Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution ~ Windows Administrator Blog

Wednesday, August 25, 2010

Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution

By dtp 1:09:00 PM No comments

ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังการโจมตีระบบผ่านทางช่องโหว่ DLL preloading attacks
บทความโดย: The Windows Administrator Blog

ไมโครซอฟท์ (Microsoft) ประกาศเตือนผู้ใช้ Windows ให้ระวังการโจมตีระบบแบบรีโมท (Remote Code Execution) ผ่านทางช่องโหว่ที่เรียกว่า "binary planting" หรือ "DLL preloading attacks" ซึ่งเกิดจากการเขียนโปรแกรมที่ไม่เป็นไปตามหลักการความปลอดภัย ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางในการรันโค้ดจากระยะไกลภายใต้ระดับสิทธิ์ของผู้ใช้ที่กำลังรันโปรแกรมที่มีช่องโหว่ความปลอดภัยอยู่ได้

โดยไมโครซอฟท์ระบุว่าปัญหานี้มีสาเหตุจากแอพพลิเคชัน (Application) ทำการส่งผ่านพาธที่มีคุณสมบัติไม่เพียงพอเมื่อทำการโหลดไลบรารี่ภายนอก ซึ่งไมโครซอฟท์ได้แนะนำนักพัฒนาเกี่ยวกับวิธีการใช้งาน API (application programming interfaces) ที่ถูกต้องเพื่อป้องกันช่องโหว่ความปลอดภัยที่เว็บไซต์ Dynamic-Link Library Security

ข้อควรทราบเกี่ยวกับผลกระทบของช่องโหว่ความปลอดภัย
ข้อควรทราบเกี่ยวกับผลกระทบของช่องโหว่ความปลอดภัยต่อระบบมีดังนี้
• ปัญหานี้จะเกิดเมื่อแอพพลิเคชันทำการโหลดไลบรารี่ภายนอกซึ่งไม่มีความน่าเชื่อถือ
• การโจมตีจะสำเร็จได้เฉพาะในกรณีที่ผู้ใช้รันทำการเปิดไฟล์เอกสารที่เก็บอยู่ในการแชร์บนเน็ตเวิร์กที่ไม่มีความน่าเชื่อถือหรือจากการแชร์แบบ WebDAV ด้วยแอพพลิเคชันที่มีช่องโหว่ความปลอดภัย
• โดยปกติแล้วการแชร์ข้อมูลผ่านโปรโตคอล SMB จะถูกปิดบนไฟร์วอลล์ตัวริมสุดของเน็ตเวิร์ก (Perimeter firewall) ซึ่งจะช่วยจำกัดการโจมตีระบบลงได้

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ไมโครซอฟท์ได้คำแนะนำผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบให้ดำเนินการดังนี้
• ปิดทำการโหลดไลบรารี่จาก WebDAV และการแชร์บนเน็ตเวิร์ก โดยวิธีการนี้จะต้องทำการติดตั้งรีจีสทรีย์ CWDIllegalInDllSearch ซึ่งสามารถดาวน์โหลดพร้อมอ่านรายละเอียดวิธีการทำได้จากเว็บไซต์ Microsoft Knowledge Base Article 2264107
• ปิดบริการ WebClient
• บล็อคทราฟิก TCP พอร์ตหมายเลข 139 และ 445 ที่ไฟร์วอลล์

ทั้งนี้ ไมโครซอฟท์ไม่มีการออกแพตซ์ (Pactch) เพื่อแก้ปัญหาความปลอดภัยนี้ เนื่องจากไม่ได้มีสาเหตุมาจากระบบวินโดวส์ สำหรับความเคลื่อนไหวเกี่ยวกับสถานการณ์และประเด็นปัญหาความปลอดภัยที่เกี่ยวข้องกับวินโดวส์นั้นสามารถติดตามได้จากเว็บไซต์ Microsoft Active Protections Program (MAPP)

แหล่งข้อมูลอ้างอิง
• Microsoft Security Advisory (2269637)

© 2010 TWA Blog. All Rights Reserved.

พบช่องโหว่ความปลอดภัยแบบ Zero-Day ใน VBScript ใน Internet Explorer บน Windows XP และ Windows Server 2003พบช่องโหว่ความปลอดภัย (Vulnerabilities) ใหม่ในโปรแกรม Internet Explorer (IE) เกิดขึ้นอีกแล้ว โดยวันที่ 1 มีนาคม 2553 ที่ผ่านมา ไมโครซอฟท์ออก Microsoft Security Advisory (981169): Vulnerability in VBScript Could Allow Remote C… Read More
ไมโครซอฟท์ออกอัปเดทปิด 10 ช่องโหว่ความปลอดภัยร้ายแรงใน Internet Explorer ทุกเวอร์ชันไมโครซอฟท์ออกอัปเดท MS13-069 (KB2870699)* เพื่อปิด 10 ช่องโหว่ความปลอดภัยใน Internet Explorer (IE) ที่ใช้โจมตีแบบ Remote Code Execution ได้ ช่องโหว่เหล่านี้มีผลกระทบกับ IE6 ถึง IE10 โดยกระทบรุนแรงวิกฤตในเวอร์ชันสำหรับ Windows… Read More
พบช่องโหว่ Zero-Day ใน Windows Vista, Windows Server 2008, Office และ Lync, ไมโครซอฟท์ออก Fix it เพื่อป้องกันการโจมตีแล้วไมโครซอฟท์กำลังตรวจสอบช่องโหว่ความปลอดภัย Zero-Day ใน Microsoft Graphics Component ที่สามารถใช้โจมตีระบบจากระยะไกลได้ โดยมีผลกระทบกับ Windows Vista, Windows Server 2008 โปรแกรม Office เวอร์ชัน 2003, 2007 และ 2010 และ Lync เวอ… Read More
ไมโครซอฟท์ยอมรับมีช่องโหว่ใน Internet Explorer ที่ยังไม่ได้รับการแก้ไขในการอัปเดทเดือนตุลาคม 2556ไมโครซอฟท์ออกอัปเดทความปลอดภัยเดือนตุลาคม 2556 ทั้งหมด 8 ตัว รวมถึงอัปเดทหมายเลข MS13-080 สำหรับ ปิดช่องโหว่ความปลอดภัย 9 จุดใน Internet Explorer ทุกเวอร์ชัน อย่างไรก็ตาม ไมโครซอฟท์ได้ออกมายอมรับอย่างเป็นทางการว่ายังเหลือช่อง… Read More
ไมโครซอฟท์ปิด 11 ช่องโหว่ความปลอดภัยร้ายแรงใน Internet Explorer ทุกเวอร์ชันไมโครซอฟท์ออกอัปเดท MS13-059 (KB2862772)* เพื่อปิด 11 ช่องโหว่ความปลอดภัยใน Internet Explorer (IE) ที่ใช้โจมตีแบบ Remote Code Execution ได้ ช่องโหว่เหล่านี้มีผลกระทบกับ IE6 ถึง IE10 โดยกระทบรุนแรงวิกฤตในเวอร์ชันสำหรับ Windows… Read More