ไมโครซอฟท์เตือนให้ระวังไวรัสโจมตีผ่านทางช่องโหว่ DirectX

ไมโครซอฟท์เตือนให้ระวังการโจมตีระบบผ่านทาง Microsoft DirectX
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์ออก Microsoft Security Advisory (971778): Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution เพื่อแจ้งให้ผู้ที่ใช้ Microsoft DirectX (ซึ่งเป็นองค์ประกอบในการทำงานด้านมัลติมีเดีย) ระวังการโจมตีจากแฮกเกอร์และมัลแวร์ ซึ่งในปัจจุบันไมโครซอฟท์ได้รับรายงาน ว่ามีการโจมตีระบบหรือผ่านทางช่องโหว่ดังกล่าวนี้แล้ว

เมื่อวันที่ 28 พฤษภาคม 2552 ที่ผ่านมา ไมโครซอฟท์เปิดเผยว่า กำลังทำการตรวจสอบช่องโหว่ของโปรแกรม Microsoft DirectX ซึ่งเป็นช่องทางสำหรับใช้ทำการ "รันโค้ดจากระยะไกล" (Remote Code Execution) เมื่อทำการเปิดไฟล์สื่อประเภท QuickTime ซึ่งมีการฝังโค้ดประสงค์ร้ายไว้ภายใน

ไมโครซอฟท์เปิดเผยเพิ่มเติมว่า ระบบปฏิบัติการที่ได้รับผลกระทบจากช่องโหว่นี้ คือ Windows Server 2000 Service Pack 4, Windows XP และ Windows Server 2003 สำหรับ Windows Vista และ Windows Server 2008 ทุกเวอร์ชัน จะไม่ได้รับผลกระทบจากช่องโหว่นี้ นอกจากนี้ไมโครซอฟท์ยังได้เปิด Software Security Incident Response Process (SSIRP) เพื่อทำการจับตาช่องโหว่นี้อย่างใกล้ชิดอีกด้วย

สำหรับการออกแพตช์เพื่อปิดช่องโหว่นั้น ไมโครซอฟท์กล่าวว่าหลังทำการตรวจสอบเสร็จเรียบร้อย จะทำการประกาศให้ผู้ใช้ทราบอีกครั้งหนึ่ง ในกรณีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

ระบบปฏิบัติการที่ได้รับผลกระทบ
ระบบปฏิบัติการเวอร์ชันที่ได้รับผลกระทบ มีดังนี้
1. DirectX 7.0, DirectX 8.1, DirectX 9.0 บน Windows Server 2000 Service Pack 4
2. DirectX 9.0* บน Windows XP Service Pack 2 และ Windows XP Service Pack 3
3. DirectX 9.0* บน Windows XP Professional x64 Edition Service Pack 2
4. DirectX 9.0* บน Windows Server 2003 Service Pack 2
5. DirectX 9.0* บน Windows Server 2003 x64 Edition Service Pack 2
6. DirectX 9.0* บน Windows Server 2003 with SP2 for Itanium-based Systems

หมายเหตุ: Windows Vista และ Windows Server 2008 ทุกเวอร์ชัน จะไม่มีผลกระทบจากช่องโหว่นี้

ข้อควรทราบ
ข้อควรทราบสำหรับการโจมตีของแฮกเกอร์ผ่านทางช่องโหว่นี้ มีดังนี้
1. ในการโจมแบบ Web-based นั้น จะทำได้โดยการนำไฟล์ QuickTime ซึ่งมีการฝังโค้ดประสงค์ร้ายไว้ภายใน ไปไว้บนหน้าเว็บเพจแล้วทำเป็นลิงก์ให้ผู้ใช้คลิก และเมื่อผู้ใช้คลิกที่ลิงก์ดังกล่าว ระบบจะถามให้เลือกการดำเนินการ เช่น Cancel, Download, Open หรือ Run เป็นต้น ซึ่งการโจมตีจะเกิดขึ้นได้เมื่อผู้ใช้คลิกเลือกการกระทำที่ทำให้เกิดการแอคเซสไฟล์ เช่น Open หรือ Run เป็นต้น
2. เมื่อการโจมตีระบบประสบความสำเร็จ ผลกระทบกับระบบจะขึ้นอยู่กับระดับสิทธิ์ของผู้ใช้ที่ถูกโจมตี โดยผู้ใช้ธรรมดา (Standard User) จะมีผลกระทบน้อยกว่าผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบ (Administrator user)

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ในระหว่างที่รอการตรวจสอบแล้วเสร็จ ไมโครซอฟท์ได้คำแนะนำผู้ใช้ให้ดำเนินการดังนี้
• ป้องกันโดยใช้เครื่องมือ Fix it ของไมโครซอฟท์ได้ที่เว็บไซต์ http://support.microsoft.com/kb/971778
• ป้องกันด้วยตนเอง โดยดำเนินการดังนี้
1. ดิสเอเบิลการพาร์ไฟล์ QuickTime ในไฟล์ quartz.dll
2. แก้ไข Access Control List (ACL) บนไฟล์ quartz.dll
3. ยกเลิกการลงทะเบียนไฟล์ quartz.dll
4. แสดงหน้า Windows Explorer แบบ Windows Classic Folders

หมายเหตุ: อ่านรายละเอียดคำแนะนำได้ที่เว็บไซต์ http://www.microsoft.com/technet/security/advisory/971778.mspx

ที่มา
• http://www.microsoft.com/technet/security/advisory/default.mspx

© 2009 TWAB. All Rights Reserved.