[เนื้อหาต้นฉบับ]
ไมโครซอฟท์ประกาศว่ากำลังตรวจสอบช่องโหว่ความปลอดภัย Zero-Day ใน Kernel ของ Windows XP และ Windows Server 2003 ที่ใช้ทำการยกระดับสิทธิ์ (Elevation of Privilege หรือ EoP) ได้ โดยปัจจุบันมีรายงานการโจมตีผู้ใช้เกิดขึ้น (ในวงจำกัด) แล้ว และที่สำคัญคือ ยังไม่มีแพตช์สำหรับแก้ไข
สำหรับปัญหาความปลอดภัยที่พบในครั้งนี้เกิดจากความผิดพลาดในการตรวจสอบข้อมูลอินพุทของ Kernel (ไฟล์ NDProxy.sys) ของ Windows XP และ Windows Server 2003 ทำให้เกิดช่องโหว่ที่สามารถใช้โจมตีระบบเพื่อทำการยกระดับสิทธิ์ได้ ในกรณีที่การโจมตีประสบความสำเร็จผู้โจมตีจะสามารถทำงานต่างๆ อย่างเช่น รันโปรแกรมใน kernel mode, ติดตั้งโปรแกรม, เปิดดู แก้ไข หรือลบข้อมูล หรือสร้างบัญชีผู้ใช้ใหม่ด้วยสิทธิ์ระดับผู้ดูแลระบบ ได้
ปัจจุบันไมโครซอฟท์ได้ร่วมมือกับบริษัทที่เป็นหุ้นส่วนโปรแกรม Microsoft Active Protections Program (MAPP) พัฒนาแพตช์สำหรับปิดช่องโหว่ความปลอดภัยนี้แต่ยังไม่ได้กำหนดวันออกแพตช์โดยจะทำการประกาศให้ทราบอีกครั้งเมื่อการพัฒนาแพตช์เสร็จเรียบร้อยแล้ว
รายชื่อไฟล์ PDF ที่ใช้โจมตี Windows XP [อัปเดท 1 ธันวาคม 2556]
ไซแมนแทครายงานว่ามีการโจมตีผู้ใช้ Windows XP และ Windows Server 2003 โดยการส่งไฟล์เอกสาร PDF ชื่อ syria15.10.pdf หรือ Note_№107-41D.pdf ให้เหยื่อผ่านทางอีเมลหรือโน้มน้าวให้เหยื่อทำการดาวน์โหลดไฟล์ดังกล่าวนี้จากอินเทอร์เน็ต ซึ่งโปรแกรมแอนตี้ไวรัสของไซแมนแทคจะตรวจจับมัลแวร์นี้ในชื่อ Trojan.Wipbot, Trojan.Pidief หรือ Suspicious.Cloud.7.F โดยปัจจุบันรายงานว่าพบไฟล์ (มัลแวร์) นี้ (จำนวนไม่มาก) ในหลายประเทศ อย่างเช่น อินเดีย, ออสเตรเลีย, สหรัฐอเมริกา, เยอรมัน และ นอร์เวย์ เป็นต้น
ข้อมูลอ้างอิงช่องโหว่ความปลอดภัย
- CVE Reference: CVE-2013-5065
- General Information: NDPROXY Overview
วิธีการลดผลกระทบจากปัญหาช่องโหว่ความปลอดภัย
เนื่องจากช่องโหว่ที่พบใน kernel ของ Windows XP และ Windows Server 2003 ในครั้งนี้ไม่สามารถใช้ทำการโจมตีจากระยะไกลได้ โดยการโจมตีจะต้องทำแบบโลคอลเท่านั้น คือ ผู้โจมตีจะต้องทำการล็อกอินเข้าเครื่องคอมพิวเตอร์จากหน้าเครื่องและจะต้องมีบัญชีสำหรับใช้ทำการล็อกอินเข้าเครื่องด้วย ดังนั้นควรตรวจสอบบัญชีผู้ใช้บนเครื่องและทำการปิด (Disable) บัญชีที่ต้องสงสัยและควรทำการเฝ้าระวังการเข้าใช้งานเครื่องจากผู้ต้องสงสัยด้วย
นอกจากนี้ ไมโครซอฟท์ได้แนะนำให้ทำการลบไฟล์ NDProxy.sys แล้วเราต์บริการ NDProxy ไปยังไฟล์ Null.sys โดยการรันคำสั่งที่คอมมานด์พรอมท์ดังนี้ (ต้องเริ่มต้นระบบใหม่เพื่อให้มีผลการทำงาน)
sc stop ndproxy
reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\null.sys /f
ระบบที่ได้รับผลกระทบ
- Windows XP SP3
- Windows XP Professional x64 SP2
- Windows Server 2003 SP2
- Windows Server 2003 x64 SP2
- Windows Server 2003 with SP2 for Itanium-based Systems
แหล่งข้อมูลอ้างอิง
Microsoft Security Advisory (2914486)
TechNet Blogs: MSRC
Symantec
Copyright © 2013 TWA Blog. All Rights Reserved.
0 Comment:
Post a Comment