ไมโครซอฟท์ได้ประกาศเตือนผู้ใช้ Windows ทุกเวอร์ชันให้ระวังข้อมูลที่เข้ารหัสด้วยโปรโตคอล SSL 3.0 และ TLS 1.0 รั่วไหล เนื่องจากทั้ง 2 โปรโตคอลมีช่องโหว่ความปลอดภัยที่ทำให้แฮกเกอร์สามารถทำการถอดรหัสข้อมูลที่ถูกเข้ารหัสด้วยโปรโตคอล SSL/TLS ได้ ซึ่งปัญหานี้จะมีผลกระทบกับทราฟิก HTTPS เป็นหลักทำให้เป้าหมายการโจมตีจะมุ่งไปยังโปรแกรมเว็บเบราเซอร์และเว็บทราฟิกทั้งแบบ HTTPS หรือแบบ HTTP/HTTPS แต่ปัจจุบันยังไม่มีการรายงานว่ามีความพยายามโจมตีผู้ใช้ Windows โดยใช้ช่องโหว่ความปลอดภัยนี้แต่อย่างใด อย่างไรก็ตาม ไมโครซอฟท์ออกตัวว่าปัญหาดังกล่าวนี้ไม่ได้เกิดจากระบบ Windows แต่เป็นปัญหาที่เกิดจากตัวโปรโตคอลเอง
สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น หลังทำการตรวจสอบเสร็จเรียบร้อยไมโครซอฟท์จะทำการประกาศให้ผู้ใช้ทราบอีกครั้ง ในกรณีทีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-band) ในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม ทั้งนี้ ไมโครซอฟท์และบริษัทคู่ค้ากำลังทำการตรวจสอบสถานการณ์และติดตามช่องโหว่นี้อย่างใกล้ชิดและได้เปิด Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ให้ข้อมูลสำหรับลูกค้าอีกด้วย
Mitigating Factors:
ปัจจัยที่ช่วยลดผลกระทบของช่องโหว่ความปลอดภัยต่อระบบ
- ในการโจมตีนั้นต้องใช้ HTTPS requests จำนวนหลายร้อยครั้งจึงจะประสบความสำเร็จ
- โปรโตคอล TLS 1.1, TLS 1.2 และ cipher suites ทั้งหมดไม่ได้รับผลกระทบเนื่องจากไม่ใช้ CBC mode
Issue References
- CVE Reference: CVE-2011-3389
- Microsoft Knowledge Base Article: 2588513
คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ไมโครซอฟท์ได้คำแนะนำผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบให้ดำเนินการดังนี้
- จัดลำดับการเข้ารหัสด้วย RC4 เป็นลำดับแรกบนเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows Vista, Windows Server 2008 หรือใหม่กว่า
- เปิดใช้งาน TLS 1.1 และ/หรือ 1.2 ใน Internet Explorer บนเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows 7 หรือ Windows Server 2008 R2
- ตั้งระดับความปลอดภัยให้ Internet และ Local intranet เป็นระดับ "High" เพื่อบล็อค ActiveX Controls และ Active Scripting
โปรแกรมที่ได้รับผลกระทบ
โปรแกรมที่ได้รับผลกระทบจากปัญหา Vulnerability in SSL/TLS มีดังนี้
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
แหล่งข้อมูลอ้างอิง
• Microsoft Security Advisory (2588513): Vulnerability in SSL/TLS Could Allow Information Disclosure
Copyright © 2011 TWA Blog. All Rights Reserved.
0 Comment:
Post a Comment