สืบเนื่องจากการพบช่องโหว่ความปลอดภัยใน Remote Desktop Protocol (RDP) ที่ใช้งานอยู่ใน Windows หลายเวอร์ชันรวมทั้ง Windows 7 และ Windows 7 with SP1 ซึ่งไมโครซอฟท์ได้ออกอัปเดทหมายเลข "MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution (2671387)" เพื่อแก้ไขปัญหาดังกล่าวนี้แล้วในการออกอัปเดทความปลอดภัยของเดือนมีนาคมเมื่อวันที่ 13 ที่ผ่านมานั้น แต่ล่าสุดไมโครซอฟท์ได้ออกมาเตือนให้ผู้ใช้ที่ยังไม่ได้ติดตั้งอัปเดทหมายเลข MS12-020 ให้ทำการติดตั้งเป็นกรณีเร่งด่วน เพราะปัจจุบันมีรายงานว่าพบการเผยแพร่โค้ดสำหรับใช้โจมตี (Proof-of-Concept หรือ PoC) ช่องโหว่ RDP บนอินเทอร์เน็ตแล้ว
ไมโครซอฟท์แจ้งเรื่องนี้ผ่านทางบล็อก MSRC ซึ่งระบุว่าได้รับรายงานว่ามีโค้ดสำหรับใช้โจมตีช่องโหว่ความปลอดภัยใน RDP ที่ทำให้เกิด Denial of Service บนอินเทอร์เน็ตแล้ว แต่ยังไม่มีรายงานว่ามีโค้ดสำหรับใช้โจมตีแบบ Remote Code Execution โดยรายละเอียดของโค้ดสำหรับใช้โจมตีนั้นถูกเปิดเผยเฉพาะหุ้นส่วนที่เป็น Microsoft Active Protections Program (MAPP) เท่านั้น นอกจากนี้เว็บ Threatpost ซึ่งเป็นเว็บไซต์เผยแพร่ข่าวด้านความปลอดภับของ Kaspersky ได้รายงานว่าตรวจพบโค้ดสำหรับใช้โจมตีช่องโหว่ความปลอดภัยใน RDP ให้ดาวน์โหลดบนเว็บไซต์จีนบางเว็บแล้ว
ปัญหาช่องโหว่ความปลอดภัยที่พบใน RDP ครั้งนี้เกิดจากความผิดพลาดในการประมวลผลข้อมูลในหน่วยความจำที่ทำให้ผู้โจมตีสามารถส่งข้อมูลที่แฝงโค้ดอันตรายเพื่อทำให้เกิดช่องโหว่ที่สามารถเข้าควบคุมระบบได้ โดยปัญหาช่องโหว่ที่พบใน RDP ครั้งนี้ถูกจัดให้มีความร้ายแรงวิกฤตและมี 2 ปัญหาด้วยกัน คือ KB2621440 และ KB2667402 ดังนี้
- KB2621440 เป็นช่องโหว่ที่เกิดในไฟล์ Rdpwd.sys สามารถใช้โจมตีระบบแบบรีโมทเพื่อเข้าควบคุมเครื่องได้ ช่องโหว่นี้มีผลกระทบกับ Windows ทุกเวอร์ชัน
- KB2667402 เป็นช่องโหว่ที่เกิดในไฟล์ Rdpcorekmts.dll และ Rdpwsx.dll สามารถใช้โจมตีระบบแบบรีโมทเพื่อระบบให้หยุดการทำงานได้ ช่องโหว่นี้มีผลกระทบเฉพาะ Windows 7 และ Windows Server 2008 R2
สำหรับ RDP นั้นเป็นโปรโตคอลที่ใช้ในบริการ Remote Desktop สำหรับให้ผู้ใช้เข้าถึงระบบ Windows แบบรีโมทผ่านทางเครือข่าย โดยบริการ Remote Desktop นั้นไม่ได้ถูกเปิดใช้งานโดยเริ่มต้น ดังนั้นผู้ใช้ Windows ทั่วไปจึงไม่มีความเสี่ยงต่อการถูกโจมตีผ่านทางช่องโหว่ความปลอดภัยที่พบในครั้งนี้ แต่อย่างไรก็ตามไมโครซอฟท์ได้แนะนำให้ผู้ใช้ Windows ทุกเวอร์ชันทำการติดตั้งอัปเดทหมายเลข MS12-020 เร็วที่สุดเท่าที่ทำได้เพื่อความปลอดภัยถ้ามีการเปิดใช้งาน Remote Desktop ในอนาคต
ทั้งนี้ ไมโครซอฟท์ได้ระบุก่อนหน้านี้ว่าจะมีการพัฒนาโค้ดสำหรับโจมตีช่องโหว่ RPD ภานใน 30 วันและเตือนให้ผู้ใช้ Windows ทำการติดตั้งอัปเดท MS12-020 ในทันที สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เว็บไซต์ CVE-2012-0002: A closer look at MS12-020's critical issue
วิธีการป้องกันการถูกโจมตี
ผู้ใช้ Windows สามารถป้องกันการถูกโจมตีผ่านทางช่องโหว่ RDP ได้โดยทำการติดตั้งอัปเดทหมายเลข MS12-020 ซึ่งสามารถทำการติดตั้งอัพเดทโดยใช้ one-click Fix It หรือจากเว็บไซต์ Microsoft Update หรือจากเซิร์ฟเวอร์ WSUS หรือดาวน์โหลดอัปเดทมาทำการติดตั้งด้วยตนเองจากเว็บไซต์ดังนี้
KB2621440
- Windows XP with SP3 WindowsXP-KB2621440-x86-ENU.exe
- Windows 7 32-bit และ Windows 7 with SP1 32-bit Windows6.1-KB2621440-x86.msu
- Windows 7 64-bit และ Windows 7 with SP1 64-bit Windows6.1-KB2621440-x64.msu
KB2667402
- Windows 7 32-bit และ Windows 7 with SP1 32-bit Windows6.1-KB2667402-x86.msu
- Windows 7 64-bit และ Windows 7 with SP1 64-bit Windows6.1-KB2667402-x64.msu
สำหรับผู้ใช้ Windows เวอร์ชันอื่นๆ นอกจากที่ปรากฏด้านบนสามารถดูรายละเอียดการดาวน์โหลดได้ที่ MS12-020
สำหรับ Windows เวอร์ชันที่ได้รับผลกระทบมีดังนี้
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
- Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Windows Server 2008 R2 Server Core installation affected)
- Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Windows Server 2008 R2 Server Core installation affected)
- Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems
บทความโดย: Thai Windows Administrator Blog
แหล่งข้อมูลอ้างอิง
Copyright © 2012 TWA Blog. All Rights Reserved.
No comments:
Post a Comment
เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML