New zero-day flaw bypasses Windows 7 User Account Control (UAC)

พบช่องโหว่ความปลอดภัยแบบ Zero-day บน Windows สามารถบายพาส User Account Control (UAC) ของ Windows 7 ได้
มีรายงานข่าวว่ามีการค้นพบช่องโหว่ความปลอดภัยตัวใหม่บนระบบปฏิบัติการ Windows ซึ่งสามารถใช้บายพาสระบบ User Account Control (UAC) ได้ โดยช่องโหว่ความปลอดภัยที่ค้นพบในครั้งนี้มีผลกระทบ Windows หลายเวอร์ชัน และที่สำคัญคือเป็นช่องโหว่ความปลอดภัยแบบ Zero-day เนื่องจากยังไม่แพทช์ (Patch) สำหรับใช้แก้ไข อย่างไรก็ตามในปัจจุบันยังไม่มีการออกมาตอบรับหรือปฏิเสธข่าวนี้จากทางไมโครซอฟท์แต่อย่างใด

โดยรายละเอียดเรื่องครั้งนี้ถูกเปิดเผยผ่านทาง Sophos Blog โดย Chester Wisniewski ซึ่งเป็น Senior Security Advisor ของ Sophos ประเทศแคนาดาได้โพสต์บทความเรื่อง New Windows zero-day flaw bypasses UAC ซึ่งมีเนื้อหาเกี่ยวกับการค้นพบช่องโหว่ความปลอดภัยบนระบบปฏิบัติการ Windows ที่สามารถใช้ทำการยกระดับสิทธิ์ (Elevate privilege) ของแอพพลิเคชันไปเป็นระดับ System account บน Windows Vista และ Window 7 ได้ นอกจากนี้ ยังสามารถใช้ในการบายพาสระบบ User Account Control (UAC) ของ Windows Vista และ Window 7 ได้อีกด้วย

หมายเหตุ: มีการโพสต์โค้ด Proof of Concept (PoC) สำหรับใช้พิสูจน์ช่องโหว่ความปลอดภัยบนเว็บไซต์สอนเขียนโปรแกรมแห่งหนึ่งแต่ได้ถูกลบออกไปในภายหลัง

สำหรับสาเหตุที่ทำให้เกิดช่องโหว่ความปลอดภัยนี้เกิดจากบั๊ก (Bug) ในไฟล์ win32k.sys ซึ่งเป็นส่วนหนึ่งของ Windows kernel ส่งผลรีจีสทรี่คีย์ตีความหมายผิดพลาดและอนุญาตให้ผู้โจมตีสามารถปลอมตัว (Impersonate) เป็น System account ซึ่งมีสิทธิ์ในการเข้าถึงทุกองค์ประกอบของระบบ Windows ได้โดยแทบจะไม่มีข้อจำกัด โดยรีจีสทรี่คีย์ที่ทำงานผิดพลาดนี้จะอยู่ภายใต้การควบคุมอย่างเต็มรูปแบบ (Full control) ของผู้ใช้ทั่วไป (Non-privileged users)

โดยนอกจากมีผลกระทบกับ Windows Vista และ Windows 7 แล้วช่องโหว่ความปลอดภัยนี้ยังมีผลกระทบกับ Windows XP รวมถึง Windows Server 2008 R2 อีกด้วย อย่างไรก็ตามบั๊กตัวนี้ไม่สามารถใช้เป็นช่องทางการโจมตีจากระยะไกลแบบ Remote code execution (RCE) ได้ แต่จะอนุญาตให้แอคเคาท์ที่ไม่ได้เป็นแอดมินสามารถทำการรันโค้ดได้เทียบเท่าแอดมิน

อนึ่ง โปรแกรมป้องกันไวรัสของ Sophos จะตรวจพบโค้ด Proof of Concept (PoC) สำหรับใช้โจมตีช่องโหว่ความปลอดภัยนี้ในชื่อ Troj/EUDPoC-A สำหรับวิดีโอสาธิตผลกระทบและวิธีการป้องกันสามารถดูได้จากเว็บไซต์ Youtube ที่ New Windows Zero Day Exploit - Nov 2010

วิธีการป้องกันระบบเบื้องต้น
สำหรับการป้องกันระบบไม่ให้ถูกโจมตีนั้นสามารถทำได้ดังนี้
1. ล็อกออนเข้าระบบด้วยแอคเคาท์กลุ่ม Administrator จากนั้นเปิดโรแกรม Regedit แล้วบราวซ์ไปยังรีจีสทรี่คีย์ HKEY_USERS\[SID of each user account]\EUDC
2. คลิกขวาบน EUDC แล้วเลือก Permissions
3. เลือกผู้ใช้ที่ต้องการปรับแต่งเพอร์มิสชันและเลือก Advanced
4. เลือก Add จากนั้นพิมพ์ชื่อผู้ใช้ที่ต้องการเสร็จแล้วคลิก OK
5. คลิกเลือกเช็คบ็อกซ์ Deny ในหัวข้อ Delete และ Create Subkey
6. คลิก OK แล้วปิดโปรแกรม Regedit เพื่อจบการทำงาน

บทความโดย: The Windows Administrator Blog

แหล่งข้อมูลอ้างอิง
• Sophos Blog

Copyright © 2010 TWA Blog. All Rights Reserved.