New Zero-Day Windows Help and Support Center Vulnerability

พบช่องโหว่ความปลอดภัยใน Help and Support Center ของ Windows ซึ่งยังไม่มีแพตซ์สำหรับแก้ไข (Zero-Day)
บทความโดย: Windows Administrator Blog

ไมโครซอฟท์ออก Microsoft Security Advisory (2219475): Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution เพื่อประกาศเตือนผู้ใช้ให้ระวังการโจมตีผ่านทางช่องโหว่ความปลอดภัย (Vulnerability) ในโปรแกรม Help and Support Center ของ Windows ซึ่งมีผลกระทบกับผู้ใช้ระบบปฏิบัติการ Windows XP และ Windows Server 2003

ไมโครซอฟท์กำลังตรวจสอบรายงานถึงเกี่ยวกับช่องโหว่ความปลอดภัยของฟังก์ชันการทำงานของโปรแกรม Help and Support Center ใน Windows XP และ Windows Server 2003 ซึ่งแฮกเกอร์อาจใช้โจมตีระบบเพื่อทำการรันโค้ดจากระยะไกลได้ (Remote code execution) ถ้าผู้ใช้เปิดดูหน้าเว็บที่ทำการฟังโค้ดอันตรายโดยการใช้เว็บเบราเซอร์หรือคลิกลิงก์ที่มากับอีเมล

ปัจจุบันไมโครซอฟท์ได้รับรายงานว่ามีการเผยแพร่โค้ดสำหรับใช้โจมตีระบบ (proof of concept exploit code) โดยใช้ช่องโหว่ความปลอดภัยนี้บนอินเทอร์เน็ตแล้ว อย่างไรก็ตาม ยังไม่มีรายงานการโจมตีระบบโดยใช้ช่องโหว่นี้ ทั้งนี้ไมโครซอฟท์และพาร์ทเนอร์ได้ทำการตรวจสอบสถานการณ์และติดตามช่องโหว่นี้อย่างใกล้ชิดและได้เปิด Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ข้อมูลสำหรับลูกค้าอีกด้วย

สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น หลังทำการตรวจสอบเสร็จเรียบร้อยไมโครซอฟท์จะทำการประกาศให้ผู้ใช้ทราบอีก ครั้ง ในกรณีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-band) ในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

โปรแกรมที่ได้รับผลกระทบ
โปรแกรมที่ได้รับผลกระทบ มีดังต่อไปนี้
• Windows XP Service Pack 2 and Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems

Issue References
CVE Reference: CVE-2010-1885
Microsoft Knowledge Base Article 2219475

Mitigating Factors
ปัจจัยที่ช่วยลดผลกระทบของช่องโหว่ความปลอดภัยต่อระบบ
• ในการโจมตีระบบแบบ Web-based นั้นแฮกเกอร์จะชักจูงให้ผู้ใช้เข้าไปยังเว็บไซต์ที่มีการฝังโค้ดพิเศษสำหรับใช้ในการโจมตีช่องโหว่โดยการส่งลิงก์มาทางอีเมล์หรือทางข้อความใน Instant Messenger สำหรับโฮสต์ของเว็บไซต์ที่มีการฝังโค้ดพิเศษสำหรับใช้ในการโจมตีช่องโหว่นั้น อาจเป็นเว็บไซต์ที่แฮกเกอร์เป็นเจ้าของเองหรือใช้เว็บไซต์ที่มีช่องโหว่ความปลอดภัยหรือเว็บไซต์ที่รับผลประโยชน์จากแฮกเกอร์
• แฮกเกอร์ไม่สามารถใช้ช่องโหว่ความปลอดดังกล่าวนี้โจมตีระบบโดยอัตโนมัติผ่านทางอีเมล์ โดยการโจมตีจะเกิดขึ้นเมื่อผู้ใช้คลิกลิงก์ที่แฮกเกอร์ส่งมากับอีเมลเท่านั้น
• ในกรณีที่การโจมตีประสบผลสำเร็จแฮกเกอร์จะได้รับสิทธิ์ในระดับเดียวกันกับผู้ใช้ที่กำลังล็อกออน ดังนั้นผู้ใช้ที่มีระดับสิทธิ์น้อยจะมีผลกระทบน้อยกว่าผู้ใช้ที่มีระดับสิทธิ์สูง

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ในระหว่างที่รอการตรวจสอบและการพัฒนาแพตช์ (Patch) แล้วเสร็จ ไมโครซอฟท์ได้คำแนะนำผู้ใช้ Internet Explorer เวอร์ชันที่ได้รับผลกระทบให้ดำเนินการดังนี้
• Unregister the HCP Protocol ตามขั้นตอนดังนี้
1. คลิก Start คลิก Run พิมพ์ Regedit ใน Open box เสร็จแล้วคลิก OK
2. ในหน้าต่างโปรแกรม Registry Editor ให้เนวิเกตไปยังรีจีสทรีคีย์:
HKEY_CLASSES_ROOT\HCP

3. คลิกเมนู File แล้วเลือก Export
4. ในหน้าไดอะล็อกบ็อกซ์ Export Registry File ให้ใส่ชื่อไฟล์เป็น HCP_Procotol_Backup.reg เสร็จแล้วคลิก Save
5. กดปุ่ม Delete บนคีย์บอร์ด จากนั้นคลิก Yes ในหน้าไดอะล็อกบ็อกซ์ Confirm Key Delete

ในกรณีที่ต้องการรีเซ็ตระบบกลับไปเหมือนเดิมสามารถทำได้ตามขั้นตอนดังนี้
1. คลิก Start คลิก Run พิมพ์ Regedit ใน Open box เสร็จแล้วคลิก OK
2. คลิกเมนู File แล้วเลือก Import
3. ในหน้าไดอะล็อกบ็อกซ์ Import Registry File ให้เลือกไฟล์ HCP_Procotol_Backup.reg สร็จแล้วคลิก Open

หมายเหตุ: อ่านวิธีการ Unregister the HCP Protocol โดยใช้ Microsoft Fix it ได้ที่เว็บไซต์ http://support.microsoft.com/kb/2219475

แหล่งข้อมูลอ้างอิง
• Advisory 2219475

© 2010 TWA Blog. All Rights Reserved.