Pages - Menu

Pages - Menu

Pages

Thursday, November 28, 2013

พบช่องโหว่ Zero-Day ใน Windows XP และ Windows Server 2003 - ไมโครซอฟท์ออกแพตช์สำหรับปิดช่องโหว่วันที่ 14 มกราคม 2557

10 มกราคม 2557: ไมโครซอฟท์จะออกแพตช์เพื่อปิดช่องโหว่ Microsoft Windows Kernel บน Windows XP และ Windows Server 2003 ในการออกอัปเดทความปลอดภัยเดือนมกราคม 2557 ซึ่งจะออกในวันอังคารที่ 14 นี้ อ่านรายละเอียด

[เนื้อหาต้นฉบับ]
ไมโครซอฟท์ประกาศว่ากำลังตรวจสอบช่องโหว่ความปลอดภัย Zero-Day ใน Kernel ของ Windows XP และ Windows Server 2003 ที่ใช้ทำการยกระดับสิทธิ์ (Elevation of Privilege หรือ EoP) ได้ โดยปัจจุบันมีรายงานการโจมตีผู้ใช้เกิดขึ้น (ในวงจำกัด) แล้ว และที่สำคัญคือ ยังไม่มีแพตช์สำหรับแก้ไข


สำหรับปัญหาความปลอดภัยที่พบในครั้งนี้เกิดจากความผิดพลาดในการตรวจสอบข้อมูลอินพุทของ Kernel (ไฟล์ NDProxy.sys) ของ Windows XP และ Windows Server 2003 ทำให้เกิดช่องโหว่ที่สามารถใช้โจมตีระบบเพื่อทำการยกระดับสิทธิ์ได้ ในกรณีที่การโจมตีประสบความสำเร็จผู้โจมตีจะสามารถทำงานต่างๆ อย่างเช่น รันโปรแกรมใน kernel mode, ติดตั้งโปรแกรม, เปิดดู แก้ไข หรือลบข้อมูล หรือสร้างบัญชีผู้ใช้ใหม่ด้วยสิทธิ์ระดับผู้ดูแลระบบ ได้

ปัจจุบันไมโครซอฟท์ได้ร่วมมือกับบริษัทที่เป็นหุ้นส่วนโปรแกรม Microsoft Active Protections Program (MAPP) พัฒนาแพตช์สำหรับปิดช่องโหว่ความปลอดภัยนี้แต่ยังไม่ได้กำหนดวันออกแพตช์โดยจะทำการประกาศให้ทราบอีกครั้งเมื่อการพัฒนาแพตช์เสร็จเรียบร้อยแล้ว

รายชื่อไฟล์ PDF ที่ใช้โจมตี Windows XP [อัปเดท 1 ธันวาคม 2556]
ไซแมนแทครายงานว่ามีการโจมตีผู้ใช้ Windows XP และ Windows Server 2003 โดยการส่งไฟล์เอกสาร PDF ชื่อ syria15.10.pdf หรือ Note_№107-41D.pdf ให้เหยื่อผ่านทางอีเมลหรือโน้มน้าวให้เหยื่อทำการดาวน์โหลดไฟล์ดังกล่าวนี้จากอินเทอร์เน็ต ซึ่งโปรแกรมแอนตี้ไวรัสของไซแมนแทคจะตรวจจับมัลแวร์นี้ในชื่อ Trojan.Wipbot, Trojan.Pidief หรือ Suspicious.Cloud.7.F โดยปัจจุบันรายงานว่าพบไฟล์ (มัลแวร์) นี้ (จำนวนไม่มาก) ในหลายประเทศ อย่างเช่น อินเดีย, ออสเตรเลีย, สหรัฐอเมริกา, เยอรมัน และ นอร์เวย์ เป็นต้น

ข้อมูลอ้างอิงช่องโหว่ความปลอดภัย
  • CVE Reference: CVE-2013-5065
  • General Information: NDPROXY Overview

วิธีการลดผลกระทบจากปัญหาช่องโหว่ความปลอดภัย
เนื่องจากช่องโหว่ที่พบใน kernel ของ Windows XP และ Windows Server 2003 ในครั้งนี้ไม่สามารถใช้ทำการโจมตีจากระยะไกลได้ โดยการโจมตีจะต้องทำแบบโลคอลเท่านั้น คือ ผู้โจมตีจะต้องทำการล็อกอินเข้าเครื่องคอมพิวเตอร์จากหน้าเครื่องและจะต้องมีบัญชีสำหรับใช้ทำการล็อกอินเข้าเครื่องด้วย ดังนั้นควรตรวจสอบบัญชีผู้ใช้บนเครื่องและทำการปิด (Disable) บัญชีที่ต้องสงสัยและควรทำการเฝ้าระวังการเข้าใช้งานเครื่องจากผู้ต้องสงสัยด้วย

นอกจากนี้ ไมโครซอฟท์ได้แนะนำให้ทำการลบไฟล์ NDProxy.sys แล้วเราต์บริการ NDProxy ไปยังไฟล์ Null.sys โดยการรันคำสั่งที่คอมมานด์พรอมท์ดังนี้ (ต้องเริ่มต้นระบบใหม่เพื่อให้มีผลการทำงาน)

sc stop ndproxy
reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\null.sys /f

ระบบที่ได้รับผลกระทบ
  • Windows XP SP3
  • Windows XP Professional x64 SP2
  • Windows Server 2003 SP2
  • Windows Server 2003 x64 SP2
  • Windows Server 2003 with SP2 for Itanium-based Systems

แหล่งข้อมูลอ้างอิง
Microsoft Security Advisory (2914486)
TechNet Blogs: MSRC
Symantec

Copyright © 2013 TWA Blog. All Rights Reserved.

No comments:

Post a Comment

เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML