Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution ~ Windows Administrator Blog

Wednesday, August 25, 2010

Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution

By dtp 1:09:00 PM No comments

ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังการโจมตีระบบผ่านทางช่องโหว่ DLL preloading attacks
บทความโดย: The Windows Administrator Blog

ไมโครซอฟท์ (Microsoft) ประกาศเตือนผู้ใช้ Windows ให้ระวังการโจมตีระบบแบบรีโมท (Remote Code Execution) ผ่านทางช่องโหว่ที่เรียกว่า "binary planting" หรือ "DLL preloading attacks" ซึ่งเกิดจากการเขียนโปรแกรมที่ไม่เป็นไปตามหลักการความปลอดภัย ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางในการรันโค้ดจากระยะไกลภายใต้ระดับสิทธิ์ของผู้ใช้ที่กำลังรันโปรแกรมที่มีช่องโหว่ความปลอดภัยอยู่ได้

โดยไมโครซอฟท์ระบุว่าปัญหานี้มีสาเหตุจากแอพพลิเคชัน (Application) ทำการส่งผ่านพาธที่มีคุณสมบัติไม่เพียงพอเมื่อทำการโหลดไลบรารี่ภายนอก ซึ่งไมโครซอฟท์ได้แนะนำนักพัฒนาเกี่ยวกับวิธีการใช้งาน API (application programming interfaces) ที่ถูกต้องเพื่อป้องกันช่องโหว่ความปลอดภัยที่เว็บไซต์ Dynamic-Link Library Security

ข้อควรทราบเกี่ยวกับผลกระทบของช่องโหว่ความปลอดภัย
ข้อควรทราบเกี่ยวกับผลกระทบของช่องโหว่ความปลอดภัยต่อระบบมีดังนี้
• ปัญหานี้จะเกิดเมื่อแอพพลิเคชันทำการโหลดไลบรารี่ภายนอกซึ่งไม่มีความน่าเชื่อถือ
• การโจมตีจะสำเร็จได้เฉพาะในกรณีที่ผู้ใช้รันทำการเปิดไฟล์เอกสารที่เก็บอยู่ในการแชร์บนเน็ตเวิร์กที่ไม่มีความน่าเชื่อถือหรือจากการแชร์แบบ WebDAV ด้วยแอพพลิเคชันที่มีช่องโหว่ความปลอดภัย
• โดยปกติแล้วการแชร์ข้อมูลผ่านโปรโตคอล SMB จะถูกปิดบนไฟร์วอลล์ตัวริมสุดของเน็ตเวิร์ก (Perimeter firewall) ซึ่งจะช่วยจำกัดการโจมตีระบบลงได้

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ไมโครซอฟท์ได้คำแนะนำผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบให้ดำเนินการดังนี้
• ปิดทำการโหลดไลบรารี่จาก WebDAV และการแชร์บนเน็ตเวิร์ก โดยวิธีการนี้จะต้องทำการติดตั้งรีจีสทรีย์ CWDIllegalInDllSearch ซึ่งสามารถดาวน์โหลดพร้อมอ่านรายละเอียดวิธีการทำได้จากเว็บไซต์ Microsoft Knowledge Base Article 2264107
• ปิดบริการ WebClient
• บล็อคทราฟิก TCP พอร์ตหมายเลข 139 และ 445 ที่ไฟร์วอลล์

ทั้งนี้ ไมโครซอฟท์ไม่มีการออกแพตซ์ (Pactch) เพื่อแก้ปัญหาความปลอดภัยนี้ เนื่องจากไม่ได้มีสาเหตุมาจากระบบวินโดวส์ สำหรับความเคลื่อนไหวเกี่ยวกับสถานการณ์และประเด็นปัญหาความปลอดภัยที่เกี่ยวข้องกับวินโดวส์นั้นสามารถติดตามได้จากเว็บไซต์ Microsoft Active Protections Program (MAPP)

แหล่งข้อมูลอ้างอิง
• Microsoft Security Advisory (2269637)

© 2010 TWA Blog. All Rights Reserved.

ไมโครซอฟท์เปิดให้ดาวน์โหลด Security Compliance Manager 2.5Security Compliance Manager (SCM) 2.5 เป็นเครื่องมือฟรีจากทีม Microsoft Solution Accelerators ที่ช่วยให้องค์กรสามารถกำหนดค่าและจัดการเดสก์ท็อป, ดาต้าเซ็นเตอร์ และระบบคลาวด์ โดยการใช้นโยบายกลุ่ม (Group Policy) และระบบ System C… Read More
ไมโครซอฟท์จะออกแพตช์เพื่อแก้ช่องโหว่ Zero-Day ใน Internet Explorer 8 และเก่ากว่า ในวันที่ 14 มกราคม 255615 มกราคม 2556: ไมโครซอฟท์ออกอัปเดท MS13-008 แก้ช่องโหว่ 0-day ใน IE8 และเก่ากว่า แล้ว ไมโครซอฟท์ประกาศออกแพตช์ (Patch) เป็นกรณีเร่งด่วน (Out-of-Band) เพื่อแก้ช่องโหว่ความปลอดภัย Zero-Day ที่มีความรุนแรงวิกฤตในที่พบใน Intern… Read More
รวมวิธีแก้ไขเมื่อลืมรหัสผ่านของผู้ดูแลระบบของคอมพิวเตอร์ที่ใช้ Windows XPวิธีการแก้ไขเมื่อลืมรหัสผ่านของผู้ดูแลระบบของวินโดวส์เอ็กซ์พี มีเครื่องมือให้เลือกใช้มากมายนับไม่ถ้วน บทความนี้จะรวบรวมวิธีการแก้ไข 3 วิธีที่ผมทดลองแล้วใช้ได้ผล ทั้งนี้เพื่อใช้เป็นแนวทางแก่ Administrator, User รวมถึงแก่ผู้ที่… Read More
ไมโครซอฟท์ออกแพตช์ (MS13-008) แก้ช่องโหว่ Zero-Day ใน Internet Explorer 8 และเก่ากว่าแล้วไมโครซอฟท์ออกแพตซ์หรืออัปเดทหมายเลข MS13-008 เป็นกรณีเร่งด่วน (Out-of-Band) เพื่อแก้ช่องโหว่ความปลอดภัย Zero-Day ที่มีความรุนแรงวิกฤตใน Internet Explorer 6, Internet Explorer 7 และ Internet Explorer 8 ซึ่งสามารถใช้โจมตีระบบจา… Read More
ไมโครซอฟท์ออก Fix it สำหรับป้องกันการโจมตี Internet Explorer 8 และเก่ากว่า - ประยุกต์ใช้ทันทีเพื่อความปลอดภัย15 มกราคม 2556: ไมโครซอฟท์ออกอัปเดท MS13-008 แก้ช่องโหว่ 0-day ใน IE8 และเก่ากว่า แล้ว ไมโครซอฟท์ออกเครื่องมือ Fix it สำหรับป้องกันการโจมตีผ่านช่องโหว่ความปลอดภัยใน Internet Explorer 6, Internet Explorer 7 และ Internet Explo… Read More