Friday, August 13, 2010

Elevation of Privilege Using Windows Service Isolation Bypass Security Issue

ไมโครซอฟท์เตือนผู้ใช้ Windows ทุกเวอร์ชันให้ระวังการโจมตีผ่านทางฟีเจอร์ Windows Service Isolation
บทความโดย: The Windows Administrator Blog

ไมโครซอฟท์ (Microsoft) ประกาศเตือนผู้ใช้ Windows ทุกเวอร์ชันให้ระวังการโจมตีระบบแบบ "ยกระดับสิทธิ์ (Elevation of Privilege)" ผ่านทางฟีเจอร์ Windows Service Isolation โดยวิธีการรันโค้ดที่ไม่น่าเชื่อถือภายใต้แอคเคาท์ NetworkService ซึ่งทำให้มีความเป็นไปได้ที่แฮกเกอร์จะใช้ทำการยกระดับสิทธิ์การรันจากแอคเคาท์ NetworkService ไปเป็นการรันภายใต้แอคเคาท์ LocalSystem บนเครื่องเซิร์ฟเวอร์เป้าหมาย ในกรณีที่การยกระดับสิทธิ์ประสบความสำเร็จแฮกเกอร์จะสามารถควบคุมระบบได้อย่างสมบูรณ์และทำการรันโค้ดต่างๆ ได้ตามต้องการ นั้นคือ แฮกเกอร์สามารถการติดตั้งโปรแกรม เปิดดู เปลี่ยนแปลง แก้ไข หรือแม้แต่ลบข้อมูลใดๆ ที่เก็บอบู่บนเครื่องเซิร์ฟเวอร์

แม้ว่าตามปกติแล้ว โค้ดที่ไม่น่าเชื่อถือจะไม่ถูกทำการรันภายใต้แอคเคาท์ NetworkService ยกเว้นในสถานการณ์พิเศษดังต่อไปนี้
• บนระบบที่มีการรัน Internet Information Services (IIS) โดยที่การตั้งค่าไม่เป็นไปตามค่าดีฟอลท์ โดยเฉพาะอย่างยิ่งถ้าเป็นการรัน IIS บน Windows Server 2003 และ Windows Server 2008 เนื่องจากโดยดีฟอลท์โปรเซสการทำงาน (worker process) จะถูกรันภายใต้แอคเคาท์ NetworkService
• บนระบบที่มีการรัน SQL Server โดยผู้ใช้ธรรมดาได้รับสิทธิ์ในการจัดการ SQL Server
• บนระบบที่มีการรัน Windows Telephony Application Programming Interfaces (TAPI)

ปัจจุบันยังไม่มีรายงานเกี่ยวกับการโจมตีระบบตามวิธีการด้านบน แต่อย่างไรก็ตามไมโครซอฟท์และพาร์ทเนอร์ได้ทำการตรวจสอบสถานการณ์และติดตามประเด็นปัญหาความปลอดภัยนี้อย่างใกล้ชิดและได้เปิด Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ข้อมูลสำหรับลูกค้า

อนึ่งประเด็นปัญหาความปลอดภัยดังกล่าวนี้ไม่ได้เกิดจากความผิดพลาดของฟีเจอร์ Windows Service Isolation ดังนั้นจะไม่มีการออกแพตช์ (Patch) สำหรับแก้ไข โดยผู้ใช้สามารถทำการติดตั้งอัปเดทสำหรับ CVE-2010-1886 ตามรายละเอียดในหัวข้อ คำแนะนำเพื่อป้องกันระบบจากการโจมตี ด้านล่าง

ซอฟต์แวร์ที่ได้รับผลกระทบ
ซอฟต์แวร์ที่ได้รับผลกระทบ มีดังต่อไปนี้
• Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista Service Pack 1 and Windows Vista Service Pack 2
• Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for Itanium-based Systems Service Pack 2
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems
• Windows Server 2008 R2 for Itanium-based Systems

Issue References
CVE Reference: CVE-2010-1886
Microsoft Knowledge Base Article: 2264072

Mitigating Factors
ปัจจัยที่ช่วยลดผลกระทบของช่องโหว่ความปลอดภัยต่อระบบ
• แฮกเกอร์จะต้องสามารถรันโค้ดภายใต้แอคเคาท์ NetworkService บนระบบเป้าหมายจึงจะสามารถใช้เป็นช่องทางในการโจมตีระบบ
• ในกรณีทำการรัน Internet Information Services (IIS) โดยใช้การตั้งค่าแบบดีฟอลท์จะไม่ได้รับผลกระทบ

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ในระหว่างที่รอการตรวจสอบและการพัฒนาแพตช์ (Patch) แล้วเสร็จ ไมโครซอฟท์ได้คำแนะนำผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบให้ดำเนินการดังนี้
ทำการคอนฟิก WPI ของ application pools ใน IIS
• IIS 6.0
1. ในหน้า IIS Manager ให้ขยาย local computer ขยาย Application Pools จากนั้นคลิกขวาบน application pool แล้วเลือก Properties
2. คลิกแท็บ Identity และ Configurable ในช่อง User name และ Password ให้พิมพ์ชื่อผู้ใช้และรหัสผ่านของแอคเคาท์ที่ต้องการให้โปรเซสการทำงานใช้ในการทำงาน
3. ทำการเพิ่มผู้ใช้ในข้อที่ 2 เข้าเป็นสมาชิกกลุ่ม IIS_WPG

• IIS 7.0
1. จากหน้าคอมมานด์พร็อมท์ของแอดมิน ให้เปลี่ยนไดเร็กตอรีไปยัง %systemroot%\system32\inetsrv
2. รันคำสั่ง APPCMD.exe ตามรูปแบบต่อไปนี้ (แทนที่ string ด้วยชื่อของ application pool; แทนที่ userName ด้วยชื่อแอคเคาท์ที่ต้องการ; และแทนที่ password ด้วยรหัสผ่านของแอคเคาท์ที่ใช้

appcmd set config /section:applicationPools /
[name='string'].processModel.identityType:SpecificUser /
[name='string'].processModel.userName:string /
[name='string'].processModel.password:string

ติดตั้งอัปเดทสำหรับ CVE-2010-1886
ทำการติดตั้งอัปเดทสำหรับแก้ช่องโหว่ความปลอดภัยของ Windows Telephony Application Programming Interfaces (TAPI) โดยดาวน์โหลดอัปเดทได้ที่ http://support.microsoft.com/kb/982316

แหล่งข้อมูลอ้างอิง
Microsoft Security Advisory (2264072): Elevation of Privilege Using Windows Service Isolation Bypass

© 2010 TWA Blog. All Rights Reserved.

0 Comment: