New Zero-Day Critical Vulnerability in Windows Shell Affects all Windows versions ~ Windows Administrator Blog

พบช่องโหว่ความปลอดภัยร้ายแรงระดับวิกฤติตัวใหม่ใน Windows Shell กระทบกับ Windows ทุกเวอร์ชันและยังไม่มีแพตซ์สำหรับแก้ไข (Zero-Day)
บทความโดย: Windows Administrator Blog

ไมโครซอฟท์ (Microsoft) ได้ประกาศอย่างเป็นทางการผ่านทางเว็บไซต์ในบทความเรื่อง Microsoft Security Advisory (2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution เพื่อยืนยันว่ามีการพบช่องโหว่ความปลอดภัยร้ายแรงระดับวิกฤติ (Critical Vulnerability) ตัวใหม่ใน Windows Shell ซึ่งเป็นองค์ประกอบของ Windows ทุกเวอร์ชัน ซึ่งแฮกเกอร์อาจใช้โจมตีระบบเพื่อทำการรันโค้ดจากระยะไกลได้ (Remote code execution) และที่สำคัญ เป็นช่องโหว่ความปลอดภัยแบบ Zero-Day เนื่องจากยังไม่มีแพตซ์สำหรับแก้ไข

ช่องโหว่ความปลอดภัยที่พบใน Windows Shell นี้เกิดจากความผิดพลาดในการประมวลผลชอร์ตคัท (ไฟล์นามสกุล .Lnk และ .Pif) ของ Windows ทำให้โค้ดประสงค์ร้าย (Malicious code) ถูกเอ็กซีคิวต์ได้เมื่อผู้ใช้คลิกชอร์ตคัทที่มีการแฝงโค้ด (Crafted shortcut) เอาไว้ ช่องโหว่ความปลอดภัยดังกล่าวนี้มีลักษณะคล้ายกับการโจมตีผ่านทางไดรฟ์อุปกรณ์เก็บข้อมูลแบบพกพา ซึ่งการโจมตีผ่านทางช่องโหว่ของไดรฟ์อุปกรณ์เก็บข้อมูลแบบพกพาบนระบบที่ปิดฟังก์ชัน AutoPlay นั้นจะเกิดขึ้นได้เมื่อผู้ใช้ทำการเบราซ์ไปยังโฟลเดอร์บนสุด (Root folder) ของไดรฟ์อุปกรณ์เก็บข้อมูลแบบพกพานั้น สำหรับระบบ Windows 7 นั้นฟังก์ชัน AutoPlay สำหรับอุปกรณ์เก็บข้อมูลแบบพกพาจะถูกปิดการทำงานโดยดีฟอลท์

ปัจจุบันไมโครซอฟท์ได้รับรายงานเกี่ยวกับการโจมตีระบบโดยใช้ช่องโหว่นี้บ้างแล้ว ทั้งนี้ไมโครซอฟท์และพาร์ทเนอร์ได้ทำการตรวจสอบสถานการณ์และติดตามช่องโหว่นี้อย่างใกล้ชิดและได้เปิด Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ข้อมูลสำหรับลูกค้า

สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น หลังทำการตรวจสอบเสร็จเรียบร้อยไมโครซอฟท์จะทำการประกาศให้ผู้ใช้ทราบอีกครั้ง ซึ่งในกรณีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-band) ในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

ซอฟต์แวร์ที่ได้รับผลกระทบ
ซอฟต์แวร์ที่ได้รับผลกระทบ มีดังต่อไปนี้
• Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista Service Pack 1 and Windows Vista Service Pack 2
• Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems
• Windows Server 2008 R2 for Itanium-based Systems

Issue References
CVE Reference: CVE-2010-2568
Microsoft Knowledge Base Article 2286198

Mitigating Factors
ปัจจัยที่ช่วยลดผลกระทบของช่องโหว่ความปลอดภัยต่อระบบ
• ในกรณีที่การโจมตีประสบผลสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกันกับ ผู้ใช้ที่กำลังล็อกออน ดังนั้นผู้ใช้ที่มีระดับสิทธิ์น้อยจะมีผลกระทบน้อยกว่าผู้ใช้ที่มีระดับสิทธิ์สูง
• การปิดฟังก์ชัน AutoPlay นั้นส่งผลให้การเข้าถึงโฟลเดอร์บนสุดของไดรฟ์อุปกรณ์เก็บข้อมูลแบบพกพาเปิดต้องดำเนินการด้วยตนเองโดยการเปิด Windows Explorer หรือแอพพลิเคชันอื่นๆ แล้วเบราซ์ไปยังโฟลเดอร์บนสุดของไดรฟ์อุปกรณ์เก็บข้อมูลแบบพกพา
• การบล็อคการเชื่อมต่อขาเข้าของ SMB บนเพอริมิเตอร์ไฟร์วอลล (perimeter firewall) จะช่วยลดความเสี่ยงจากการโจทตีแบบรีโมทผ่านทางการแชร์ไฟล์ได้

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ในระหว่างที่รอการตรวจสอบและการพัฒนาแพตช์ (Patch) แล้วเสร็จ ไมโครซอฟท์ได้คำแนะนำผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบให้ดำเนินการดังนี้
Disable the displaying of icons for shortcuts
1. คลิก Start คลิก Run พิมพ์ Regedit ในช่อง Open เสร็จแล้วคลิก OK
2. ในหน้าต่างโปรแกรม Registry Editor ให้เนวิเกตไปยังรีจีสทรีคีย์:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

3. คลิกเมนู File แล้วเลือก Export
4. ในหน้าไดอะล็อกบ็อกซ์ Export Registry File ให้ใส่ชื่อไฟล์เป็น LNK_Icon_Backup.reg เสร็จแล้วคลิก Save
5. ในคอลัมน์ขวามือของหน้าต่างโปรแกรม Registry Editor ให้ดับเบิลคลิก (Default) แล้วในหน้าไดอะล็อกบ็อกซ์ Edit String ให้ลบค่าดีฟอลท์ (ค่าจะว่าง) เสร็จแล้วคลิก OK

ค่า (Default) ก่อนแก้ไข

ค่า (Default) หลังแก้ไข

6. ทำการรีสตาร์ท explorer.exe หรือรีสตาร์ทคอมพิวเตอร์เพื่อให้การเปลี่ยนแปลงมีผล

Disable the WebClient service
1. คลิก Start คลิก Run พิมพ์ Services.msc ในช่อง Open เสร็จแล้วคลิก OK
2. ในหน้าต่าง Services ให้คลิกขวาบนเซอร์วิส WebClient service แล้วเลือก Properties
3. ในหน้าไดอะล็อกบ็อกซ์ WebClient Properties ให้เปลี่ยนค่า Startup type เป็น Disabled ในกรณีที่เซอร์วิสกำลังทำงานอยู่ให้คลิก Stop เสร็จแล้วคลิก OK

4. ในหน้าต่าง Services ให้คลิก OK เพื่อจบการทำงาน

แหล่งข้อมูลอ้างอิง
• Microsoft Security Advisory (2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution

© 2010 TWA Blog. All Rights Reserved.