Tuesday, September 6, 2011

วิธีป้องกันตนเองจากการโจมตีโดยใช้ Certificate ปลอมที่ออกโดย DigiNotar

ในช่วงสัปดาห์ที่ผ่านมา ท่านใดที่ติดตามข่าวด้านความปลอดภัยด้านคอมพิวเตอร์น่าจะทราบถึงข่าวเซอร์ติฟิเคทปลอม (Fraudulent Certificate) ที่ออกโดย DigiNotar โดยเซอร์ติฟิเคทปลอมนี้สามารถใช้โจมตีแบบ SSL man-in-the-middle (MITM) ได้หลายรูป เช่นใช้ในการปลอมเป็นเว็บไซต์บนอินเทอร์เน็ต ซึ่งปัจจุบันมีรานงานว่ามีการปลอมเป็นซับโดเมนของ google.com แล้ว, ใช้โจมตีผ่านทางเครือข่ายแบบโลคอล (ต.ย. Open Wireless Network), ปลอมเป็นผู้ให้บริการเครือข่าย (network infrastructure), ใช้ในการควบคุม DNS server ของ ISP หรือใช้กำหนดค่า DNS server (เถื่อน) ผ่านทาง DHCP เป็นต้น

โดยโปรแกรมที่ได้รับผลกระทบโดยตรงจากเซอร์ติฟิเคทปลอม คือ เว็บเบราเซอร์ซึ่งทั้งโมซิลลาและกูเกิลได้ทำการยกเลิกการทรัสต์เซอร์ติฟิเคทปลอมนี้โดยการออก Firefox 6.0.1 และ Google Chrome 13.0.782.220 ตามลำดับ สำหรับซอฟต์แวร์อีกตัวที่ได้รับผลกระทบ คือ ระบบปฏิบัติการซึ่งไมโครซอฟท์ได้ประกาศว่าพบเซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar อย่างน้อยหนึ่งตัวใน Trusted Root Certification Authorities ใน Windows หลายเวอร์ชัน แต่ไมโครซอฟท์ออกตัวว่าปัญหานี้ไม่ได้เกิดจากความบกพร่องของ Windows สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้จาก Microsoft Security Advisory (2607712): Fraudulent Digital Certificates Could Allow Spoofing

แนวปฏิบัติเพื่อป้องกันตนเองจากการโจมตีโดยใช้เซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar
สำหรับผู้ใช้ระบบปฏิบัติการ Windows Vista, Windows 7, Windows Server 2008 และ Windows Server 2008 R2 จะไม่ได้รับผลกระทบจากปัญหาซอร์ติฟิเคตปลอมที่ออกโดย DigiNotar เนื่องจากระบบปฏิบัติการกลุ่มนี้ใช้ Microsoft Certificate Trust List ในการตรวจสอบทรัสต์ของ Certificate Authority ซึ่งไมโครซอฟท์ได้ทำการลบการทรัสต์ DigiNotar root certificate จาก Microsoft Certificate Trust List เรียบร้อยแล้ว

สำหรับ Windows XP และ Windows Server 2003 ปัจจุบันยังไม่มีอัพเดทหรือฮอตฟิกซ์สำหรับแก้ปัญหานี้ โดย Jonathan Ness ซึ่งเป็น MSRC Engineering ได้เปิดเผยผ่านทางบล็อก Security Research & Defense ว่าไมโครซอฟท์กำลังเร่งพัฒนาอัพเดทสำหรับใช้แก้ปัญหาเซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar บน Windows XP และ Windows Server 2003 โดยเมื่อการพัฒนาแล้วเสร็จจะประกาศให้ผู้อีกครั้ง

ทั้งนี้ ในระหว่างรอการพัฒนาอัพเดทแล้วเสร็จผู้ใช้ Windows XP และ Windows Server 2003 สามารถทำการลบทรัสต์เซอร์ติฟิเคทปลอมด้วยตนเองตามขั้นตอนดังนี้

ขั้นตอนที่ 1: ทำการลบ DigiNotar Root จาก trusted root CA store
  • คลิก Start คลิก Run พิมพ์ mmc แล้วกด ENTER
  • บนเมนู File ให้คลิก Add/Remove Snap-in
  • จากนั้นคลิกเลือก Certificates แล้วคลิก Add
  • ในหน้า This snap-in will always manage certificates for ให้คลิก Computer account แล้ว Next
  • คลิก Local computer แล้วคลิก Finish เสร็จแล้วคลิก OK
  • ในคอลัมน์ Console tree ให้ดับเบิลคลิก Certificates
  • ดับเบิลคลิก Trusted Root Certification Authorities store แล้วคลิกบน Certificates เพื่อดู certificates ทั้งหมด
  • ให้เลือก DigiNotar Root CA certificates 2 ตัว คือ “c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c” และ “‎43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3”
  • จากนั้นทำการลบ DigiNotar Root CA certificates 2 ตัวโดยการคลิกไอคอนกากบาทสีแดงบนลูลบาร์ แล้วคลิก Yes ในหน้า Certificates เพื่อยืนยันการลบ

สำหรับวิธีการลบจากคอมมานด์ไลน์ทำได้โดยใช้คำสั่ง certutil.exe (ดาวน์โหลดได้จาก Windows Server 2003 AdminPak):
  • certutil -delstore authroot “c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c”
  • certutil -delstore authroot “‎43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3”
ขั้นตอนที่ 2: ทำการเคลียร์แคชเพื่อลบแคช CTL เก่า
  • ทำการรัน "certutil –urlcache * delete" จากคอมมานด์พรอมท์

Windows ที่ได้รับผลกระทบ
Windows เวอร์ชันที่ได้รับผลกระทบจากเซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar มีดังต่อไปนี้
  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2*
  • Windows Server 2008 for x64-based Systems Service Pack 2*
  • Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1*
  • Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
หมายเหตุ: การติดตั้งแบบ Server Coreจะไม่มีผลกระทบ

บทความโดย: The Windows Administrator Blog

Copyright © 2011 TWA Blog. All Rights Reserved.

0 Comment: