ช่องโหว่ Windows Netlogon ระดับ Critical ถูกโจมตีแล้วในอง…

การแจ้งเตือนจาก Centre for Cybersecurity Belgium (CCB) ระบุว่า ผู้ไม่ประสงค์ดีได้เริ่มใช้ช่องโหว่ Windows Netlogon Remote Code Execution (RCE) ที่เพิ่งได้รับการแก้ไขล่าสุดในการโจมตีระบบเครือข่ายองค์กรแล้ว การใช้ช่องโหว่ที่สำคัญระดับ Critical นี้อาจทำให้ผู้โจมตีได้สิทธิ์ระดับผู้ดูแลระบบ (Domain Administrator) บนโดเมนคอนโทรลเลอร์ ทำให้ความเสี่ยงต่อการละเมิดข้อมูลและการแพร่กระจายของซอฟต์แวร์อันตรายเพิ่มขึ้นอย่างมีนัยสำคัญ

Overview

ช่องโหว่ Netlogon ที่ถูกอ้างอิงโดย CCB เป็นช่องโหว่ระดับ Critical ที่เกี่ยวข้องกับกระบวนการตรวจสอบความถูกต้องของคอมพิวเตอร์ในโดเมน (secure channel) ของ Windows Server. แม้ว่าไมครอสอฟท์จะปล่อยแพตช์แก้ไขในเดือนสิงหาคม 2020 แล้ว แต่รายงานล่าสุดชี้ให้เห็นว่าผู้โจมตียังคงใช้เทคนิคที่พัฒนาต่อยอดจากช่องโหว่นี้เพื่อทำการเข้าถึงระบบได้อย่างรวดเร็ว

จากข้อมูลของ CCB การโจมตีเริ่มปรากฏตั้งแต่ต้นปี 2024 โดยพบหลักฐานของการสแกนและการใช้สคริปต์อัตโนมัติเพื่อหาคอมพิวเตอร์ที่ยังไม่ได้อัปเดตหรือมีการตั้งค่าความปลอดภัยไม่เพียงพอ การใช้ช่องโหว่ Netlogon จึงกลายเป็นวิธีการที่ “low‑hanging fruit” สำหรับกลุ่มอาชญากรไซเบอร์ที่ต้องการเข้าถึงสิทธิ์ระดับสูงในองค์กร

Technical Details

Netlogon ทำหน้าที่เป็นตัวกลางในการตรวจสอบตัวตนระหว่างเครื่องคอมพิวเตอร์และโดเมนคอนโทรลเลอร์ เมื่อกระบวนการตรวจสอบนี้มีการจัดการค่าแบบ unsigned integer ที่ผิดพลาด ผู้โจมตีจึงสามารถส่งค่า zero‑filled ไปยังเซิร์ฟเวอร์ ทำให้เกิดการข้ามการตรวจสอบ (authentication bypass) ได้อย่างไม่มีข้อจำกัด

การใช้ช่องโหว่นี้ต้องอาศัยการส่ง RPC (Remote Procedure Call) ที่มีการจัดรูปแบบพิเศษไปยังพอร์ต 445 ของโดเมนคอนโทรลเลอร์ หลังจากสำเร็จ ผู้โจมตีจะได้รับสิทธิ์ Domain Administrator** ภายในไม่กี่วินาที การเข้าถึงนี้ทำให้สามารถทำการเพิ่มผู้ใช้ใหม่, ปรับเปลี่ยนนโยบายความปลอดภัย, หรือทำการติดตั้ง ransomware ได้โดยตรง

Threat Landscape

CCB ระบุว่ามีหลายกลุ่มที่อาจเป็นผู้ใช้ช่องโหว่นี้ ได้แก่ ransomware gangs, state‑aligned actors, และ hacktivist groups ที่มักจะผสมผสานเทคนิคนี้กับเครื่องมือการยึดครองระบบอื่น ๆ เช่น Mimikatz หรือ Cobalt Strike เพื่อขยายอิทธิพลหลังจากได้สิทธิ์ระดับสูงแล้ว

