ไมโครซอฟท์เตือนให้ระวังการโจมตี Windows ~ Windows Administrator Blog

ไมโครซอฟท์เตือนให้ระวังการโจมตี Windows
เมื่อวันที่ 9 ตุลาคม 2551 ที่ผ่านมา ไมโครซอฟท์ได้ออก Microsoft Security Advisory หมายเลข 951306 (Microsoft Security Advisory 951306 ) เพื่อแจ้งเตือนผู้ที่ใช้ระบบปฏิบัติการ Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3, และทุกเอดิชันของ Windows Server 2003, Windows Vista และ Windows Server 2008 ซึ่งและติดตั้ง Internet Information Services (IIS) หรือ SQL Server ที่อนุญาตให้ยูสเซอร์สามารถรันโค้ดใน authenticated context ได้ ให้ระวังการโจมตีจากแฮกเกอร์ เนื่องจากแฮกเกอร์อาจใช้ช่องโหว่ดังกล่าวเป็นช่องทางการโจมตีแบบ elevation of privilege ซึ่งสามารถยกระดับสิทธิ์จาก authenticated user ไปเป็น LocalSystem ซึ่งทำให้สามารถควบคุมระบบได้อย่างเต็มรูปแบบได้ในกรณีที่การโจมตีประสบผลสำเร็จ

สำหรับเหตุผลที่ทางไมโครซอฟท์ได้ประกาศเตือนผู้ใช้ในครั้งนี้ เนื่องจากมีรายงานว่ามีการเผยแพร่โค้ดสำหรับการโจมตีระบบด้วยช่องโหว่ดังที่กล่าวมาบนอินเทอร์เน็ตแล้ว อย่างไรก็ตาม ในขณะนี้ ไมโครซอฟท์ยังไม่ได้รับรายงานถึงการพยายามโจมตีระบบของแฮกเกอร์โดยใช่ช่องโหว่นี้ อย่างไรก็ตาม ไมโครซอฟท์จะทำการตรวจสอบให้แล้วเสร็จ และจะดำเนินการอย่างใดอย่างหนึ่งตามความเหมาะสมเพื่อปกป้องลูกค้าของ ไมโครซอฟท์ ซึ่งอาจจะออกซอฟต์แวร์สำหรับอัพเดทในรูปแบบของเซอร์วิสแพ็ค หรืออัพเดทรายเดือน หรืออื่นๆ ตามความเหมาะสม สำหรับรายละเอียดและคำแนะนำเพิ่มเติมสามารถอ่านได้จากเว็บไซต์ http://www.microsoft.com/technet/security/advisory/951306.mspx

วิธีการป้องกันการโจมตี
สำหรับวิธีการป้องกันการโจมตี สำหรับผู้ที่ใช้ระบบปฏิบัติการที่ได้รับผลกระทบนั้น ทางไมโครซอฟท์แนะนำให้ดำเนินการดังนี้

สำหรับผู้ที่ใช้ IIS 6.0
ในกรณี่ที่ใช้ IIS 6.0 ให้ทำการคอนฟิก Worker Process Identity (WPI) สำหรับ application pool ใน IIS ให้ใช้ created account โดยใช้ IIS Manager และทำการ disable Disabling the Distributed Transaction Coordinator (MSDTC ) โดยให้ดำเนินการตามขั้นตอนดังนี้

1. ใน IIS Manager ให้ขยาย local computer ขยาย Application Pools คลิกขวาที่ application pool แล้วเลือก Properties.
2. คลิกแท็บ Identity แล้วคลิก Configurable ในช่อง User name และ Password พิมพ์ user name และ password ของ account ที่ต้องการให้ใช้ในการทำงานของ worker process
3. เพิ่ม user account ที่เลือกเข้ากลุ่ม IIS_WPG

ทำการ disable Distributed Transaction Coordinator (MSDTC ) โดยให้ดำเนินการตามขั้นตอนดังนี้
1. คลิก Start จากนั้นคลิก Control Panel หรือไปที่ Settings แล้วคลิก Control Panel
2. ดับเบิลคลิก Administrative Tools หรือคลิก Switch to Classic View จากนั้นดับเบิลคลิก Administrative Tools
3. ดับเบิลคลิก Services
4. ดับเบิลคลิก Distributed Transaction Coordinator
5. ในลิสต์ Startup type ให้คลิก Disabled
6. คลิก Stop (if started) จากนั้นคลิก OK

นอกจากนี้ สามารถทำการหยุดการทำงานของ Distributed Transaction Coordinator โดยการรันคำสั่งที่คอมมานด์พร็อมท์ ดังนี้
sc stop MSDTC & sc config MSDTC start= disabled

สำหรับผู้ที่ใช้ IIS 7.0
ในกรณีที่ใช้ IIS 7.0 ให้ทำการกำหนด WPI ให้กับ application pool ด้วยวิธีการใดวิธีการหนึ่ง ดังนี้

วิธีที่ 1 กำหนด WPI ให้กับ application pool โดยใช้ IIS Manager
1. ใน IIS Manager ให้ขยาย server node คลิก Application Pools คลิกขวาที่ application pool จากนั้นคลิก Advanced Settings…
2. ให้หาหัวข้อ Identity แล้วคลิกปุ่ม … เพื่อเปิดไดอะล็อกบ็อกซ์ Application Pool Identity
3. เลือกอ็อปชัน Custom account แล้วคลิก Set เพื่อเปิดไดอะล็อกบ็อกซ์ Set Credentials จากนั้นพิมพ์ Account name และ Password ที่ต้องการให้ใช้ในการทำงานของ worker process ในช่อง user name และ password ตามลำดับ ทำการพิมพ์ Password ในช่อง Confirm password เสร็จแล้วคลิก OK

หมายเหตุ: Application pool identities จะถูกเพิ่มเข้าในกลุ่ม IIS_WPG ใน IIS7 แบบไดนามิค โดยไม่จำเป็นต้องทำการเพิ่มเอง

วิธีที่ 2 กำหนด WPI สำหรับ application pool โดยใช้ยูทิลิตี้แบบคอมมานด์ไลน์ APPCMD.exe
1. ในหน้าต่างคอมมานด์พร็อมท์ ให้เปลี่ยนไปทำงานที่ไดเรกตอรี %systemroot%\system32\inetsrv
2. ทำการรันคำสั่ง APPCMD.exe โดยใช้ซินเท็กซ์ด้านล่าง โดยที่ string คือชื่อของ application pool, Username string คือ user name ของ account ที่กำหนดให้ application pool และ Password string คือพาสเวิร์ดของ account
appcmd set config /section:applicationPools /
[name='string'].processModel.identityType:SpecificUser /
[name='string'].processModel.userName:string /
[name='string'].processModel.password:string

หมายเหตุ: Application pool identities จะถูกเพิ่มเข้าในกลุ่ม IIS_WPG ใน IIS7 แบบไดนามิค โดยไม่จำเป็นต้องทำการเพิ่มเอง

ระบบปฏิบัติการที่ได้รับผลกระทบ
• Windows XP Professional Service Pack 2 and Windows XP Professional Service Pack 3
• Windows Server 2003 Service Pack 1 and Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition and Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP1 for Itanium-based Systems and Windows Server 2003 with SP2 for Itanium based Systems
• Windows Vista and Windows Vista Service Pack 1
• Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
• Windows Server 2008 for 32-bit Systems
• Windows Server 2008 for x64-based Systems
• Windows Server 2008 for Itanium-based Systems

ลิงค์ที่เกี่ยวข้อง
• Microsoft Security Advisory (951306): Vulnerability in Windows Could Allow Elevation of Privilege

Vulnerability in Windows Could Allow Elevation of Privilege KB951306
© 2008 Thai Windows Administrator, All Rights Reserved.