แคสเปอร์สกี้ เผยผลวิจัยสุดช็อก พบช่องโหว่สถาปัตยกรรมบน Windows ที่เปิดทางให้ผู้โจมตียกระดับสิทธิ์ขึ้นสู่ระดับสูงสุดของระบบได้โดยไม่ต้องอาศัยบัก (Bug) แบบเดิม

แคสเปอร์สกี้ (Kaspersky) ค้นพบและระบุตัวช่องโหว่ที่ถูกตั้งชื่อว่า PhantomRPC ซึ่งเป็นจุดอ่อนที่ฝังอยู่ในกลไก Remote Procedure Call (RPC) ของระบบปฏิบัติการ Windows โดยมีต้นตอมาจากพฤติกรรมการออกแบบทางสถาปัตยกรรม (Architectural Design) ไม่ใช่ข้อผิดพลาดของโค้ดทั่วไป ผลการวิจัยดังกล่าวถูกนำเสนอต่อสาธารณชนครั้งแรกในงานประชุมด้านความมั่นคงไซเบอร์ระดับนานาชาติ Black Hat Asia 2026

นักวิจัยของ แคสเปอร์สกี้ พบว่า PhantomRPC ก่อให้เกิดเทคนิคการยกระดับสิทธิ์ (Privilege Escalation) รูปแบบใหม่ในระดับโลคอล (Local) ซึ่งแตกต่างจากการโจมตีแบบเดิมที่มุ่งเป้าไปที่ส่วนประกอบที่มีข้อบกพร่องจุดเดียว ในสถานการณ์ที่กระบวนการ (Process) ใดๆ มีสิทธิ์ในการ “ปลอมแปลงตัวตน” หรือที่เรียกว่า SeImpersonatePrivilege ผู้โจมตีสามารถใช้ประโยชน์จากพฤติกรรมดังกล่าวเพื่อสร้างเซิร์ฟเวอร์ปลอม แล้วดักจับการเชื่อมต่อจากระบบ จนสามารถเข้าถึงสิทธิ์ระดับสูงสุดที่เรียกว่า SYSTEM ได้สำเร็จ

นักวิจัยได้ทำการทดสอบเส้นทางการโจมตีที่แตกต่างกันถึง 5 รูปแบบ เพื่อพิสูจน์ว่าสิทธิ์สามารถถูกยกระดับได้จากบริบทของบริการโลคอล (Local Service) หรือเครือข่าย (Network Service) ไปยังบัญชี SYSTEM หรือบัญชีที่มีสิทธิ์สูงอื่นๆ เนื่องจากปัญหาเกิดจากจุดอ่อนเชิงสถาปัตยกรรม ไม่ใช่จุดบกพร่องเฉพาะจุด จำนวนเวกเตอร์การโจมตี (Attack Vector) ที่เป็นไปได้จึงแทบไม่มีขีดจำกัด และกระบวนการหรือบริการใหม่ใดๆ ที่อิงบน RPC ก็อาจกลายเป็นช่องทางใหม่ได้ตลอดเวลา

ไฮดาร์ คาบิโบ (Haidar Kabibo) ผู้เชี่ยวชาญด้านความปลอดภัยของแอปพลิเคชัน แคสเปอร์สกี้ กล่าวว่า “เส้นทางการโจมตีที่แน่นอนอาจแตกต่างกันไปในแต่ละระบบ ขึ้นอยู่กับปัจจัยต่างๆ เช่น ซอฟต์แวร์ที่ติดตั้งในระบบ ไฟล์ DLL ที่เกี่ยวข้องกับการสื่อสาร RPC และความพร้อมใช้งานของเซิร์ฟเวอร์ RPC ที่เกี่ยวข้อง ความแปรปรวนนี้ทำให้ช่องโหว่มีความสำคัญอย่างยิ่งที่องค์กรต่างๆ ต้องพิจารณาเมื่อประเมินความเสี่ยงและวางกลยุทธ์การบรรเทาผลกระทบ”

เพื่อทำความเข้าใจที่มาของปัญหา ต้องย้อนกลับไปที่กลไกสื่อสารภายในระบบ Windows ที่เรียกว่า Windows Interprocess Communication (IPC) ซึ่งเป็นหนึ่งในระบบย่อยที่ซับซ้อนที่สุดของระบบปฏิบัติการนี้ หัวใจของระบบนิเวศ IPC คือกลไก RPC หรือ Remote Procedure Call — เครื่องมือที่อนุญาตให้กระบวนการหนึ่งเรียกใช้ฟังก์ชันที่ทำงานอยู่ในกระบวนการอื่น แม้ทั้งสองจะทำงานอยู่ในบริบทที่แตกต่างกันก็ตาม กลไกนี้ทำหน้าที่ทั้งเป็นช่องทางสื่อสารแบบอิสระ และเป็นเลเยอร์การขนส่ง (Transport Layer) พื้นฐานสำหรับเทคโนโลยี IPC ระดับสูงกว่า ซึ่งนั่นหมายความว่าเมื่อมีช่องโหว่ในระดับนี้ ผลกระทบจึงกว้างขวางกว่าที่คาดไว้มาก

สำหรับองค์กรและผู้ดูแลระบบที่ต้องการลดความเสี่ยงจากภัยคุกคามนี้ แคสเปอร์สกี้ แนะนำแนวทางสำคัญ 2 ประการ ประการแรกคือ การใช้การตรวจสอบแบบ ETW (Event Tracing for Windows) ซึ่งเป็นระบบบันทึกเหตุการณ์ของ Windows เพื่อระบุข้อผิดพลาด RPC ภายในสภาพแวดล้อม โดยเฉพาะกรณีที่ไคลเอ็นต์ RPC พยายามเชื่อมต่อกับเซิร์ฟเวอร์ที่ไม่พร้อมใช้งาน การตรวจสอบเหตุการณ์เหล่านี้ช่วยให้ผู้ดูแลระบบสามารถตรวจจับสถานการณ์ผิดปกติได้ และในบางกรณี การเปิดใช้งานบริการที่เกี่ยวข้องเพื่อให้ปลายทาง RPC ที่ถูกต้องพร้อมทำงานอยู่เสมอ ก็สามารถลดพื้นที่การโจมตีและปิดโอกาสที่ผู้โจมตีจะแทรกซึมเซิร์ฟเวอร์ปลอมได้

ประการที่สองคือ การจำกัดการใช้สิทธิ์ SeImpersonatePrivilege โดยเฉพาะอย่างยิ่ง สิทธิ์นี้ควรมอบให้เฉพาะกระบวนการที่จำเป็นอย่างแท้จริงเท่านั้น แม้กระบวนการของระบบบางส่วนจะต้องพึ่งสิทธิ์นี้ในการทำงานปกติ แต่การมอบสิทธิ์นี้ให้แก่กระบวนการที่กำหนดเองหรือกระบวนการของบุคคลที่สาม (Third-party) โดยไม่จำเป็น ถือเป็นแนวปฏิบัติด้านความมั่นคงที่ไม่ดี และเพิ่มความเสี่ยงโดยไม่มีเหตุผลสมควร

อ้างอิง | แคสเปอร์สกี้