การสำรวจจากหลายแหล่งข้อมูลระบุว่าการโจมตีโดยใช้ Netlogon มีลักษณะเป็น rapid‑execution ซึ่งหมายความว่าผู้โจมตีจะพยายามย้ายจากการขโมยข้อมูลไปสู่การเข้ารหัสไฟล์หรือขโมยข้อมูลสำคัญภายในเวลาอันสั้น การกระทำเช่นนี้ทำให้องค์กรที่ไม่ได้มีระบบตรวจจับพฤติกรรมขั้นสูงอาจไม่ทันสังเกตจนกว่าจะเกิดความเสียหายที่ชัดเจน

Mitigation & Recommendations

CCB เน้นย้ำว่าการอัปเดตแพตช์เป็นขั้นตอนสำคัญที่สุด แต่ยังมีมาตรการเพิ่มเติมที่องค์กรควรดำเนินการเพื่อจำกัดความเสี่ยงต่อการถูกโจมตีผ่าน Netlogon:

• ตรวจสอบให้แน่ใจว่าระบบ Windows Server ทั้งหมดได้รับแพตช์ CVE‑2020‑1472 และ CVE‑2020‑1472 เวอร์ชันล่าสุดแล้ว
• รีเซ็ต computer account password ของทุกโดเมนคอมพิวเตอร์โดยใช้คำสั่ง `netdom resetpwd` หรือเครื่องมือที่สนับสนุนโดยไมครอสอฟท์
• ตั้งค่า event logging เพื่อบันทึกเหตุการณ์ ID 5825 (Netlogon authentication failure) และทำการตรวจสอบแบบเรียลไทม์ด้วยระบบ SIEM
• ปรับนโยบาย firewall ให้บล็อกการเข้าถึงพอร์ต 445 จากเครือข่ายที่ไม่ใช่โดเมนคอนโทรลเลอร์โดยตรง

การดำเนินการตามขั้นตอนเหล่านี้ควรทำร่วมกับการฝึกอบรมผู้ดูแลระบบให้รับรู้ถึงวิธีการตรวจจับพฤติกรรมที่ผิดปกติของ Netlogon และการทดสอบการตอบสนองต่อเหตุการณ์ (incident response) อย่างสม่ำเสมอ

Impact on Organizations

องค์กรที่ใช้ Active Directory เป็นศูนย์กลางการจัดการผู้ใช้และอุปกรณ์หลายร้อยหรือหลายพันเครื่องคอมพิวเตอร์อยู่ในความเสี่ยงสูง หากช่องโหว่นี้ถูกใช้สำเร็จ ผู้โจมตีจะสามารถเข้าถึงข้อมูลสำคัญของบริษัทได้โดยตรง ไม่ว่าจะเป็นข้อมูลลูกค้า, ข้อมูลการเงิน, หรือข้อมูลทางกฎหมาย

นอกจากนี้ การได้รับสิทธิ์ระดับ Domain Administrator ยังทำให้การฟื้นฟูระบบหลังการโจมตีซับซ้อนมากขึ้น เนื่องจากต้องทำการตรวจสอบและรีเซ็ตบัญชีผู้ใช้จำนวนมาก รวมถึงต้องตรวจสอบว่ามีการติดตั้ง backdoor หรือโค้ดอันตรายใด ๆ ไว้หรือไม่ การฟื้นฟูอาจใช้เวลาหลายสัปดาห์หรือหลายเดือน ซึ่งอาจส่งผลต่อการดำเนินธุรกิจและชื่อเสียงขององค์กรอย่างรุนแรง

Summary

CCB เตือนว่าแม้ช่องโหว่ Windows Netlogon RCE จะได้รับการแก้ไขแล้ว แต่ผู้โจมตียังคงใช้ประโยชน์จากมันในการเข้าถึงสิทธิ์ระดับผู้ดูแลระบบของโดเมนคอนโทรลเลอร์ การอัปเดตแพตช์และการดำเนินมาตรการป้องกันเพิ่มเติมจึงเป็นสิ่งจำเป็นเพื่อปกป้องโครงสร้างพื้นฐานไอทีขององค์กรจากการโจมตีที่อาจทำให้เกิดความเสียหายรุนแรง.