 บิตหรือ 16 บิต เป็นจุดอ่อนที่น่าสนใจสำหรับกลุ่มแฮกเกอร์ แต่จากข้อมูลที่ทีมวิจัยแจ้งไว้ การโจมตีเพื่อใช้ช่องโหว่นี้ในสถานการณ์จริงยังค่อนข้างยากและซับซ้อน เพราะต้องเจาะจงแอปพลิเคชันเฉพาะที่ใช้งาน WindowsCodecs.dll รุ่นที่มีปัญหาและมีการทำ Re-Encoding ไฟล์ จากคำอธิบายในส่วนที่เป็น Uninitialized Function Pointer Dereference หรือการเรียกใช้งานฟังก์ชันด้วย Pointer ที่ยังไม่ถูกกำหนด หน้าตาของช่องโหว่นี้คือการทำให้แอปฯ ค้างและสามารถแทรกโค้ดมัลแวร์เข้าไปได้ในขั้นตอนบีบอัดภาพซึ่งไม่น่าเกิดขึ้นบ่อยนัก เพราะไฟล์ JPEG ที่เกิดปัญหานั้นมักเป็นไฟล์ตัวอย่างขนาดเล็กหรือไฟล์ที่ถูกบันทึกใหม่โดยผู้ใช้งานเอง สำหรับผู้ใช้งานทั่วไป หากคุณตั้งระบบให้ Windows อัปเดตอัตโนมัติและติดตั้งแพตช์ล่าสุดของไมโครซอฟท์ จะช่วยลดความเสี่ยงจากช่องโหว่นี้อย่างมาก เพราะไมโครซอฟท์ได้ปล่อยการแก้ไขช่องโหว่นี้มาแล้ว ดังนั้น การดูแลรักษาระบบให้ทันสมัยและระมัดระวังการดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือจะเป็นแนวทางที่ดีที่สุดในการป้องกันภัยคุกคามประเภทนี้ สุดท้าย อยากแนะนำให้ผู้ที่ดูแลระบบหรือใช้แอปพลิเคชันที่เกี่ยวข้องกับการประมวลผลภาพที่อาจใช้ WindowsCodecs.dll ตรวจสอบเวอร์ชันและอัปเดตให้ตรงกับแพตช์ล่าสุด รวมถึงใช้นโยบายรัดกุมเรื่องไฟล์ภาพที่รับเข้ามาในระบบเพื่อเพิ่มความปลอดภัยโดยรวมให้แข็งแกร่งยิ่งขึ้น
อุ้ย