Thursday, March 27, 2014

พบช่องโหว่ความปลอดภัย Zero-Day ใน Word, ไมโครซอฟท์ออก Fix it สำหรับป้องกันชั่วคราว

8 เมษายน 2557: ไมโครซอฟท์ออกอัปเดท MS14-017 ปิดช่องโหว่ Zero-Day ใน Word แล้ว (อ่านรายละเอียด)

ไมโครซอฟท์เตือนผู้ใช้โปรแกรม Microsoft Word ให้ระวังการโจมตีจากมัลแวร์และแฮกเกอร์ เนื่องจากมีรายงานการโจมตี (ในวงจำกัด) ผู้ใช้ Word 2010 ผ่านทางช่องโหว่ความปลอดภัยที่ยังไม่มีแพตช์แก้ไข (Zero-Day) โดยมีเพียงเครื่องมือ Fix it ที่ไมโครซอฟท์ออกเพื่อใช้ป้องกันการโจมตีชั่วคราวเท่านั้น

พบช่องโหว่ความปลอดภัย Zero-Day ใน Microsoft Word
ไมโครซอฟท์ประกาศว่ากำลังตรวจสอบช่องโหว่ความปลอดภัย Word RTF Memory Corruption Vulnerability (CVE-2014-1761) ในโปรแกรม Microsoft Word ซึ่งเกิดจากความผิดพลาดในการจัดการไฟล์ RTF ทำให้เกิดหน่วยความจำเสียและเกิดช่องโหว่ที่สามารถใช้ทำการรันโปรแกรมเพื่อโจมตีระบบจากระยะไกล (Remote Code Execution) ได้ โดยช่องโหว่ความปลอดภัยดังกล่าวนี้มีผลกระทบกับโปรแกรม Word ตั้งแต่เวอร์ชัน 2003 ถึงเวอร์ชัน 2013 รวมถึง 2013 RT, Word Viewer และ Office for Mac 2011 และโปรแกรม Outlook ตั้งแต่เวอร์ชัน 2007 ถึง 2013

สำหรับการแก้ปัญหาถาวรนั้น ไมโครซอฟท์ได้ร่วมกับบริษัทที่เป็นหุ้นส่วนโปรแกรม Microsoft Active Protections Program (MAPP) พัฒนาแพตช์สำหรับปิดช่องโหว่ความปลอดภัยนี้ แต่ยังไม่มีกำหนดว่าจะออกแพตช์เมื่อไหร่โดยจะทำการประกาศให้ทราบอีกครั้งเมื่อการพัฒนาแพตช์เสร็จเรียบร้อยแล้ว ในกรณีทีจำเป็นอาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-band) ในกรณีร้ายแรง หรือแบบอื่น ๆ ตามความเหมาะสม

หมายเหตุ: โปรแกรม WordPad ไม่ได้รับผลกระทบ

Fix it สำหรับป้องกันการโจมตี Microsoft Word
Fix it เป็นเครื่องมือแบบ one-click ที่ทำงานแบบอัตโนมัติ โดยผู้ใช้เพียงแค่รัน Fix it แล้วดำเนินการตามคำสั่งบนจอจนแล้วเสร็จ Fix it ก็จะทำการป้องกันไม่ให้ช่องโหว่ถูกใช้ในการรันโค้ดอันตรายในทันทีโดยไม่ต้องรีสตาร์ทเครื่องคอมพิวเตอร์ โดยผู้ใช้ Word สามารถดาวน์โหลด Fix it 51010 ได้ที่เว็บไซต์ Microsoft Knowledge Base Article 2953095 โดย Fix it ตัวนี้จะทำการ Disable opening RTF content in Microsoft Word ซึ่งจะเป็นการปิดไม่ให้ Word เปิดไฟล์ RTF เพื่อป้องกันการโจมตีจากมัลแวร์และแฮกเกอร์

วิธีการลดผลกระทบ
วิธีการลดผลกระทบจากปัญหาช่องโหว่ความปลอดภัยใน Word
  • ในกรณีที่การโจมตีประสบความสำเร็จผู้โจมตีจะได้รับสิทธิ์ในระดับเดียว กับผู้ใช้ที่กำลังล็อกออนเข้าระบบ ดังนั้นการใช้งานด้วยผู้ใช้ที่มีสิทธิ์น้อยกว่า อย่างเช่น ผู้ใช้มาตรฐาน (Standard user) จะมีผลกระทบน้อยกว่าการใช้งานด้วยผู้ใช้ที่มีระดับสิทธิ์สูง อย่างเช่น ผู้ดูแลระบบ (Administrator)
  • ในการโจมตีระบบแบบ web-based ผู้โจมตีจะใช้วิธีการโน้มน้าวให้ผู้ใช้เข้าไปยังเว็บไซต์ที่มีไฟล์ RTF ที่มีมัลแวร์แฝงอยู่ โดยการส่งลิงก์มาทางอีเมลหรือทางข้อความด่วน สำหรับโฮสต์ของเว็บไซต์ที่ใช้ในการโจมตีช่องโหว่นั้น อาจเป็นเว็บไซต์ที่ผู้โจมตีเป็นเจ้าของเองหรือใช้เว็บไซต์ที่มีช่องโหว่ความปลอดภัยหรือเว็บไซต์ที่รับผลประโยชน์จากผู้โจมตี
  • ผู้ใช้ Windows ทำการเปิดใช้งาน Firewall, ติดตั้งอัพเดทระบบตัวล่าสุด และติดตั้งโปรแกรมป้องกันไวรัสและสปายแวร์และอัพเดทฐานข้อมูลไวรัสให้เป็น ปัจจุบันเพื่อลดความเสี่ยงจากการถูกโจมตี

ความเห็นผู้เขียน
เนื่องจากยังไม่มีแพตช์สำหรับแก้ไข ดังนั้นแนะนำให้ผู้ใช้ Word เวอร์ชันที่ได้รับผลกระทบทำการติดตั้ง Fix it 51010 ในทันที

แหล่งข้อมูลอ้างอิง
Microsoft Security Advisory (2953095)

Copyright © 2014 TWA Blog. All Rights Reserved.

0 Comment: