Microsoft Internet Information Services (IIS) FTP Service Vulnerability

ไมโครซอฟท์เตือนผู้ใช้ IIS 5, 5.1 และ 6.0 ให้ระวังการโจมตีจากไวรัสผ่านช่องโหว่ FTP service
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์ออก Microsoft Security Advisory (/975191): Vulnerability in Internet Information Services FTP Service Could Allow for Remote Code Execution เพื่อประกาศว่ามีช่องโหว่ใน FTP service ของโปรแกรม Internet Information Services (IIS) 5, 5.1 และ 6.0

ทั้งนี้ ท่านใดที่ใช้ IIS 5, 5.1 และ 6.0 และเปิดใช้ FTP service ให้ระวังการโจมตีจากแฮกเกอร์และมัลแวร์ เนื่องจากปัจจุบัน เริ่มมีทำการเผยแพร่โค้ดสำหรับใช้โจมตีระบบ (Exploit Code) ผ่านทางช่องโหว่ดังกล่าวนี้แล้ว แต่ยังไม่มีรายงานว่ามีการโจมตีระบบหรือการได้รับผลกระทบของผู้ใช้

อย่างไรก็ตาม ทางไมโครซอฟท์ได้ติดตามสถานการณ์และตรวจสอบช่องโหว่นี้อย่างใกล้ชิด และได้เปิด Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ข้อมูลสำหรับลูกค้าอีกด้วย

สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น ไมโครซอฟท์กล่าวว่าหลังทำการตรวจสอบเสร็จเรียบร้อย จะทำการประกาศให้ผู้ใช้ทราบอีกครั้ง ในกรณีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

ระบบปฏิบัติการที่ได้รับผลกระทบ
ระบบปฏิบัติการเวอร์ชันที่ได้รับผลกระทบ มีดังนี้
1. IIS 5.0 บน Windows 2000 Service Pack 4
2. IIS 5.1 บน Windows XP Service Pack 2 and Windows XP Service Pack 3
3. IIS 6.0 บน Windows XP Professional x64 Edition Service Pack 2
4. IIS 6.0 บน Windows Server 2003 Service Pack 2
5. IIS 6.0 บน Windows Server 2003 x64 Edition Service Pack 2
6. IIS 6.0 บน Windows Server 2003 with SP2 for Itanium-based Systems

ระบบปฏิบัติการเวอร์ชันที่ไม่ได้รับผลกระทบ มีดังนี้
1. IIS 7.0 บน Windows Vista ทุกเวอร์ชัน
2. IIS 7.0 บน Windows Server 2008 ทุกเวอร์ชัน
3. IIS 7.5 บน Windows 7 for 32-bit/64-bit
4. IIS 7.5 บน Windows Server 2008 R2 x64-based/Itanium-based

ข้อควรทราบ
ข้อควรทราบสำหรับการโจมตีของแฮกเกอร์ผ่านทางช่องโหว่นี้ มีดังนี้
• บริการ FTP จะไม่ถูกติดตั้งโดยดีฟอลท์พร้อมกับการติดตั้ง IIS บนทุกเวอร์ชันของ Windows XP (ที่รองรับ IIS) หรือ Windows Server 2003 แต่จะถูกติดตั้งโดยดีฟอลท์พร้อมกับการติดตั้ง IIS บน Windows 2000 และบนทุกเวอร์ชันของ Windows Small Business Server 2003 ที่รองรับ IIS
• ระบบที่ได้รับผลกระทบจะยังไม่เกิดความเสี่ยงจนกว่าจะมีการอนุญาตให้ FTP users ที่ไม่น่าเชื่อถือมีสิทธิ์ระดับ Write Access ซึ่งโดยดีฟอลท์ FTP user จะไม่มีสิทธิ์ระดับ Write Access
• การใช้งาน IIS 6.0 นั้นมีความปลอดภัย เนื่องจากโปรแกรมคอมไพล์ตาม /GS compiler option นั้นคือ แม้ว่าจะไม่ได้กำจัดช่องโหว่ (Vulnerability) ได้ทั้งหมด แต่ทำการให้ใช้ช่องโหว่ในการโจมตีระบบทำได้ยากขึ้น

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ในระหว่างที่รอการตรวจสอบและการพัฒนาแพตช์ (Patch) แล้วเสร็จ ไมโครซอฟท์ได้คำแนะนำผู้ใช้ให้ดำเนินการตามข้อใดข้อหนึ่งดังนี้
• ปิดบริการ FTP service
• ไม่อนุญาตให้ Anonymous User มีสิทธิ์ในระดับ Write Access โดยทำตามขั้นตอนดังนี้
1. เปิด IIS Manager
2. คลิกขวาที่ FTP ดีฟอลท์ไซต์ แล้วเลือก Properties
3. คลิกแท็บ Home Directory
4. ตรวจสอบให้แน่ใจว่าไม่มีการเลือก Write

หมายเหตุ: วิธีการนี้จะทำให้ผู้ใช้ทั้งหมดไม่สามารถทำการถ่ายโอนไฟล์โดยใช้ FTP ได้ แต่สามารถถ่ายโอนไฟล์โดยใช้ WebDAV ได้ตามปกติ

• แก้ไข NTFS Permissions เพื่อไม่ให้ผู้ใช้สร้างไดเร็กตอรีได้
1. บราวซ์ไปยังรูทไดเร็กตอรีของ FTP ไซต์ ซึ่งดีฟอลท์จะอยู่ที่ %systemroot%\inetpub\ftproot
2. คลิกขวาที่ไดเร็กตอรี แล้วเลือกProperties
3. คลิกแท็บ Securtiy แล้วคลิก Advanced
4. คลิก Change Permissions
5. เลือกUsers group แล้วคลิก Edit
6. ยกเลิกการเลือกหัวข้อ Create Folders/Append Data

หมายเหตุ: วิธีการนี้จะทำให้ผู้ใช้ทั้งหมดไม่สามารถทำการสร้างไดเร็กตอรีใหม่ผ่านทาง FTP service แต่จะยังคงสามารถถ่ายโอนไฟล์ลงไดเร็กตอรีที่มีอยู่แล้วโดยใช้ FTP ได้ตามปกติ

แหล่งข้อมูลอ้างอิง
• Microsoft Security Advisory (975191)

© 2009 TWA Blog. All Rights Reserved.