Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution

ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังการโจมตีระบบผ่านทางช่องโหว่ DLL preloading attacks
บทความโดย: The Windows Administrator Blog

ไมโครซอฟท์ (Microsoft) ประกาศเตือนผู้ใช้ Windows ให้ระวังการโจมตีระบบแบบรีโมท (Remote Code Execution) ผ่านทางช่องโหว่ที่เรียกว่า "binary planting" หรือ "DLL preloading attacks" ซึ่งเกิดจากการเขียนโปรแกรมที่ไม่เป็นไปตามหลักการความปลอดภัย ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางในการรันโค้ดจากระยะไกลภายใต้ระดับสิทธิ์ของผู้ใช้ที่กำลังรันโปรแกรมที่มีช่องโหว่ความปลอดภัยอยู่ได้

โดยไมโครซอฟท์ระบุว่าปัญหานี้มีสาเหตุจากแอพพลิเคชัน (Application) ทำการส่งผ่านพาธที่มีคุณสมบัติไม่เพียงพอเมื่อทำการโหลดไลบรารี่ภายนอก ซึ่งไมโครซอฟท์ได้แนะนำนักพัฒนาเกี่ยวกับวิธีการใช้งาน API (application programming interfaces) ที่ถูกต้องเพื่อป้องกันช่องโหว่ความปลอดภัยที่เว็บไซต์ Dynamic-Link Library Security

ข้อควรทราบเกี่ยวกับผลกระทบของช่องโหว่ความปลอดภัย
ข้อควรทราบเกี่ยวกับผลกระทบของช่องโหว่ความปลอดภัยต่อระบบมีดังนี้
• ปัญหานี้จะเกิดเมื่อแอพพลิเคชันทำการโหลดไลบรารี่ภายนอกซึ่งไม่มีความน่าเชื่อถือ
• การโจมตีจะสำเร็จได้เฉพาะในกรณีที่ผู้ใช้รันทำการเปิดไฟล์เอกสารที่เก็บอยู่ในการแชร์บนเน็ตเวิร์กที่ไม่มีความน่าเชื่อถือหรือจากการแชร์แบบ WebDAV ด้วยแอพพลิเคชันที่มีช่องโหว่ความปลอดภัย
• โดยปกติแล้วการแชร์ข้อมูลผ่านโปรโตคอล SMB จะถูกปิดบนไฟร์วอลล์ตัวริมสุดของเน็ตเวิร์ก (Perimeter firewall) ซึ่งจะช่วยจำกัดการโจมตีระบบลงได้

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ไมโครซอฟท์ได้คำแนะนำผู้ใช้ Windows เวอร์ชันที่ได้รับผลกระทบให้ดำเนินการดังนี้
• ปิดทำการโหลดไลบรารี่จาก WebDAV และการแชร์บนเน็ตเวิร์ก โดยวิธีการนี้จะต้องทำการติดตั้งรีจีสทรีย์ CWDIllegalInDllSearch ซึ่งสามารถดาวน์โหลดพร้อมอ่านรายละเอียดวิธีการทำได้จากเว็บไซต์ Microsoft Knowledge Base Article 2264107
• ปิดบริการ WebClient
• บล็อคทราฟิก TCP พอร์ตหมายเลข 139 และ 445 ที่ไฟร์วอลล์

ทั้งนี้ ไมโครซอฟท์ไม่มีการออกแพตซ์ (Pactch) เพื่อแก้ปัญหาความปลอดภัยนี้ เนื่องจากไม่ได้มีสาเหตุมาจากระบบวินโดวส์ สำหรับความเคลื่อนไหวเกี่ยวกับสถานการณ์และประเด็นปัญหาความปลอดภัยที่เกี่ยวข้องกับวินโดวส์นั้นสามารถติดตามได้จากเว็บไซต์ Microsoft Active Protections Program (MAPP)

แหล่งข้อมูลอ้างอิง
• Microsoft Security Advisory (2269637)

© 2010 TWA Blog. All Rights Reserved.