Microsoft Warns About a Serious IE Security Hole

ไมโครซอฟท์เตือนผู้ใช้ Internet Explorer ให้ระวังการโจมตีจากไวรัสผ่านช่องโหว่ Video ActiveX Control
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์ออก Microsoft Security Advisory (972890): Vulnerability in Microsoft Video ActiveX Control Could Allow Remote Code Execution เพื่อแจ้งให้ผู้ที่ใช้ Internet Explorer ระวังการโจมตีจากแฮกเกอร์และมัลแวร์ ซึ่งปัจจุบันมีรายงานว่าเริ่มทำการโจมตีระบบผ่านทางช่องโหว่ดังกล่าวนี้แล้ว

เมื่อวันที่ 6 กรกฎาคม 2552 ไมโครซอฟท์เปิดเผยว่า กำลังทำการตรวจสอบช่องโหว่ของโปรแกรม Video ActiveX Control ซึ่งสามารถใช้เป็นช่องทางสำหรับใช้ทำการ "รันโค้ดจากระยะไกล (Remote Code Execution)" เมื่อทำการเปิดเว็บไซต์ที่มีการฝังโค้ดประสงค์ร้ายด้วย Internet Explorer หากการโจมตีประสบความสำเร็จ แฮกเกอร์จะสามารถเข้าควบคุมเครื่องคอมพิวเตอร์โดยได้ระดับสิทธิ์เดียวกันกับโลคอลยูสเซอร์

ไมโครซอฟท์เปิดเผยเพิ่มเติมว่า ระบบปฏิบัติการที่ได้รับผลกระทบจากช่องโหว่นี้ คือ Windows XP และ Windows Server 2003 ทุกเวอร์ชัน สำหรับ Windows Vista และ Windows Server 2008 ทุกเวอร์ชัน จะไม่ได้รับผลกระทบจากช่องโหว่นี้ นอกจากนี้ไมโครซอฟท์ยังได้เปิด Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ข้อมูลสำหรับลูกค้าอีกด้วย

สำหรับการออกแพตช์เพื่อปิดช่องโหว่นั้น ไมโครซอฟท์กล่าวว่าหลังทำการตรวจสอบเสร็จเรียบร้อย จะทำการประกาศให้ผู้ใช้ทราบอีกครั้ง ในกรณีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

ระบบปฏิบัติการที่ได้รับผลกระทบ
ระบบปฏิบัติการเวอร์ชันที่ได้รับผลกระทบ มีดังนี้
1. Windows XP Service Pack 2 and Windows XP Service Pack 3
2. Windows XP Professional x64 Edition Service Pack 2
3. Windows Server 2003 Service Pack 2
4. Windows Server 2003 x64 Edition Service Pack 2
5. Windows Server 2003 with SP2 for Itanium-based Systems

ระบบปฏิบัติการเวอร์ชันที่ไม่ได้รับผลกระทบ มีดังนี้
1. Microsoft Windows 2000 Service Pack 4
2. Windows Vista ทุกเวอร์ชัน
3. Windows Server 2008 ทุกเวอร์ชัน

ข้อควรทราบ
ข้อควรทราบสำหรับการโจมตีของแฮกเกอร์ผ่านทางช่องโหว่นี้ มีดังนี้
1. บน Windows Server 2003 และ 2008 โดยดีฟอลท์ Internet Explorer จะทำงานในโหมด Enhanced Security Configuration ซึ่งจะช่วยป้องกันการดาวน์โหลดจากเว็บไซต์ที่ไม่มีรายชื่ออยู่ใน Trusted sites zone
2. ในการโจมแบบ Web-based นั้น แฮกเกอร์จะทำการสร้างลิงก์ของโปรแกรมซึ่งเป็นโค้ดประสงค์ร้ายไว้ในหน้าเว็บเพจ เมื่อมีผู้เข้าชมหน้าเว็บไซต์ (ทั้งเข้ามาโดยตรงหรือถูกรีไดเร็กมา) และทำการคลิกที่ลิงก์ดังกล่าว ระบบจะถามผู้ใช้ให้เลือกการดำเนินการ เช่น Cancel, Download, Open หรือ Run เป็นต้น โดยการโจมตีจะเกิดขึ้นเฉพาะในกรณีที่ผู้ใช้คลิกเลือกการกระทำที่ทำให้เกิดการแอคเซสไฟล์ เช่น Open หรือ Run เป็นต้น
อย่างไรก็ตาม แฮกเกอร์อาจจะใช้อีเมลหรือ IM ช่วยในการหลอกให้ผู้ใช้เข้าเยี่ยมชมเว็บไซต์ โดยการส่งลิงก์ของเว็บไซต์ไปกับอีเมลหรือข้อความทาง IM
3. เมื่อการโจมตีระบบประสบความสำเร็จ ผลกระทบกับระบบจะขึ้นอยู่กับระดับสิทธิ์ของผู้ใช้ที่ถูกโจมตี โดยผู้ใช้ธรรมดา (Standard User) จะมีผลกระทบน้อยกว่าผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบ (Administrator user)

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ในระหว่างที่รอการตรวจสอบและการพัฒนาแพตช์แล้วเสร็จ ไมโครซอฟท์ได้คำแนะนำผู้ใช้ให้ดำเนินการดังนี้
• ป้องกันโดยใช้เครื่องมือ Fix it ของไมโครซอฟท์ได้ที่เว็บไซต์ http://support.microsoft.com/kb/972890
• ป้องกันด้วยตนเอง โดยเพิ่ม "kill bit" ในรีจีสทรี ตามขั้นตอนดังนี้ (!แนะนำเฉพาะผู้ใช้ขั้นสูงเท่านั้น )
1. เปิดโปรแกรม Notepad แล้วคัดลอกเท็กซ์ด้านล่าง

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400

2. บันทึกไฟล์โดยใส่น้ำสกุล .reg
3. ดับเบิลคลิกไฟล์ที่บันทึกในขั้นตอนที่ 2
4. ทำการรีสตาร์ท Internet Explorer เพื่อให้การเปลี่ยนแปลงมีผล

แหล่งข้อมูลอ้างอิง
• http://www.microsoft.com/technet/security/advisory/default.mspx
• อ่านรายละเอียดคำแนะนำได้ที่เว็บไซต์: http://www.microsoft.com/technet/security/advisory/972890.mspx

© 2009 TWAB. All Rights Reserved.