Wednesday, March 10, 2010

ไมโครซอฟท์เตือนให้ระวังการโจมตีระบบผ่านทางช่องโหว่ความปลอดภัยแบบ Zero-Day ใน Internet Explorer

ไมโครซอฟท์ออก Microsoft Security Advisory (981374): Vulnerability in Internet Explorer Could Allow Remote Code Execution เพื่อประกาศเตือนให้ระวังการโจมตีระบบผ่านทางช่องโหว่ความปลอดภัยแบบ Zero-Day ใน Internet Explorer 6 และ Internet Explorer 7 ซึ่งแฮ็คเกอร์สามารถใช้เป็นช่องทางในการโจมตีระบบแบบ "Remote Code Execution" ได้

อนึ่ง ช่องโหว่ความปลอดภัยดังกล่าวนี้ไม่มีผลกระทบกับ Internet Explorer 8 และ Internet Explorer 5.01 Service Pack 4


ช่องโหว่ความปลอดภัยนี้เกิดจากความผิดพลาดในการอ้างอิงพ้อยน์เตอร์ (Pointer) ของโปรแกรม Internet Explorer ทำให้สามารถเข้าถึงออปเจ็กต์ที่ถูกลบออกจากระบบไปแล้วได้ในบางสถานการณ์ ทำให้แฮ็คเกอร์สามารถทำการโจมตีระบบแบบ specially-craft attack เพื่อพยายามเข้าถึงออปเจ็กต์ที่ไม่มีอยู่บนระบบ ส่งผลให้ Internet Explorer เกิดการแครชจากนั้นแฮ็คเกอร์ก็จะสามารถใช้เป็นช่องทางในการรันโค้ดจากระยะไกล "Remote Code Execution" ได้

ปัจจุบัน ไมโครซอฟท์กำลังทำการตรวจสอบสถานการณ์และติดตามช่องโหว่นี้อย่างใกล้ชิด โดยมีรายงานการโจมตีระบบผ่านทางช่องโหว่นี้แล้ว นอกจากนี้ไมโครซอฟท์ได้เปิดเว็บไซต์ Microsoft Active Protections Program (MAPP) และเว็บไซต์ Microsoft Security Response Alliance (MSRA) เพื่อเป็นศูนย์ข้อมูลสำหรับช่วยเหลือลูกค้า

สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น ไมโครซอฟท์ประกาศว่าหลังทำการตรวจสอบเสร็จเรียบร้อย จะทำการแจ้งให้ผู้ใช้ทราบอีกครั้ง โดยในกรณีที่จำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค (Service Pack) ซีเคียวริตี้อัพเดท (Security Update) หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-cycle Security Update) ในกรณีเกิดผลกระทบร้ายแรงมากๆ หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

โปรแกรมที่ได้รับผลกระทบ
โปรแกรมที่ได้รับผลกระทบ มีดังต่อไปนี้
• Microsoft Windows 2000 Service Pack 4
• Windows XP Service Pack 2 and Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
• Windows Vista x64 Edition , Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition and Service Pack 2
• Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
• Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4
• Internet Explorer 6 for Windows XP Service Pack 2, Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2
• Internet Explorer 6 for Windows Server 2003 Service Pack 2, Windows Server 2003 with SP2 for Itanium-based Systems, and Windows Server 2003 x64 Edition Service Pack 2
• Internet Explorer 7 for Windows XP Service Pack 2, Windows XP Service Pack 3, and Windows XP Professional x64 Edition Service Pack 2
• Internet Explorer 7 for Windows Server 2003 Service Pack 2, Windows Server 2003 with SP2 for Itanium-based Systems, and Windows Server 2003 x64 Edition Service Pack 2
• Internet Explorer 7 in Windows Vista, Windows Vista Service Pack 1, Windows Vista Service Pack 2, Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
• Internet Explorer 7 in Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
• Internet Explorer 7 in Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
• Internet Explorer 7 in Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2

โปรแกรมที่ไม่ได้รับผลกระทบ
โปรแกรมที่ไม่ได้รับผลกระทบ มีดังต่อไปนี้
• Internet Explorer 5.01 Service Pack 4 on Microsoft Windows 2000 Service Pack 4
• Internet Explorer 8 All System

