คลังความรู้

COLO.in.th > คลังความรู้ > How To > Microsoft warns the Proof-of-Concept code available for MS12-020

Microsoft warns the Proof-of-Concept code available for MS12-020

ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ติดตั้งอัปเดท MS12-020 ด่วน เนื่องจากมีการเผยแพร่โค้ดสำหรับโจมตี (Proof-of-Concept) บนอินเทอร์เน็ตแล้ว
สืบเนื่องจากการพบช่องโหว่ความปลอดภัยใน Remote Desktop Protocol (RDP) ที่ใช้งานอยู่ใน Windows หลายเวอร์ชันรวมทั้ง Windows 7 และ Windows 7 with SP1 ซึ่งไมโครซอฟท์ได้ออกอัปเดทหมายเลข "MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution (2671387)" เพื่อแก้ไขปัญหาดังกล่าวนี้แล้วในการออกอัปเดทความปลอดภัยของเดือนมีนาคมเมื่อวันที่ 13 ที่ผ่านมานั้น แต่ล่าสุดไมโครซอฟท์ได้ออกมาเตือนให้ผู้ใช้ที่ยังไม่ได้ติดตั้งอัปเดทหมายเลข MS12-020 ให้ทำการติดตั้งเป็นกรณีเร่งด่วน เพราะปัจจุบันมีรายงานว่าพบการเผยแพร่โค้ดสำหรับใช้โจมตี (Proof-of-Concept หรือ PoC) ช่องโหว่ RDP บนอินเทอร์เน็ตแล้ว

ไมโครซอฟท์แจ้งเรื่องนี้ผ่านทางบล็อก MSRC ซึ่งระบุว่าได้รับรายงานว่ามีโค้ดสำหรับใช้โจมตีช่องโหว่ความปลอดภัยใน RDP ที่ทำให้เกิด Denial of Service บนอินเทอร์เน็ตแล้ว แต่ยังไม่มีรายงานว่ามีโค้ดสำหรับใช้โจมตีแบบ Remote Code Execution โดยรายละเอียดของโค้ดสำหรับใช้โจมตีนั้นถูกเปิดเผยเฉพาะหุ้นส่วนที่เป็น Microsoft Active Protections Program (MAPP) เท่านั้น นอกจากนี้เว็บ Threatpost ซึ่งเป็นเว็บไซต์เผยแพร่ข่าวด้านความปลอดภับของ Kaspersky ได้รายงานว่าตรวจพบโค้ดสำหรับใช้โจมตีช่องโหว่ความปลอดภัยใน RDP ให้ดาวน์โหลดบนเว็บไซต์จีนบางเว็บแล้ว

ปัญหาช่องโหว่ความปลอดภัยที่พบใน RDP ครั้งนี้เกิดจากความผิดพลาดในการประมวลผลข้อมูลในหน่วยความจำที่ทำให้ผู้โจมตีสามารถส่งข้อมูลที่แฝงโค้ดอันตรายเพื่อทำให้เกิดช่องโหว่ที่สามารถเข้าควบคุมระบบได้ โดยปัญหาช่องโหว่ที่พบใน RDP ครั้งนี้ถูกจัดให้มีความร้ายแรงวิกฤตและมี 2 ปัญหาด้วยกัน คือ KB2621440 และ KB2667402 ดังนี้

• KB2621440 เป็นช่องโหว่ที่เกิดในไฟล์ Rdpwd.sys สามารถใช้โจมตีระบบแบบรีโมทเพื่อเข้าควบคุมเครื่องได้ ช่องโหว่นี้มีผลกระทบกับ Windows ทุกเวอร์ชัน
• KB2667402 เป็นช่องโหว่ที่เกิดในไฟล์ Rdpcorekmts.dll และ Rdpwsx.dll สามารถใช้โจมตีระบบแบบรีโมทเพื่อระบบให้หยุดการทำงานได้ ช่องโหว่นี้มีผลกระทบเฉพาะ Windows 7 และ Windows Server 2008 R2

สำหรับ RDP นั้นเป็นโปรโตคอลที่ใช้ในบริการ Remote Desktop สำหรับให้ผู้ใช้เข้าถึงระบบ Windows แบบรีโมทผ่านทางเครือข่าย โดยบริการ Remote Desktop นั้นไม่ได้ถูกเปิดใช้งานโดยเริ่มต้น ดังนั้นผู้ใช้ Windows ทั่วไปจึงไม่มีความเสี่ยงต่อการถูกโจมตีผ่านทางช่องโหว่ความปลอดภัยที่พบในครั้งนี้ แต่อย่างไรก็ตามไมโครซอฟท์ได้แนะนำให้ผู้ใช้ Windows ทุกเวอร์ชันทำการติดตั้งอัปเดทหมายเลข MS12-020 เร็วที่สุดเท่าที่ทำได้เพื่อความปลอดภัยถ้ามีการเปิดใช้งาน Remote Desktop ในอนาคต

ทั้งนี้ ไมโครซอฟท์ได้ระบุก่อนหน้านี้ว่าจะมีการพัฒนาโค้ดสำหรับโจมตีช่องโหว่ RPD ภานใน 30 วันและเตือนให้ผู้ใช้ Windows ทำการติดตั้งอัปเดท MS12-020 ในทันที สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เว็บไซต์ CVE-2012-0002: A closer look at MS12-020's critical issue

วิธีการป้องกันการถูกโจมตี
ผู้ใช้ Windows สามารถป้องกันการถูกโจมตีผ่านทางช่องโหว่ RDP ได้โดยทำการติดตั้งอัปเดทหมายเลข MS12-020 ซึ่งสามารถทำการติดตั้งอัพเดทโดยใช้ one-click Fix It หรือจากเว็บไซต์ Microsoft Update หรือจากเซิร์ฟเวอร์ WSUS หรือดาวน์โหลดอัปเดทมาทำการติดตั้งด้วยตนเองจากเว็บไซต์ดังนี้

KB2621440

• Windows XP with SP3 WindowsXP-KB2621440-x86-ENU.exe
• Windows 7 32-bit และ Windows 7 with SP1 32-bit Windows6.1-KB2621440-x86.msu
• Windows 7 64-bit และ Windows 7 with SP1 64-bit Windows6.1-KB2621440-x64.msu

KB2667402

• Windows 7 32-bit และ Windows 7 with SP1 32-bit Windows6.1-KB2667402-x86.msu
• Windows 7 64-bit และ Windows 7 with SP1 64-bit Windows6.1-KB2667402-x64.msu

สำหรับผู้ใช้ Windows เวอร์ชันอื่นๆ นอกจากที่ปรากฏด้านบนสามารถดูรายละเอียดการดาวน์โหลดได้ที่ MS12-020

สำหรับ Windows เวอร์ชันที่ได้รับผลกระทบมีดังนี้

• Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista Service Pack 2
• Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
• Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
• Windows Server 2008 for Itanium-based Systems Service Pack 2
• Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
• Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
• Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
• Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Windows Server 2008 R2 Server Core installation affected)
• Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Windows Server 2008 R2 Server Core installation affected)
• Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
• Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง

• ZDNet
• Softpedia
• CVE-2012-0002 

- See more at: http://thaiwinadmin.blogspot.com/2012/03/microsoft-warns-poc-code-available-for.html#sthash.WvgREEl7.dpuf

บันทึกสู่รายการโปรดของฉัน    พิมพ์หัวข้อนี้

Nginx Security (ดูรายละเอียด: 1408)

รวมคำสั่งลัด Run (ดูรายละเอียด: 2421)

เรียนรู้ความแตกต่างระหว่ง FAT32 กับ NTFS (ดูรายละเอียด: 2882)

DHCP (Dynamic Host Configuration Protocol) (ดูรายละเอียด: 3598)

DDoS : TCP FIN Flood (ดูรายละเอียด: 10702)

Powered by WHMCompleteSolution