วิธีป้องกันตนเองจากการโจมตีโดยใช้ Certificate ปลอมที่ออกโดย DigiNotar ~ Windows Administrator Blog

Tuesday, September 6, 2011

วิธีป้องกันตนเองจากการโจมตีโดยใช้ Certificate ปลอมที่ออกโดย DigiNotar

By dtp 10:39:00 PM No comments

ในช่วงสัปดาห์ที่ผ่านมา ท่านใดที่ติดตามข่าวด้านความปลอดภัยด้านคอมพิวเตอร์น่าจะทราบถึงข่าวเซอร์ติฟิเคทปลอม (Fraudulent Certificate) ที่ออกโดย DigiNotar โดยเซอร์ติฟิเคทปลอมนี้สามารถใช้โจมตีแบบ SSL man-in-the-middle (MITM) ได้หลายรูป เช่นใช้ในการปลอมเป็นเว็บไซต์บนอินเทอร์เน็ต ซึ่งปัจจุบันมีรานงานว่ามีการปลอมเป็นซับโดเมนของ google.com แล้ว, ใช้โจมตีผ่านทางเครือข่ายแบบโลคอล (ต.ย. Open Wireless Network), ปลอมเป็นผู้ให้บริการเครือข่าย (network infrastructure), ใช้ในการควบคุม DNS server ของ ISP หรือใช้กำหนดค่า DNS server (เถื่อน) ผ่านทาง DHCP เป็นต้น

โดยโปรแกรมที่ได้รับผลกระทบโดยตรงจากเซอร์ติฟิเคทปลอม คือ เว็บเบราเซอร์ซึ่งทั้งโมซิลลาและกูเกิลได้ทำการยกเลิกการทรัสต์เซอร์ติฟิเคทปลอมนี้โดยการออก Firefox 6.0.1 และ Google Chrome 13.0.782.220 ตามลำดับ สำหรับซอฟต์แวร์อีกตัวที่ได้รับผลกระทบ คือ ระบบปฏิบัติการซึ่งไมโครซอฟท์ได้ประกาศว่าพบเซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar อย่างน้อยหนึ่งตัวใน Trusted Root Certification Authorities ใน Windows หลายเวอร์ชัน แต่ไมโครซอฟท์ออกตัวว่าปัญหานี้ไม่ได้เกิดจากความบกพร่องของ Windows สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้จาก Microsoft Security Advisory (2607712): Fraudulent Digital Certificates Could Allow Spoofing

แนวปฏิบัติเพื่อป้องกันตนเองจากการโจมตีโดยใช้เซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar
สำหรับผู้ใช้ระบบปฏิบัติการ Windows Vista, Windows 7, Windows Server 2008 และ Windows Server 2008 R2 จะไม่ได้รับผลกระทบจากปัญหาซอร์ติฟิเคตปลอมที่ออกโดย DigiNotar เนื่องจากระบบปฏิบัติการกลุ่มนี้ใช้ Microsoft Certificate Trust List ในการตรวจสอบทรัสต์ของ Certificate Authority ซึ่งไมโครซอฟท์ได้ทำการลบการทรัสต์ DigiNotar root certificate จาก Microsoft Certificate Trust List เรียบร้อยแล้ว

สำหรับ Windows XP และ Windows Server 2003 ปัจจุบันยังไม่มีอัพเดทหรือฮอตฟิกซ์สำหรับแก้ปัญหานี้ โดย Jonathan Ness ซึ่งเป็น MSRC Engineering ได้เปิดเผยผ่านทางบล็อก Security Research & Defense ว่าไมโครซอฟท์กำลังเร่งพัฒนาอัพเดทสำหรับใช้แก้ปัญหาเซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar บน Windows XP และ Windows Server 2003 โดยเมื่อการพัฒนาแล้วเสร็จจะประกาศให้ผู้อีกครั้ง

ทั้งนี้ ในระหว่างรอการพัฒนาอัพเดทแล้วเสร็จผู้ใช้ Windows XP และ Windows Server 2003 สามารถทำการลบทรัสต์เซอร์ติฟิเคทปลอมด้วยตนเองตามขั้นตอนดังนี้

ขั้นตอนที่ 1: ทำการลบ DigiNotar Root จาก trusted root CA store

คลิก Start คลิก Run พิมพ์ mmc แล้วกด ENTER
บนเมนู File ให้คลิก Add/Remove Snap-in
จากนั้นคลิกเลือก Certificates แล้วคลิก Add
ในหน้า This snap-in will always manage certificates for ให้คลิก Computer account แล้ว Next
คลิก Local computer แล้วคลิก Finish เสร็จแล้วคลิก OK
ในคอลัมน์ Console tree ให้ดับเบิลคลิก Certificates
ดับเบิลคลิก Trusted Root Certification Authorities store แล้วคลิกบน Certificates เพื่อดู certificates ทั้งหมด
ให้เลือก DigiNotar Root CA certificates 2 ตัว คือ “c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c” และ “‎43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3”
จากนั้นทำการลบ DigiNotar Root CA certificates 2 ตัวโดยการคลิกไอคอนกากบาทสีแดงบนลูลบาร์ แล้วคลิก Yes ในหน้า Certificates เพื่อยืนยันการลบ

สำหรับวิธีการลบจากคอมมานด์ไลน์ทำได้โดยใช้คำสั่ง certutil.exe (ดาวน์โหลดได้จาก Windows Server 2003 AdminPak):

certutil -delstore authroot “c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c”
certutil -delstore authroot “‎43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3”

ขั้นตอนที่ 2: ทำการเคลียร์แคชเพื่อลบแคช CTL เก่า

ทำการรัน "certutil –urlcache * delete" จากคอมมานด์พรอมท์

Windows ที่ได้รับผลกระทบ
Windows เวอร์ชันที่ได้รับผลกระทบจากเซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar มีดังต่อไปนี้

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2*
Windows Server 2008 for x64-based Systems Service Pack 2*
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1*
Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Adobe Releases Security Advisory for Adobe Reader and Acrobat 9.4 and Flash Player 10.1.85.3Adobe เตือนให้ระวังการโจมตีผ่านช่องโหว่ความปลอดภัยของ Adobe Reader และ Acrobat 9.4 และ Flash Player 10.1.85.3 วันที่ 29 ตุลาคม 2553 (ตามเวลาในประเทศไทย) ที่ผ่านมา Adobe ได้ประกาศ Security Advisory for Adobe Reader and Acrob… Read More
New Critical Vulnerability Affecting Internet Explorer 6, 7 and 8พบปัญหาความปลอดภัยร้ายแรงใน Internet Explorer 6, 7 และ 8 สามารถใช้โจมตีระบบจากระยะไกลได้ ไมโครซอฟท์ได้ประกาศเตือนให้ผู้ใช้ Internet Explorer 6, 7 และ 8 ระวังการถูกโจมตีระบบ เนื่องจากมีการพบช่องโหว่ความปลอดภัยตัวใหม่ที่สามารถ… Read More
Adobe to fix critical Reader vulnerability on October 4, 2010Adobe เตรียมออกอัปเดทเพื่อแก้ปัญหาช่องโหว่ความปลอดภัยแบบ Zero-day ใน Reader ในวันที่ 4 ต.ค. 53 Adobe เตรียมออกอัปเดทเพื่อแก้ปัญหาช่องโหว่ความปลอดภัยร้ายแรงระดับวิกฤติในโปรแกรม Adobe Reader 9.3.4 และเก่ากว่าเวอร์ชันสำหรับระบบ… Read More
Prevents the recursive loading of CSS style sheets in Internet Explorer (Microsoft Fix It 50591)Microsoft ออก Fix it 50591 เพื่อป้องกันผู้ใช้จากการโจมตีผ่านทางช่องโหว่ความปลอดภัย Zero-day ใน Internet Explorer 7 และ 8 สืบเนื่องจากไมโครซอฟท์ได้เตือนผู้ใช้ให้ระวังการโจมตีระบบผ่านทางช่องโหว่ความปลอดภัยแบบ Zero-Day ใน Inter… Read More
Microsoft Fix it for Zero-Day Vulnerability in Internet Explorer 6 and Internet Explorer 7Microsoft ออก Fix it เพื่อป้องกันผู้ใช้จากการโจมตีผ่านทางช่องโหว่ความปลอดภัย Zero-Day ใน Internet Explorer 6 and Internet Explorer 7 สืบเนื่องจากไมโครซอฟท์ได้เตือนผู้ใช้ให้ระวังการโจมตีระบบผ่านทางช่องโหว่ความปลอดภัยแบบ Zero-… Read More