Google เตือนให้อัปเดต WinRAR ด่วน เนื่องพบช่องโหว่
Google เตือนให้อัปเดต WinRAR ด่วน เนื่องพบช่องโหว่ร้ายแรงที่ถูกใช้งานอย่างหนักโดยเหล่าแฮกเกอร์
ซอฟต์แวร์สำหรับใช้ในการบีบอัดเพื่อย่อขนาดไฟล์ หรือ ให้ง่ายต่อการถ่ายโอน ผู้ใช้งานหลายรายอาจจะคุ้นเคยกับ WinRAR กันเป็นอย่างดีจากการที่เป็นซอฟต์แวร์ที่ใช้งานได้ฟรี แทบจะเป็นซอฟต์แวร์ที่มีทุกเครื่อง กระนั้นซอฟต์แวร์ตัวนี้ก็มักจะตกเป็นข่าวเรื่องช่องโหว่ความปลอดภัยอยู่บ่อย ๆ เช่นข่าวนี้
จากรายงานโดยเว็บไซต์อย่างเป็นทางการของ Google Cloud ได้กล่าวถึงการที่ทางทีมวิจัย Google Threat Intelligence Group (GTIG) ซึ่งเป็นทีมวิจัยที่มุ่งเน้นการค้นคว้าด้านภัยไซเบอร์ ตรวจพบการใช้งานช่องโหว่ความปลอดภัยบนซอฟต์แวร์ WinRAR ที่มีรหัสว่า CVE-2025-8088 ซึ่งเป็นช่องโหว่ที่มีคะแนนความอันตราย CVSS Score ที่สูงถึง 8.4 ซึ่งช่องโหว่ความโดยกลุ่มแฮกเกอร์ทั่วโลกโดยเฉพาะแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน และรัสเซียในการปล่อยมัลแวร์ลงเครื่องของเหยื่อ
สำหรับช่องโหว่ตัวนี้จะเป็นช่องโหว่แบบ Path Traversal (เปลี่ยนเส้นทางเดินของไฟล์) ภายในตัว WinRAR ด้วยการใช้งานระบบ Alternate Data Streams (ADS) ซึ่งแฮกเกอร์นั้นจะใช้งานไฟล์บีบอัดสกุล RAR ที่มีการใส่สคริปท์ชี้นำให้ตัวไฟล์นั้นถูกคลายไปยังโฟลเดอร์ที่ถูกกำหนดไว้ซึ่งมักจะเป็นโฟลเดอร์ที่เกี่ยวกับการทำงานของระบบ (System) โดยในด้านการทำงานนั้นจะเริ่มจากการที่แฮกเกอร์ส่งไฟล์บีบอัดสกุล RAR ที่ภายในมีไฟล์เอกสารตัวล่อ (Decoy) เช่น เอกสารไฟล์สกุล PDF เป็นตัวล่อโดยที่ภายในไฟล์บีบอัดนั้นมีทั้งไฟล์ลวงที่ไม่ได้มีหน้าที่อะไร (Dummy) และไฟล์มัลแวร์ (Payload) ยัดรวมกันไว้อยู่ พร้อมกับสคริปท์ ADS ที่จะสั่งให้ WinRAR เวอร์ชันที่มีช่องโหว่ความปลอดภัย คลายไฟล์ไปยังโฟลเดอร์ที่ถูกกำหนดไว้ โดยมักจะเป็นโฟลเดอร์ด้านระบบที่สำคัญ เช่น Startup เป็นต้น
ซึ่งสคริปท์ในการใช้งานระบบ ADS เพื่อเปลี่ยนเป้าหมายในการคลายไฟล์นั้น มักจะเริ่มต้นด้วยการระบุชื่อไฟล์ที่ต้องการคลายไฟล์ไปยังโฟลเดอร์ที่กำหนด เช่น innocuous.pdf:malicious.lnk ร่วมกับการกำหนดปลายทาง เช่น
../../../../../Users//AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk
ซึ่งผลลัพท์นั้นก็จะนำไปสู่การคลายไฟล์ malicious.lnk ซึ่งเป็นไฟล์ของมัลแวร์ลงไปยังโฟลเดอร์ปลายทางที่ถูกกำหนดไว้ในท้ายที่สุด
ทางแหล่งข่าวยังได้ระบุไว้อีกว่า ที่ผ่านมานั้นได้มีแฮกเกอร์หลายกลุ่มจากทั่วโลกได้นำเอาช่องโหว่ดังกล่าวไปใช้ในการแพร่กระจายมัลแวร์หลากสายพันธุ์ เนื่องจากมีกรณีการแฮกด้วยวิธีนี้มากมาย จึงขอคัดมาโดยสังเขป ซึ่งกลุ่มแฮกเกอร์ที่มีการนำช่องโหว่ดังกล่าวไปใช้งานนั้นมีดังนี้
UNC4895 (CIGAR) จากรัสเซีย ใช้ช่องโหว่ดังกล��่าวในการโจมตีเป้าหมายในประเทศยูเครน ด้วยการใช้อีเมลหลอกลวงแบบเจาะจงกลุ่มเป้าหมาย (Spearhead Phishing) เพื่อปล่อยมัลแวร์ NESTPACKER
APT44 (FROZENBARENTS) ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีเป้าหมายในประเทศยูเครนเช่นเดียวกันเพื่อปล่อยไฟล์ .LNK ที่จะนำไปสู่การดาวน์โหลดมัลแวร์เพิ่มเติม
กลุ่มแฮกเกอร์จากจีนที่ไม่ถูกระบุชื่อ ใช้ในการปล่อยมัลแวร์ POISONIVY ผ่านไฟล์สกุล .Bat ที่ถูกวางลงในโฟลเดอร์ Startup จากการใช้ช่องโหว่นี้
กลุ่มแฮกเกอร์จากอินโดนีเซีย ใช้ช่องโหว่นี้ในการวางไฟล์ .CMD ลงในโฟลเดอร์ Startup ซึ่งจะนำไปสู่การดาวน์โหลดไฟล์บีบอัดสกุล RAR ที่ถูกปกป้องด้วยรหัสผ่าน (Password Protected) ลงมาจากบริการฝากไฟล์ Dropbox ซึ่งภายในมีมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor อยู่
กลุ่มแฮกเกอร์ในแถบละตินอเมริกา ใช้การส่งอีเมลจองโรงแรมปลอม เพื่อหลอกให้ดาวน์โหลดไฟล์มัลแวร์ ซึ่งจะนำไป�สู่การติดตั้งมัลแวร์ประเภทเข้าควบคุมระบบจากระยะไกล หรือ RAT (Remote Access Trojan) เช่น XWorm และ AsyncRAT ลงระบบของเหยื่อ โดยจะมุ่งเน้นการโจมตีไปยังกลุ่มอุตสาหกรรมการท่องเที่ยวและการบริการ (Hospitality) โดยเฉพาะ
นอกนั้นช่องโหว่ดังกล่าวยังถูกนำไปใช้โฆษณาโดยกลุ่มแฮกเกอร์ใต้ดิน "zeroplayer" ตามตลาดมืดของแฮกเกอร์เพื่อขายเครื่องมือสำหรับใช้งานช่องโหว่ (Exploit) อีกด้วย
จากประสบการณ์การใช้งาน WinRAR ที่ผมใช้กันประจำในสำนักงาน พบว่าการไม่อัปเดตซอฟต์แวร์อย่างต่อเนื่องมีความเสี่ยงสูงต่อการโดนโจมตีทางไซเบอร์อย่างที่ Google เตือนไว้ ช่องโหว่ Path Traversal โดยใช้เทคนิค Alternate Data Streams (ADS) นี้ ถือเป็นช่องทางให้แฮกเกอร์สามารถแทรกซึมไฟล์มัลแวร์ลงในโฟลเดอร์สำคัญของระบบ เช่น โฟลเดอร์ Startup ทำให้มัลแวร์ถูกเปิดใช้งานโดยอัตโนมัติเมื่อคอมพิวเตอร์เปิดเครื่อง ผมจึงอยากแนะนำให้ทุกท่านหมั่นตรวจสอบเวอร์ชันของ WinRAR และดาวน์โหลดอัปเดตเวอร์ชันล่าสุดจากเว็บไซต์ผู้พัฒนาโดยตรง อย่าดาวน์โหลดจากแหล่งที่ไม่น่าเชื่อถือที่อาจแฝงมัลแวร์มาได้ นอกจากนี้ควรมีโปรแกรมแอนตี้ไวรัสที่อัปเดตข้อมูลล่าสุดไว้สแกนไฟล์บีบอัดก่อนเปิดใช้งาน สำหรับองค์กรที่รับไฟล์ RAR ผ่านทางอีเมล ควรฝึกอบรมพนักงานระมัดระวังอีเมลฟิชชิ่งและอย่าเปิดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก เพราะแฮกเกอร์มักใช้เทคนิคหลอกลวงส่งไฟล์ RAR ที่ผสมรวมไฟล์ล่อ (decoy) กับไฟล์มัลแวร์ เวลาคลายไฟล์จึงอาจติดตั้งมัลแวร์ลงระบบทันที ในทางเทคนิค ช่องโหว่ที่ใช้ ADS นั้นแฮกเกอร์จะใช้ชื่อไฟล์สองส่วน เช่น innocuous.pdf:malicious.lnk เพื่อสั่งให้ WinRAR แตกไฟล์ไปยังตำแหน่งที่กำหนดไว้โดยเปลี่ยนเส้นทางไปยังส่วนของระบบ เช่นโฟลเดอร์ Startup จึงทำให้ไฟล์ลิงก์มัลแวร์ทำงานอัตโนมัติเมื่อรีสตาร์ทเครื่อง โดยสรุป การอัปเดตซอฟต์แวร์ WinRAR ทันที เป็นวิธีป้องกันที่ง่ายและได้ผลที่สุด นอกจากนี้การรักษาความปลอดภัยโดยรวมต้องผสานกับการใช้โปรแกรมแอนตี้ไวรัส การฝึกอบรมพนักงาน และนโยบายความปลอดภัยขององค์กร เพื่อปกป้องระบบจากมัลแวร์และการโจมตีที่มีเทคนิคหลากหลายมากขึ้นทุกวัน
