Thursday, September 29, 2011

Microsoft issues security advisory over Vulnerability in SSL/TLS Protocol

ไมโครซอฟท์เตือนผู้ใช้ Windows ทุกเวอร์ชันให้ระวังข้อมูลรั่วไหลผ่านทางช่องโหว่ในโปรโตคอล SSL/TLS
ไมโครซอฟท์ได้ประกาศเตือนผู้ใช้ Windows ทุกเวอร์ชันให้ระวังข้อมูลที่เข้ารหัสด้วยโปรโตคอล SSL 3.0 และ TLS 1.0 รั่วไหล เนื่องจากทั้ง 2 โปรโตคอลมีช่องโหว่ความปลอดภัยที่ทำให้แฮกเกอร์สามารถทำการถอดรหัสข้อมูลที่ถูกเข้ารหัสด้วยโปรโตคอล SSL/TLS ได้ ซึ่งปัญหานี้จะมีผลกระทบกับทราฟิก HTTPS เป็นหลักทำให้เป้าหมายการโจมตีจะมุ่งไปยังโปรแกรมเว็บเบราเซอร์และเว็บทราฟิกทั้งแบบ HTTPS หรือแบบ HTTP/HTTPS แต่ปัจจุบันยังไม่มีการรายงานว่ามีความพยายามโจมตีผู้ใช้ Windows โดยใช้ช่องโหว่ความปลอดภัยนี้แต่อย่างใด อย่างไรก็ตาม ไมโครซอฟท์ออกตัวว่าปัญหาดังกล่าวนี้ไม่ได้เกิดจากระบบ Windows แต่เป็นปัญหาที่เกิดจากตัวโปรโตคอลเอง

สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น หลังทำการตรวจสอบเสร็จเรียบร้อยไมโครซอฟท์จะทำการประกาศให้ผู้ใช้ทราบอีกครั้ง ในกรณีทีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-band) ในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม ทั้งนี้ ไมโครซอฟท์และบริษัทคู่ค้ากำลังทำการตรวจสอบสถานการณ์และติดตามช่องโหว่นี้อย่างใกล้ชิดและได้เปิด Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ให้ข้อมูลสำหรับลูกค้าอีกด้วย

Mitigating Factors:
ปัจจัยที่ช่วยลดผลกระทบของช่องโหว่ความปลอดภัยต่อระบบ
  • ในการโจมตีนั้นต้องใช้  HTTPS requests จำนวนหลายร้อยครั้งจึงจะประสบความสำเร็จ
  • โปรโตคอล TLS 1.1, TLS 1.2 และ cipher suites ทั้งหมดไม่ได้รับผลกระทบเนื่องจากไม่ใช้ CBC mode

Issue References
  • CVE Reference: CVE-2011-3389
  • Microsoft Knowledge Base Article: 2588513

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ไมโครซอฟท์ได้คำแนะนำผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบให้ดำเนินการดังนี้
  • จัดลำดับการเข้ารหัสด้วย RC4 เป็นลำดับแรกบนเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows Vista, Windows Server 2008 หรือใหม่กว่า
  • เปิดใช้งาน TLS 1.1 และ/หรือ 1.2 ใน Internet Explorer บนเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows 7 หรือ Windows Server 2008 R2
  • ตั้งระดับความปลอดภัยให้ Internet และ Local intranet เป็นระดับ "High" เพื่อบล็อค ActiveX Controls และ Active Scripting

โปรแกรมที่ได้รับผลกระทบ
โปรแกรมที่ได้รับผลกระทบจากปัญหา Vulnerability in SSL/TLS มีดังนี้
  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง
Microsoft Security Advisory (2588513): Vulnerability in SSL/TLS Could Allow Information Disclosure

Copyright © 2011 TWA Blog. All Rights Reserved.

0 Comment: