Tuesday, July 14, 2009

Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution

ไมโครซอฟท์เตือนผู้ใช้ Microsoft Office และ Internet Explorer ให้ระวังการโจมตีจากไวรัสผ่านช่องโหว่ Microsoft Office Web Components Control
บทความโดย: Thai Windows Administrator Blog

[อัพเดท: 24 ก.ค. 52 เพิ่มคำแนะนำเพื่อป้องกันระบบจากการโจมตีวิธีที่ 2]

ไมโครซอฟท์ออก Microsoft Security Advisory (973472): Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution เพื่อแจ้งให้ผู้ที่ใช้ Microsoft Office และ Internet Explorer ระวังการโจมตีจากแฮกเกอร์และมัลแวร์

เมื่อวันที่ 13 กรกฎาคม 2552 ไมโครซอฟท์ได้ประกาศว่า กำลังทำการตรวจสอบช่องโหว่ของโปรแกรม Microsoft Office Web Components ซึ่งสามารถใช้เป็นช่องทางสำหรับใช้ทำการ "รันโค้ดจากระยะไกล (Remote Code Execution)" หากการโจมตีประสบความสำเร็จ แฮกเกอร์จะสามารถเข้าควบคุมเครื่องคอมพิวเตอร์โดยได้ระดับสิทธิ์เดียวกันกับโลคอลยูสเซอร์ และบนเครื่องคอมพิวเตอร์ที่มีช่องโหว่ Microsoft Office Web Components นั้น เมื่อทำการเปิดเว็บไซต์ที่มีโค้ดประสงค์ร้ายแฝงอยู่ด้วย Internet Explorer โค้ดประสงค์ร้ายจะถูกรันโดยอัตโนมัติในแบบรีโมท และจะทำให้ติดไวรัสทันที

สำหรับวิธีการป้องกันทำได้ตามวิธีการในหัวข้อ "คำแนะนำเพื่อป้องกันระบบจากการโจมตี" ด้านล่าง นอกจากนี้ไมโครซอฟท์ยังได้เปิด Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ข้อมูลสำหรับลูกค้าอีกด้วย

สำหรับการแก้ไขเพื่อปิดช่องโหว่นั้น ไมโครซอฟท์กล่าวว่าหลังทำการตรวจสอบและพัฒนาซีเคียวริตี้อัพเดท (Security Update) เสร็จเรียบร้อย จะทำการประกาศให้ผู้ใช้ทราบอีกครั้ง

โปรแกรมที่ได้รับผลกระทบ
โปรแกรมที่ได้รับผลกระทบ มีดังนี้
• Microsoft Office XP Service Pack 3
• Microsoft Office 2003 Service Pack 3
• Microsoft Office XP Web Components Service Pack 3
• Microsoft Office 2003 Web Components Service Pack 3
• Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
• Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
• Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
• Microsoft Internet Security and Acceleration Server 2006
• Internet Security and Acceleration Server 2006 Supportability Update
• Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
• Microsoft Office Small Business Accounting 2006

ระบบปฏิบัติการเวอร์ชันที่ไม่ได้รับผลกระทบ มีดังนี้
• Microsoft Office 2000 Service Pack 3
• 2007 Microsoft Office Suite Service Pack 1 and 2007 Microsoft Office Suite Service Pack 2
• Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1 and Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 2
• Microsoft Forefront Threat Management Gateway, Medium Business Edition
• Microsoft Internet Security and Acceleration Server 2000 Service Pack 2

ข้อควรทราบ
ข้อควรทราบสำหรับการโจมตีของแฮกเกอร์ผ่านทางช่องโหว่นี้ มีดังนี้
1. บน Windows Server 2003 และ 2008 โดยดีฟอลท์ Internet Explorer จะทำงานในโหมด Enhanced Security Configuration ซึ่งจะช่วยป้องกันการดาวน์โหลดจากเว็บไซต์ที่ไม่มีรายชื่ออยู่ใน Trusted sites zone

2. ในการโจมแบบ Web-based นั้น แฮกเกอร์จะทำการสร้างลิงก์ของโปรแกรมซึ่งเป็นโค้ดประสงค์ร้ายไว้ในหน้าเว็บเพจ เมื่อมีผู้เข้าชมหน้าเว็บไซต์ (ทั้งเข้ามาโดยตรงหรือถูกรีไดเร็ก) โค้ดประสงค์ร้ายจะถูกรันโดยอัตโนมัติทันที

อย่างไรก็ตาม แฮกเกอร์อาจจะใช้อีเมลหรือ IM ช่วยในการหลอกให้ผู้ใช้เข้าเยี่ยมชมเว็บไซต์ โดยการส่งไฮเปอร์ลิงก์ของเว็บไซต์ (ซึ่งมีการฝังโค้ดสำหรับใช้โจมตี) ไปกับอีเมลหรือข้อความทาง IM

3. เมื่อการโจมตีระบบประสบความสำเร็จ ผลกระทบกับระบบจะขึ้นอยู่กับระดับสิทธิ์ของผู้ใช้ที่ถูกโจมตี โดยผู้ใช้ธรรมดา (Standard User) จะมีผลกระทบกับระบบน้อยกว่าผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบ (Administrator user)

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ในระหว่างที่รอการตรวจสอบและการพัฒนาซีเคียวริตี้อัพเดทแล้วเสร็จ ไมโครซอฟท์ได้คำแนะนำผู้ใช้ให้ดำเนินการดังนี้
• วิธีที่ 1: ป้องกันด้วยตนเอง โดยเพิ่ม "kill bit" ในรีจีสทรี ตามขั้นตอนดังนี้ (!แนะนำเฉพาะผู้ใช้ขั้นสูงเท่านั้น )

1. เปิดโปรแกรม Notepad แล้วคัดลอกเท็กซ์ด้านล่าง

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

2. บันทึกไฟล์โดยใส่น้ำสกุล .reg
3. ดับเบิลคลิกไฟล์ที่บันทึกในขั้นตอนที่ 2 แล้วคลิก Yes เพื่อยืนยันการแก้ไข
4. ทำการรีสตาร์ท Internet Explorer เพื่อให้การเปลี่ยนแปลงมีผล


File .reg

หมายเหตุ: หากไม่มีรีจีสทรีย์ 2 ตัวดังกล่าว แสดงว่าไม่มีการผลกระทบจากช่องโหว่นี้

• วิธีที่ 2: ยกเลิกการลงทะเบียน Office Web Components Library ตามขั้นตอนดังนี้
1. คลิก Start คลิก Run พิมพ์ cmd แล้วคลิก OK
2. ในหน้าต่างคอมมานด์พร้อมท์ ให้ทำการรันคำสั่งตามเงื่อไขดังนี้
- สำหรับ OWC 10 (Office XP) ให้รันคำสั่งดังนี้
Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"

- สำหรับ OWC 10 (Office 2003) ให้รันคำสั่งดังนี้
Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

3. ในหน้าไดอะล็อก RegSvr32 วึ่งแจ้งผลการดำเนินการให้คลิก OK

แหล่งข้อมูลอ้างอิง
• เว็บไซต์ Microsoft Security Advisories: http://www.microsoft.com/technet/security/advisory/default.mspx
• อ่านรายละเอียดคำแนะนำได้ที่เว็บไซต์: http://www.microsoft.com/technet/security/advisory/973472.mspx

© 2009 TWAB. All Rights Reserved.

0 Comment: