วิธีป้องกันตนเองจากการโจมตีโดยใช้ Certificate ปลอมที่ออกโดย DigiNotar ~ Windows Administrator Blog

Tuesday, September 6, 2011

วิธีป้องกันตนเองจากการโจมตีโดยใช้ Certificate ปลอมที่ออกโดย DigiNotar

By dtp 10:39:00 PM No comments

ในช่วงสัปดาห์ที่ผ่านมา ท่านใดที่ติดตามข่าวด้านความปลอดภัยด้านคอมพิวเตอร์น่าจะทราบถึงข่าวเซอร์ติฟิเคทปลอม (Fraudulent Certificate) ที่ออกโดย DigiNotar โดยเซอร์ติฟิเคทปลอมนี้สามารถใช้โจมตีแบบ SSL man-in-the-middle (MITM) ได้หลายรูป เช่นใช้ในการปลอมเป็นเว็บไซต์บนอินเทอร์เน็ต ซึ่งปัจจุบันมีรานงานว่ามีการปลอมเป็นซับโดเมนของ google.com แล้ว, ใช้โจมตีผ่านทางเครือข่ายแบบโลคอล (ต.ย. Open Wireless Network), ปลอมเป็นผู้ให้บริการเครือข่าย (network infrastructure), ใช้ในการควบคุม DNS server ของ ISP หรือใช้กำหนดค่า DNS server (เถื่อน) ผ่านทาง DHCP เป็นต้น

โดยโปรแกรมที่ได้รับผลกระทบโดยตรงจากเซอร์ติฟิเคทปลอม คือ เว็บเบราเซอร์ซึ่งทั้งโมซิลลาและกูเกิลได้ทำการยกเลิกการทรัสต์เซอร์ติฟิเคทปลอมนี้โดยการออก Firefox 6.0.1 และ Google Chrome 13.0.782.220 ตามลำดับ สำหรับซอฟต์แวร์อีกตัวที่ได้รับผลกระทบ คือ ระบบปฏิบัติการซึ่งไมโครซอฟท์ได้ประกาศว่าพบเซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar อย่างน้อยหนึ่งตัวใน Trusted Root Certification Authorities ใน Windows หลายเวอร์ชัน แต่ไมโครซอฟท์ออกตัวว่าปัญหานี้ไม่ได้เกิดจากความบกพร่องของ Windows สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้จาก Microsoft Security Advisory (2607712): Fraudulent Digital Certificates Could Allow Spoofing

แนวปฏิบัติเพื่อป้องกันตนเองจากการโจมตีโดยใช้เซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar
สำหรับผู้ใช้ระบบปฏิบัติการ Windows Vista, Windows 7, Windows Server 2008 และ Windows Server 2008 R2 จะไม่ได้รับผลกระทบจากปัญหาซอร์ติฟิเคตปลอมที่ออกโดย DigiNotar เนื่องจากระบบปฏิบัติการกลุ่มนี้ใช้ Microsoft Certificate Trust List ในการตรวจสอบทรัสต์ของ Certificate Authority ซึ่งไมโครซอฟท์ได้ทำการลบการทรัสต์ DigiNotar root certificate จาก Microsoft Certificate Trust List เรียบร้อยแล้ว

สำหรับ Windows XP และ Windows Server 2003 ปัจจุบันยังไม่มีอัพเดทหรือฮอตฟิกซ์สำหรับแก้ปัญหานี้ โดย Jonathan Ness ซึ่งเป็น MSRC Engineering ได้เปิดเผยผ่านทางบล็อก Security Research & Defense ว่าไมโครซอฟท์กำลังเร่งพัฒนาอัพเดทสำหรับใช้แก้ปัญหาเซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar บน Windows XP และ Windows Server 2003 โดยเมื่อการพัฒนาแล้วเสร็จจะประกาศให้ผู้อีกครั้ง

ทั้งนี้ ในระหว่างรอการพัฒนาอัพเดทแล้วเสร็จผู้ใช้ Windows XP และ Windows Server 2003 สามารถทำการลบทรัสต์เซอร์ติฟิเคทปลอมด้วยตนเองตามขั้นตอนดังนี้

ขั้นตอนที่ 1: ทำการลบ DigiNotar Root จาก trusted root CA store

คลิก Start คลิก Run พิมพ์ mmc แล้วกด ENTER
บนเมนู File ให้คลิก Add/Remove Snap-in
จากนั้นคลิกเลือก Certificates แล้วคลิก Add
ในหน้า This snap-in will always manage certificates for ให้คลิก Computer account แล้ว Next
คลิก Local computer แล้วคลิก Finish เสร็จแล้วคลิก OK
ในคอลัมน์ Console tree ให้ดับเบิลคลิก Certificates
ดับเบิลคลิก Trusted Root Certification Authorities store แล้วคลิกบน Certificates เพื่อดู certificates ทั้งหมด
ให้เลือก DigiNotar Root CA certificates 2 ตัว คือ “c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c” และ “‎43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3”
จากนั้นทำการลบ DigiNotar Root CA certificates 2 ตัวโดยการคลิกไอคอนกากบาทสีแดงบนลูลบาร์ แล้วคลิก Yes ในหน้า Certificates เพื่อยืนยันการลบ

สำหรับวิธีการลบจากคอมมานด์ไลน์ทำได้โดยใช้คำสั่ง certutil.exe (ดาวน์โหลดได้จาก Windows Server 2003 AdminPak):

certutil -delstore authroot “c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c”
certutil -delstore authroot “‎43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3”

ขั้นตอนที่ 2: ทำการเคลียร์แคชเพื่อลบแคช CTL เก่า

ทำการรัน "certutil –urlcache * delete" จากคอมมานด์พรอมท์

Windows ที่ได้รับผลกระทบ
Windows เวอร์ชันที่ได้รับผลกระทบจากเซอร์ติฟิเคทปลอมที่ออกโดย DigiNotar มีดังต่อไปนี้

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2*
Windows Server 2008 for x64-based Systems Service Pack 2*
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1*
Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Windows 8 มีผู้ใช้ 4.27%, Windows 7 ยังเป็น OS อันดับ 1 (พฤษภาคม 2556)แม้ว่า Windows 8 ซึ่งออกมาครบ 7 เดือนในวันที่ 26 พฤษภาคม 2556 และขายได้แล้วมากกว่า 100 ล้านก็อปปี้ แต่จำนวนผู้ใช้เพิ่มขึ้นค่อนข้างช้าโดยมีจำนวนผู้ใช้เพียง 4.27% เท่านั้นจากการสำรวจของ NetMarketShare ในขณะที่ Windows 7 ที่ ขาย… Read More
ไมโครซอฟท์ปิด 19 ช่องโหว่ความปลอดภัยร้ายแรงใน Internet Explorer ทุกเวอร์ชันไมโครซอฟท์ออกอัพเดท MS13-047 (KB2838727)* เพื่อปิด 19 ช่องโหว่ความปลอดภัยใน Internet Explorer (IE) ที่มีผลกระทบรุนแรงวิกฤตกับ IE6 ถึง IE10 เวอร์ชันสำหรับ Windows ลูกข่าย และมีผลกระทบปานกลางใน IE6 ถึง IE10 เวอร์ชันสำหรับ Windo… Read More
ไมโครซอฟท์เปิดให้ดาวน์โหลด Windows Server 8 Beta และ Microsoft Hyper-V Server 8 Beta5 กันยายน 2555: ไมโครซอฟท์ออก Windows Server 2012 อย่างเป็นทางการและเปิดให้ผู้เชี่ยวชาญด้านไอทีและนักพัฒนาซอฟต์แวร์ ดาวน์โหลด Windows Server 2012 รุ่นทดลองใช้ 180 วันได้แล้ว ไมโครซอฟท์เปิดให้ดาวน์โหลด Windows Server 8 Beta ร… Read More
ไมโครซอฟท์ออกอัปเดท MS12-078 เวอร์ชันใหม่เพื่อแก้บั๊กที่ทำให้ฟอนท์หายสืบเนื่องจากมีข้อผิดพลาดในอัปเดท MS12-078 ที่ทำให้เกิดปัญหาฟอนท์หายบน Windows [อ่านรายละเอียด] ซึ่งทำให้โปรแกรมประยุกต์หลายตัว เช่น Word, PowerPoint, Quark Xpress และ CorelDraw เป็นต้น ไม่สามารถใช้งานฟอนท์แบบ OpenType Font (O… Read More
Windows Store มีแอพมากกว่า 50,000 แอพแล้วWindows Store มีแอพ (Apps) มากกว่า 50,000 แอพเรียบร้อยแล้วเมื่อวันที่ 23 มีนาคม 2556 ที่ผ่านมาโดยมีจำนวนแอพทั้งหมด 50,304 แอพตามข้อมูลจากเว็บไซต์ MetroStore Scanner อย่างไรก็ตามจำนวนนี้เป็นจำนวนไม่เป็นทางการและยังต่ำกว่าเป้าห… Read More