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ในระหว่างที่รอการตรวจสอบและการพัฒนาแพตช์ (Patch) แล้วเสร็จ ไมโครซอฟท์ได้คำแนะนำผู้ใช้ Internet Explorer เวอร์ชันที่ได้รับผลกระทบให้ดำเนินการดังนี้
• ทำการแก้ไข Access Control List (ACL) ของไฟล์ iepeers.dll โดยการแก้ไขรีจีสรี่คีย์ (ต้องใช้สิทธิ์ระดับ Administrator ในการดำเนินการ) ตามขั้นตอนดังนี้ (New)
1. ทำการแบ็คอัพรีจีสทรี่ย์เก็บไว้ในไฟล์ Disable_Peer_Factory_backup.reg โดยการรันคำสั่งดังต่อไปนี้
regedit.exe /e Disable_Peer_Factory_backup.reg HKEY_CLASSES_ROOT\CLSID\{3050F4CF-98B5-11CF-BB82-00AA00BDCE0B}

สำหรับบนระบบ Windows Vista และ Windows Server 2008 จะต้องทำการ take ownership ของรีจีสทรี่คีย์ [HKEY_CLASSES_ROOT\CLSID\{3050F4CF-98B5-11CF-BB82-00AA00BDCE0B}] ก่อน ตามขั้นตอนดังนี้
1. ล็อกออนด้วยแอคเคาท์กลุ่ม Administrators จากนั้นคลิก Start คลิก Run พิมพ์ Regedit ในช่อง Open เสร็จแล้วคลิก OK
2. ในหน้าต่างโปรแกรม Registry Editor ให้เนวิเกตไปยัง [HKEY_CLASSES_ROOT\CLSID\{3050F4CF-98B5-11CF-BB82-00AA00BDCE0B}]
3. คลิกขวาแล้วคลิก Permission จากนั้นคลิก Advanced แล้วเลือก Owner
4. ให้ทำการเปลี่ยน Owner เป็น Administrator
5. คลิก Grant Full Control ให้แก่ Administrator
6. ให้ดำเนินการตามขั้นตอนที่ 3 ถึง 5 ในทุกๆ คีย์ย่อย

2. ทำการสร้างไฟล์ .REG เช่น Disable_Peer_Factory.reg ด้วย Notepad โดยให้มีเนื้อหาดังต่อไปนี้
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{3050F4CF-98B5-11CF-BB82-00AA00BDCE0B}]

3. ทำการแก้ไข ACL ของไฟล์ iepeers.dll โดยการรันคำสั่งดังต่อไปนี้
Regedit.exe /s Disable_Peer_Factory.reg

การยกเลิกการแก้ไข ACL ของไฟล์ iepeers.dll ทำได้โดยการรันคำสั่งดังต่อไปนี้
Regedit.exe /s Disable_Peer_Factory_backup.reg

• ทำการแก้ไข Access Control List (ACL) ของไฟล์ iepeers.dll (ต้องใช้สิทธิ์ระดับ Administrator ในการดำเนินการ) ดังนี้
ระบบ Windows 32-bit
Echo y| cacls %WINDIR%\SYSTEM32\iepeers.DLL /E /P everyone:N

ระบบ Windows 64-bit
Echo y| cacls %WINDIR%\SYSWOW64\iepeers.DLL /E /P everyone:N

• ตั้งค่า Security Zone ของโซน "Internet และ Local intranet" เป็น "High" เพื่อป้องกันไม่ให้ ActiveX Controls และ Active Scripting ทำงานโดยอัตโนมัติ
• คอนฟิกให้ Internet Explorer แสดงพร็อมท์ก่อนทำการรัน Active Scripting หรือทำการปิดการทำงานของ Active Scripting ในโซน "Internet และ Local intranet"
• เปิดใช้งานฟีเจอร์ DEP สำหรับ Internet Explorer 6 Service Pack 2 หรือ Internet Explorer 7

แหล่งข้อมูลอ้างอิง
KB981374

© 2010 TWA Blog. All Rights Reserved.

0 Comment: