Saturday, January 29, 2011

Microsoft Releases Security Advisory 2501696

ไมโครซอฟท์เตือนให้ผู้ใช้ Windows ทุกเวอร์ชันระวังถูกโจมตีผ่านทางช่องโหว่แบบ Zero-Day

งานเข้าผู้ใช้ Windows อีกแล้วเนื่องจากไมโครซอฟท์ได้ออก Microsoft Security Advisory (2501696): Vulnerability in MHTML Could Allow Information Disclosure เพื่อเตือนให้ผู้ใช้ Windows ทุกเวอร์ชันระวังถูกโจมตีผ่านทางช่องโหว่ความปลอดภัยตัวใหม่ที่ผู้โจมตีสามารถใช้ทำการรันสคริปต์อันตราย (Malicious scripts) เมื่อเหยื่อเปิดเว็บไซต์ที่มีการแฝงโค้ดอันตรายไว้ ในกรณีที่การโจมตีประสบความสำเร็จอาจจะส่งผลให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัวของเหยื่อได้

จากข้อมูลในเว็บไซต์ระบุว่าช่องโหว่ความปลอดภัยของ Windows ที่พบในครั้งนี้มีผลกระทบเหมือนกับช่องโหว่ความปลอดภัย Cross-site scripting (XSS) แบบ Server-side และที่สำคัญเป็นช่องโหว่ความปลอดภัยแบบ 0-Day Vulnerability เนื่องจากในปัจจุบันไม่มีอัพเดทสำหรับใช้ทำการแก้ไข

สำหรับสาเหตุที่ทำให้เกิดช่องโหว่ความปลอดภัยตัวนี้ เกิดมาจากความผิดพลาดในการแปลความหมายของการร้องขอ MIME-formatted สำหรับบล็อคเนื้อหาในเอกสาร ซึ่งในบางสถานการณ์ทำให้ผู้โจมตีสามารถทำการฉีดสคริปต์แบบ Client-side ในการตอบสนองของการร้องขอเว็บ (Web request) รันในคอนเท็กซ์ของ Internet Explorer ของเหยื่อ โดยที่ผู้โจมตีสามารถใช้สคริปต์เพื่อทำการปลอมแปลงเนื้อหา (Spoof content), เข้าถึงข้อมูลส่วนตัว (Disclose information) หรือกระทำการอื่นๆ ซึ่งเหยื่อได้รับสิทธิ์ให้ทำได้บนเว็บไซต์ที่มีผลกระทบ

ทั้งนี้ ไมโครซอฟท์ระบุว่า ได้ทำการตรวจสอบสถานการณ์และติดตามความเคลื่อนไหวรวมถึงการเผยแพร่โค้ด Proof of Concept (PoC) สำหรับใช้โจมตีช่องโหว่ดังกล่าวนี้อย่างใกล้ชิด แต่ปัจจุบันยังไม่มีรายงานว่ามีความพยายามทำการโจมตีผู้ใช้ Windows โดยใช้ช่องโหว่ความปลอดภัยนี้ สำหรับการออกอัพเดท (Update) เพื่อแก้ปัญหานั้น หลังดำเนินการตรวจสอบเสร็จเรียบร้อยก็จะทำการประกาศให้ผู้ใช้ทราบอีกครั้ง ทั้งนี้ ในกรณีที่จำเป็นต้องออกอัพเดทเพื่อแก้ปัญหานั้น อาจจะออกอัพเดทรวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-band) ถ้าเป็นกรณีร้ายแรงหรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

นอกจากนี้ไมโครซอฟท์ยังได้เปิดเว็บไซต์ Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ข้อมูลและให้ความช่วยเหลือแก่ลูกค้าอีกด้วย

Windows เวอร์ชันที่ได้รับผลกระทบ
สำหรับ Windows เวอร์ชันที่ได้รับผลกระทบ มีดังต่อไปนี้
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista Service Pack 1 and Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2*
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems*
- Windows Server 2008 R2 for Itanium-based Systems

*Server Core installation not affected.

Mitigating Factors
ปัจจัยที่ช่วยลดผลกระทบของช่องโหว่ความปลอดภัยต่อระบบ
  • โดยดีฟอลท์ Internet Explorer บน Windows Server 2003 และ Windows Server 2008 นั้นจะรันในโหมด Enhanced Security Configuration ซึ่งมีการกำหนดค่าระดับความปลอดภัยโซนอินเทอร์เน็ตเป็น High
  • โดยดีฟอลท์ Microsoft Outlook, Microsoft Outlook Express และ Windows Mail จะทำการเปิดอ่านอีเมล์ในโซน Restricted sites ซึ่งเป็นโซนที่ปิดการทำงานของสคริปต์และแอ็คทีฟเอ็กซ์คอนโทรล (ActiveX controls) ซึ่งจะช่วยลดโอกาสที่ผู้โจมตีจะใช้ช่องโหว่นี้ในการรรันโค้ดอันตราย แต่อย่างไรก็ตาม ถ้าผู้ใช้ทำการคลิกลิงก์ในอีเมล์ก็มีโอกาสที่จะถูกโจมตีแบบเว็บเบส (Web-based attack) ได้
  • ในการโจมตีระบบแบบเว็บเบส (Web-based) นั้นผู้โจมตีจะชักจูงให้ผู้ใช้เข้าไปยังเว็บไซต์ที่มีการฝังโค้ดพิเศษสำหรับ ใช้ในการโจมตีช่องโหว่โดยการส่งลิงก์มาทางอีเมล์หรือทางข้อความใน Instant Messenger สำหรับโฮสต์ของเว็บไซต์ที่มีการฝังโค้ดพิเศษสำหรับใช้ในการโจมตีช่องโหว่ นั้น อาจเป็นเว็บไซต์ที่ผู้โจมตีเป็นเจ้าของเองหรือใช้เว็บไซต์ที่มีช่องโหว่ความ ปลอดภัยหรือเว็บไซต์ที่รับผลประโยชน์จากผู้โจมตี

บทความโดย: The Windows Administrator Blog

แหล่งข้อมูลอ้างอิง

Copyright © 2011 TWA Blog. All Rights Reserved.

0 Comment: