11 กรกฎาคม 2555: ไมโครซอฟท์ออกอัปเดท MS12-043 เพื่อแก้ช่องโหว่ความปลอดภัยใน XML Core Services แล้ว อ่านรายละเอียด
22 มิ.ย. 55: เว็บไซต์ Sophos* รายงานว่ามีการโจมตีผู้ใช้ Windows ผ่านช่องโหว่ความปลอดภัย XML Core Services แล้ว และยังพบช่องโหว่ในเว็บไซต์บริษัททางการแพทย์ในทวีปยุโรปอีกด้วย โดยเบื้องต้นพบไฟล์ที่ใช้ในการโจมตี 4 ไฟล์ด้วยกันได้แก่ deploy.html, faq.htm, deployJava.js และ movie.swf
ไมโครซอฟท์ออกประกาศเตือนผู้ใช้ Windows ให้ระวังการโจมตีผ่านช่องโหว่ความปลอดภัยใน XML Core Services 3.0, 4.0, 5.0, และ 6.0 ซึ่งมีผลกระทบกับ Windows ทุกเวอร์ชันทั้งเวอร์ชันสำหรับเดสก์ท็อปและเซิร์ฟเวอร์ ที่สำคัญมีรายงานการโจมตีผู้ใช้เกิดขึ้นแล้ว โดยไมโครซอฟท์แนะนำให้ผู้ใช้ Windows ทำการรัน Fix it 50897 เพื่อป้องกันการถูกโจมตีในระหว่างรอแพตช์สำหรับแก้ไข
สำหรับช่องโหว่ความปลอดภัยใน XML Core Services ที่พบในครั้งนี้มีหมายเลขอ้างอิง CVE-2012-1889 และเป็นช่องโหว่แบบ Zero-Day สามารถใช้ทำการโจมตีระบบจากระยะไกล (Remote Code Execution) ได้โดยการหลอกให้ผู้ใช้ทำการเปิดเว็บไซต์ที่มีการฝังโค้ดอันตรายด้วยโปรแกรม Internet Explorer อย่างไรก็ตามเนื่องจากในการโจมตีระบบแบบเว็บเบส (Web-based) นั้น ผู้โจมตีไม่สามารถบังคับให้ผู้ใช้เปิดเว็บไซต์ที่ต้องการได้ ดังนั้น ผู้โจมตีจะทำการส่งที่อยู่ของเว็บไซต์ไปทางอีเมลหรือข้อความด่วน (Instant Messenger) แล้วใช้วิธีการโน้มน้าวให้ผู้ใช้คลิกที่อยู่ของเว็บไซต์ดังกล่าว ถ้าหากผู้ใช้หลงเชื่อและทำการเปิดเว็บไซต์จะทำให้ถูกโจมตีในทันที
ปัจจุบันไมโครซอฟท์ได้ร่วมกับบริษัทที่เป็นหุ้นส่วนในโปรแกรม Microsoft Active Protections Program (MAPP) เพื่อพัฒนาแพตช์ (Patch) สำหรับปิดช่องโหว่ความปลอดภัย หลังทำการพัฒนาเสร็จเรียบร้อยไมโครซอฟท์จะทำการประกาศให้ทราบอีกครั้ง ในกรณีทีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัปเดทรายเดือน หรือออกเป็นอัปเดทกรณีพิเศษ (Out-of-band) ในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า
Mitigating Factors
วิธีการลดผลกระทบจากปัญหาช่องโหว่ความปลอดภัยใน XML Core Services
- ในการโจมตีระบบแบบเว็บเบสนั้นผู้โจมตีจะโน้มน้าวให้ผู้ใช้เข้าไปยังเว็บไซต์ที่มีการฝังโค้ดอันตรายสำหรับ ใช้ในการโจมตีช่องโหว่โดยการส่งลิงก์มาทางอีเมลหรือทางข้อความด่วน สำหรับโฮสต์ของเว็บไซต์ที่มีการฝังโค้ดพิเศษสำหรับใช้ในการโจมตีช่องโหว่นั้น อาจเป็นเว็บไซต์ที่ผู้โจมตีเป็นเจ้าของเองหรือใช้เว็บไซต์ที่มีช่องโหว่ความปลอดภัยหรือเว็บไซต์ที่รับผลประโยชน์จากผู้โจมตี
- โปรแกรม Internet Explorer บน Windows Server 2003 และ Windows Server 2008 และ Windows Server 2008 R2 นั้นจะรันในโหมด Enhanced Security Configuration ตั้งแต่เริ่มต้นซึ่งมีการกำหนดค่าระดับความปลอดภัยโซนอินเทอร์เน็ตเป็น High ทำให้ปลอดถัยจากการโจมตีผ่านช่องโหว่ความปลอดภัยใน XML Core Services
- ในกรณีที่การโจมตีประสบความสำเร็จผู้โจมตีจะได้รับสิทธิ์ในระดับเดียวกับผู้ใช้ที่กำลังล็อกออนเข้าระบบ ดังนั้นการใช้งานด้วยผู้ใช้ที่มีสิทธิ์น้อยกว่า อย่างเช่น ผู้ใช้มาตรฐาน (Standard user) จะมีผลกระทบน้อยกว่าการใช้งานด้วยผู้ใช้ที่มีระดับสิทธิ์สูง อย่างเช่น ผู้ดูแลระบบ (Administrator)
วิธีการป้องกันการโจมตี
ในระหว่างรอแพตช์สำหรับปิดช่องโหว่ความปลอดภัย ไมโครซอฟท์แนะนำให้ผู้ใช้ Windows ทำการรัน Fix it 50897 โดยการเปิดไปที่เว็บไซต์ Microsoft Security Advisory - KB2719615 แล้วคลิกปุ่ม Enable this fix: Fix it (Fix it 50897) จากนั้นคลิก Run ในหน้าไดอะล็อกบ็อกซ์ File Download แล้วดำเนินการตามขั้นตอนบนจอภาพจนแล้วเสร็จ
หมายเหตุ: หากต้องการยกเลิกให้ผู้ใช้ทำการรัน Fix it 50898 โดยคลิกปุ่ม Disable this fix: Fix it (Fix it 50898) จากนั้นคลิก Run ในหน้าไดอะล็อกบ็อกซ์ File Download แล้วดำเนินการตามขั้นตอนบนจอภาพจนแล้วเสร็จ
บทความโดย: Thai Windows Administrator Blog
แหล่งข้อมูลอ้างอิง
Copyright © 2012 TWA Blog. All Rights Reserved.
0 Comment:
Post a Comment