Clear
Lead Graphic Papers

ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน Adobe Reader

วันที่ประกาศ: 3 ธันวาคม 2556
ปรับปรุงล่าสุด: 18 ธันวาคม 2556
เรื่อง: ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน Adobe Reader

ประเภทภัยคุกคาม: Intrusion

ข้อมูลทั่วไป

บริษัท FireEye ได้ค้นพบช่องโหว่ในระบบปฏิบัติการ Windows XP ที่ส่งผลให้ User ระดับใดๆ ก็ตามสามารถสั่งประมวลผลคำสั่งอันตรายได้ภายใต้สิทธิ Kernel ของระบบ ปัจจุบันพบการโจมตีผ่านช่องโหว่นี้แล้ว [1]

ถึงแม้ว่าการโจมตีผ่านช่องโหว่นี้จะไม่สามารถทำได้จากระยะไกล (Remote code execution) แต่ผู้ไม่หวังดีสามารถโจมตีผ่านช่องโหว่ของซอฟต์แวร์อื่นๆ ที่เรียกใช้งานฟังก์ชันที่เกี่ยวข้องกับช่องโหว่นี้ได้ ซึ่งโปรแกรมที่ว่านั้นก็ได้รับการยืนยันว่าเป็นโปรแกรม Adobe Reader โดยในการโจมตี ผู้ไม่หวังดีจะหลอกให้ผู้ใช้เปิดไฟล์ PDF ที่มีโค้ดสำหรับโจมตีผ่านช่องโหว่นี้อยู่

ทาง Microsoft ได้ออกแจ้งเตือน Security Advisory หมายเลข 2914486 เพื่อเพิ่มเติมข้อมูลของช่องโหว่นี้แล้ว โดยแจ้งว่าระบบที่ได้รับผลกระทบคือ Windows XP และ Windows 2003 ปัจจุบันกำลังอยู่ระหว่างการตรวจสอบเพื่อหาวิธีแก้ไข ช่องโหว่นี้ได้รับหมายเลข CVE-2013-5065 [2] ล่าสุดทีมพัฒนาโปรแกรม Metasploit ซึ่งเป็นโปรแกรมที่ใช้ทดสอบช่องโหว่ของระบบ ได้พัฒนาโมดูลสำหรับโจมตีผ่านช่องโหว่นี้ออกมาแล้ว [3]

ผลกระทบ

ช่องโหว่นี้เป็นการสั่งประมวลผลคำสั่งใดๆ ก็ได้ภายใต้สิทธิระดับเดียวกับ Kernel ของระบบ ผู้ไม่หวังดีสามารถสั่งติดตั้งโปรแกรม เรียกดู แก้ไข หรือลบข้อมูลในเครื่อง หรืออาจสร้าง User account ใหม่ขึ้นมาให้มีสิทธิเป็น Administrator ของระบบได้

ระบบที่ได้รับผลกระทบ

  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Adobe Reader 9.5.4, 10.1.6, 11.0.02 หรือเก่ากว่า

ข้อแนะนำในการป้องกันและแก้ไข

เนื่องจากวิธีการโจมตีผ่านช่องโหว่นี้ ในปัจจุบันยังพบแค่การโจมตีผ่านโปรแกรม Adobe Reader เวอร์ชันเก่า ดังนั้นวิธีการลดผลกระทบจากปัญหาดังกล่าวจึงสามารถทำได้โดยการอัพเดตโปรแกรม Adobe Reader ให้เป็นเวอร์ชันล่าสุด [4]

สาเหตุของช่องโหว่เกิดจากไฟล์ NDProxy.sys ซึ่งเป็นไดรเวอร์ของระบบที่เกี่ยวข้องกับการติดต่อสื่อสารผ่านทางโทรศัพท์ [5] มีความผิดพลาดในการประมวลผลข้อมูลที่รับเข้ามา เนื่องจากช่องโหว่ดังกล่าวนี้ยังอยู่ระหว่างการตรวจสอบและยังไม่มีวิธีการแก้ไข ทาง Microsoft ได้แนะนำวิธีลดผลกระทบจากปัญหานี้ชั่วคราวโดยการปิดการทำงานของระบบ NDProxy

วิธีปิดการทำงานของระบบ NDProxy

  1. รันโปรแกรม Command Prompt ภายใต้สิทธิของ Administrator
  2. พิมพ์คำสั่ง
    sc stop ndproxy
    reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\null.sys /f
  3. รีสตาร์ทเครื่อง

หมายเหตุ: การปิดการทำงานของระบบ NDProxy อาจส่งผลให้ระบบอื่นๆ ที่เกี่ยวข้องไม่สามารถใช้งานได้ เช่น Remote Access Service (RAS), Dial-up networking, Virtual Private Networking (VPN) ในกรณีที่พบปัญหาข้างต้น สามารถเปิดการทำงานของระบบ NDProxy กลับคืนได้ โดยใช้วิธีการดังนี้

วิธีเปิดการทำงานของระบบ NDProxy

  1. รันโปรแกรม Command Prompt ภายใต้สิทธิของ Administrator
  2. พิมพ์คำสั่ง
    sc stop ndproxy
    reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\ndproxy.sys /f
  3. รีสตาร์ทเครื่อง

เนื่องจาก Windows XP จะหมดระยะเวลาการสนับสนุนด้านความมั่นคงปลอดภัย ในเดือนเมษายน 2557 ดังนั้นจึงควรอัพเกรดไปใช้งานระบบปฏิบัติการรุ่นที่ใหม่กว่าเพื่อความปลอดภัย

อ้างอิง

  1. http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/ms-windows-local-privilege-escalation-zero-day-in-the-wild.html
  2. https://technet.microsoft.com/en-us/security/advisory/2914486
  3. http://www.exploit-db.com/exploits/30392/
  4. http://www.adobe.com/support/security/bulletins/apsb13-15.html
  5. http://msdn.microsoft.com/library/windows/hardware/ff568322%28v=vs.85%29.aspx
Clear