Clear
Lead Graphic Papers

Microsoft เตือนผู้ใช้ Windows ติดตั้งแพทช์แก้ไขช่องโหว่ CVE-2012-0002 โดยด่วน

วันที่ประกาศ: 15 มีนาคม 2555
ปรับปรุงล่าสุด: 15 มีนาคม 2555
เรื่อง: Microsoft เตือนผู้ใช้ Windows ติดตั้งแพทช์แก้ไขช่องโหว่ CVE-2012-0002 โดยด่วน

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

Microsoft ได้ประกาศ Security Bulletin MS12-020 เพื่อแจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Windows ทุกเวอร์ชัน ให้ทำการติดตั้งแพทช์ KB2621440 เพื่อแก้ไขปัญหาช่องโหว่ CVE-2012-0002 ซึ่งอนุญาตให้ผู้ไม่หวังดีส่งแพ็คเก็ต RDP (Remote Desktop Protocol) เข้ามายังระบบ เพื่อสั่งให้ประมวลผลคำสั่งที่ไม่พึงประสงค์จากระยะไกลได้ (Remote Code Execution) [1]

อย่างไรก็ตาม ถึงแม้ว่าช่องโหว่ดังกล่าวได้ถูกแจ้งมายัง Microsoft โดยตรง และเชื่อว่าไม่ได้มีการเปิดเผยรายละเอียดของช่องโหว่นี้ออกสู่สาธารณะ แต่ทาง Microsoft ได้คาดการณ์ว่า ไฟล์แพทช์ KB2621440 ที่เผยแพร่ออกไป สามารถถูกผู้ไม่หวังดีทำการ Reverse engineering และเขียนโปรแกรมเพื่อใช้ในการโจมตีผ่านช่องโหว่นี้ได้ภายในเวลา 30 วัน ดังนั้นผู้ใช้งานระบบปฏิบัติการ Windows จึงควรติดตั้งแพทช์เพื่อแก้ไขปัญหาดังกล่าวนี้โดยเร็วที่สุด [2]

ผลกระทบ

ผู้ใช้งานระบบปฏิบัติการ Windows ทุกเวอร์ชัน ที่เปิดใช้งานฟังก์ชัน RDP (TCP Port 3389) มีโอกาสที่จะถูกโจมตีโดยผู้ไม่หวังดีได้

ระบบที่ได้รับผลกระทบ

  • Windows XP Service Pack 3
  • Windows Server 2003 Service Pack 2
  • Windows Vista Service Pack 2
  • Windows Server 2008 Service Pack 2
  • Windows 7 Service Pack 1
  • Windows Server 2008 R2 Service Pack 1

ข้อแนะนำในการป้องกันและแก้ไข

Microsoft ได้เผยแพร่แพทช์ KB2621440 เมื่อวันอังคารที่ 13 มีนาคม 2555 ผู้ใช้งานสามารถติดตั้งได้ผ่านทาง Windows Update หรือดาวน์โหลดได้จาก เว็บไซต์ของ Microsoft

หากผู้ใช้ยังไม่ได้ติดตั้งแพทช์ดังกล่าว Microsoft ได้แนะนำให้ย้าย RDP listeners port ไปไว้ที่ Non-standard port เป็นการชั่วคราว [3] และสำหรับผู้ที่ใช้งาน Windows Vista หรือใหม่กว่า สามารถเปิดการทำงานของระบบ Network Level Authentication (NLA) [4] เพื่อช่วยลดผลกระทบจากปัญหาดังกล่าวได้ เพราะในระบบที่เปิดการใช้งาน NLA ถึงแม้ว่าคำสั่งอันตรายจะยังสามารถถูกส่งเข้ามายังระบบได้ แต่อย่างน้อยผู้โจมตีก็จำเป็นที่จะต้อง Authenticate เข้าสู่ Server เพื่อสั่งให้ประมวลผลคำสั่งดังกล่าว

al2012co0004.png

รูปแสดงการเปิดการทำงานของระบบ NLA ใน Windows 7

อ้างอิง

  1. http://technet.microsoft.com/en-us/security/bulletin/ms12-020
  2. http://blogs.technet.com/b/srd/archive/2012/03/13/cve-2012-0002-a-closer-look-at-ms12-020-s-critical-issue.aspx
  3. http://isc.sans.edu/diary.html?storyid=12781&rss
  4. http://technet.microsoft.com/en-us/library/cc732713.aspx

Clear