Monday, December 28, 2009

Microsoft Confirms Zero-Day IIS Security Vulnerability

ไมโครซอฟท์ยืนยันพบช่องโหว่ความปลอดภัยใหม่ใน IIS 6.0
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์โดย Jerry Bryant ซึ่งเป็น Microsoft security program manager ได้ออกมายืนยันอย่างเป็นทางการแล้วว่า พบช่องโหว่ความปลอดภัยใหม่ใน IIS 6.0 (Zero-day IIS security vulnerability) โดยช่องโหว่ดังกล่าวนี้มีรายงานครั้งแรกเมื่อวันที่ 23 ธ.ค. 52 ที่ผ่านมา

Jerry Bryant อธิบายเพิ่มเติมว่า การที่แฮกเกอร์จะโจมตีระบบ IIS web server ผ่านทางช่องโหว่ความปลอดภัยดังกล่าวนี้ จะต้องทำการคอนฟิก IIS ในแบบที่ไม่ปลอดภัย และแฮกเกอร์จะต้องทำการตรวจสอบตัวตน (Authenticated) ก่อน รวมถึงและจะต้องมีสิทธิ์ในการเขียนข้อมูล (Write access) ลงไดเรกตอรีบนเว็บเซิร์ฟเวอร์ สำหรับการคอนฟิก IIS โดยใช้ค่าดีฟอลท์ร่วมกับแนวปฏิบัติด้านความปลอดภัยที่ดี (Security best practices) จะช่วยลดผลกระทบจากช่องโหว่ความปลอดภัยในลักษณะอย่างนี้ได้

โดยช่องโหว่ความปลอดภัยใน IIS ที่ตรวจพบนี้ มีส่วนมากจากลักษณะการทำงานกับไฟล์ที่มีหลายนามสกุล (Multiple extensions) และมีการคั่นระหว่างนามสกุลแต่ละตัวโดยใช้เซมิโคล่อน (;) ซึ่ง IIS จะตีความไฟล์ลักษณะดังกล่าวเป็นไฟล์ ASP ส่งผลให้เกิดสถานการณ์การโจมตีในแบบ Malformed executables

ในปัจจุบันไมโครซอฟท์กำลังทำการตรวจสอบสถานการณ์และติดตามช่องโหว่นี้อย่างใกล้ชิด และยังไม่มีรายงานการโจมตีระบบผ่านทางช่องโหว่นี้ สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น หลังจากทำการตรวจสอบเสร็จเรียบร้อย ไมโครซอฟท์กล่าวจะทำการประกาศให้ผู้ใช้ทราบอีกครั้ง โดยในกรณีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค (Service Pack) ซีเคียวริตี้อัพเดทรายเดือน (Security Update) หรือในกรณีร้ายแรงหรือได้รับการร้องขอจากลูกค้าก็จะออกเป็นอัพเดทกรณีพิเศษ (Out-of-cycle Security Update) หรือออกอัพเดทในแบบอื่นๆ ตามความเหมาะสม สำหรับคำแนะนำเพิ่มเติมอ่านได้ที่ IIS 6.0 Security Best Practices

แหล่งข้อมูลอ้างอิง
New Reports of a Vulnerability in IIS
Softpedia

© 2009 TWA Blog. All Rights Reserved.

0 Comment: