Microsoft Confirms Zero-Day IIS Security Vulnerability ~ Windows Administrator Blog

Monday, December 28, 2009

Microsoft Confirms Zero-Day IIS Security Vulnerability

By dtp 9:36:00 PM No comments

ไมโครซอฟท์ยืนยันพบช่องโหว่ความปลอดภัยใหม่ใน IIS 6.0
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์โดย Jerry Bryant ซึ่งเป็น Microsoft security program manager ได้ออกมายืนยันอย่างเป็นทางการแล้วว่า พบช่องโหว่ความปลอดภัยใหม่ใน IIS 6.0 (Zero-day IIS security vulnerability) โดยช่องโหว่ดังกล่าวนี้มีรายงานครั้งแรกเมื่อวันที่ 23 ธ.ค. 52 ที่ผ่านมา

Jerry Bryant อธิบายเพิ่มเติมว่า การที่แฮกเกอร์จะโจมตีระบบ IIS web server ผ่านทางช่องโหว่ความปลอดภัยดังกล่าวนี้ จะต้องทำการคอนฟิก IIS ในแบบที่ไม่ปลอดภัย และแฮกเกอร์จะต้องทำการตรวจสอบตัวตน (Authenticated) ก่อน รวมถึงและจะต้องมีสิทธิ์ในการเขียนข้อมูล (Write access) ลงไดเรกตอรีบนเว็บเซิร์ฟเวอร์ สำหรับการคอนฟิก IIS โดยใช้ค่าดีฟอลท์ร่วมกับแนวปฏิบัติด้านความปลอดภัยที่ดี (Security best practices) จะช่วยลดผลกระทบจากช่องโหว่ความปลอดภัยในลักษณะอย่างนี้ได้

โดยช่องโหว่ความปลอดภัยใน IIS ที่ตรวจพบนี้ มีส่วนมากจากลักษณะการทำงานกับไฟล์ที่มีหลายนามสกุล (Multiple extensions) และมีการคั่นระหว่างนามสกุลแต่ละตัวโดยใช้เซมิโคล่อน (;) ซึ่ง IIS จะตีความไฟล์ลักษณะดังกล่าวเป็นไฟล์ ASP ส่งผลให้เกิดสถานการณ์การโจมตีในแบบ Malformed executables

ในปัจจุบันไมโครซอฟท์กำลังทำการตรวจสอบสถานการณ์และติดตามช่องโหว่นี้อย่างใกล้ชิด และยังไม่มีรายงานการโจมตีระบบผ่านทางช่องโหว่นี้ สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น หลังจากทำการตรวจสอบเสร็จเรียบร้อย ไมโครซอฟท์กล่าวจะทำการประกาศให้ผู้ใช้ทราบอีกครั้ง โดยในกรณีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค (Service Pack) ซีเคียวริตี้อัพเดทรายเดือน (Security Update) หรือในกรณีร้ายแรงหรือได้รับการร้องขอจากลูกค้าก็จะออกเป็นอัพเดทกรณีพิเศษ (Out-of-cycle Security Update) หรือออกอัพเดทในแบบอื่นๆ ตามความเหมาะสม สำหรับคำแนะนำเพิ่มเติมอ่านได้ที่ IIS 6.0 Security Best Practices

แหล่งข้อมูลอ้างอิง
• New Reports of a Vulnerability in IIS
• Softpedia

© 2009 TWA Blog. All Rights Reserved.

Microsoft Security Update กรกฎาคม 2559 ปิดช่องโหว่ร้ายแรงสูงสุดใน Windows, IE, Edge, Office และ .Net Frameworkไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนกรกฎาคมจำนวน 11 ตัว เพื่อปรับปรุงช่องโหว่ร้ายแรงสูงสุด (Critical) จำนวน 6 ตัว และปรับปรุงช่องโหว่ร้ายแรงสูง (Important) จำนวน 5 ตัว รายละเ… Read More
Adobe แพตช์ช่องโหว่ CVE-2016-4171 ใน Flash Player ที่แฮกเกอร์ใช้โจมตีผู้ใช้แล้วAdobe ออก Flash Player 22.0.0.192 เพื่อแพตช์ 36 ช่องโหว่ความปลอดภัยรุนแรงระดับ Critical ซึ่งรวมถึงช่องโหว่ CVE-2016-4171 ที่มีรายงานว่าถูกแฮกเกอร์ใช้โจมตี (ในวงจำกัด) ผู้ใช้แล้ว สำหรับช่องโหว่ CVE-2016-4171 เป็นช่องโหว่ชนิด … Read More
Adobe ออก Flash Player 20.0.0.306 เพื่อปิดช่องโหว่ร้ายแรงระดับสูงสุดที่มีผลกระทบ Firefox, Chrome, IE และ Edge Adobe อัปเดต Flash Player เป็นเวอร์ชัน 20.0.0.306 สำหรับ Windows และ Mac และเวอร์ชัน 11.2.202.569 สำหรับ Linux เพื่อปิดช่องโหว่ร้ายแรงสูงสุด 22 จุดที่สามารถใช้เป็นช่องทางในการโจมตีเพื่อยึดหรือควบคุมระบบได้ โดยช่องโหว่เหล่านั้… Read More
Microsoft Security Update มิถุนายน 2559 ปิดช่องโหว่ร้ายแรงสูงสุดใน Windows, IE, Edge, Office และ Exchangeไมโครซอฟท์ออกการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนมิถุนายนจำนวนมากถึง 16 ตัว เพื่อปรับปรุงช่องโหว่ร้ายแรงสูงสุด (Critical) จำนวน 5 ตัว และปรับปรุงช่องโหว่ร้ายแรงสูง (Important) จำนวน 11 ตั… Read More
Adobe ออก Flash Player 22.0.0.209 เพื่อปิดช่องโหว่ร้ายแรงสูงสุด กระทบ Firefox, Chrome, IE และ Edge Adobe อัปเดต Flash Player เป็นเวอร์ชัน 22.0.0.209 สำหรับ Windows และ Mac และเวอร์ชัน 11.2.202.632 สำหรับ Linux เพื่อแพตช์ 52 ช่องโหว่ความปลอดภัยรุนแรงสูงสุด ( Critical) ที่สามารถใช้เป็นช่องทางในการโจมตีเพื่อยึดหรือควบคุมระบบไ… Read More