Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ 0-day ใน Internet Explorer 8 (CVE-2014-1770)

วันที่ประกาศ: 22 พฤษภาคม 2557
เรื่อง: ระวังภัย ช่องโหว่ 0-day ใน Internet Explorer 8 (CVE-2014-1770)

ประเภทภัยคุกคาม: Intrusion

ข้อมูลทั่วไป

เมื่อวันที่ 21 พฤษภาคม 2557 Zero Day Initiative (ZDI) [1] ซึ่งเป็นโครงการหนึ่งของบริษัท HP [2] ได้ออกมาประกาศผ่านเว็บไซต์เรื่องช่องโหว่ในโปรแกรม Internet Explorer รุ่น 8 ซึ่งอนุญาตให้ผู้ไม่หวังดีสามารถสั่งประมวลผลคำสั่งอันตรายบนเครื่องของเหยื่อได้ (Remote Code Execution) [3] โดยระบุว่าได้มีการค้นพบช่องโหว่นี้ตั้งแต่เดือนตุลาคม ปี 2556 และแจ้งไปยังบริษัทไมโครซอฟท์แล้ว แต่จนถึงปัจจุบันนี้ก็ยังไม่ได้มีการออกแพทช์มาแก้ไขช่องโหว่ดังกล่าวแต่อย่างใด

ในการโจมตี ผู้ไม่หวังดีจะสร้างเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ หรือแทรกโค้ดที่มีอันตรายนั้นไว้ในเว็บไซต์ที่ถูกแฮ็ก จากนั้นใช้วิธีการทาง Social Engineering หลอกล่อให้เหยื่อเข้าไปยังเว็บไซต์ดังกล่าว จากนั้นโค้ดอันตรายที่ถูกฝังอยู่ก็จะเริ่มทำงานทันทีที่เหยื่อเข้าเยี่ยมชมหน้าเว็บไซต์ การโจมตีนี้มีรูปแบบเช่นเดียวช่องโหว่ที่เคยมีการแจ้งเตือนไปก่อนหน้านี้ในเว็บไซต์ของไทยเซิร์ต [4] เพียงแต่อาศัยช่องโหว่ที่แตกต่างกันเท่านั้น

ผลกระทบ

ช่องโหว่ดังกล่าวนี้สามารถโจมตีได้ด้วยการฝังโค้ดอันตรายไว้ในเว็บไซต์ ซึ่งหากผู้ใช้งานเข้าชมเว็บไซต์ที่ผู้ไม่หวังดีเตรียมไว้ อาจถูกติดตั้งมัลแวร์หรืออาจถูกสั่งให้ประมวลผลคำสั่งอันตรายจากระยะไกลได้ (Remote Code Execution)

โดยจากข้อมูลสถิติของเว็บไซต์ TrueHits พบว่าในเดือนเมษายน 2557 ผู้ใช้งานอินเทอร์เน็ตในประเทศไทย ยังมีการใช้งาน Internet Explorer รุ่น 8 นี้อยู่ไม่น้อยกว่า 6.66% [5] ซึ่งผู้ใช้เหล่านี้มีโอกาสเสี่ยงที่จะถูกโจมตีผ่านช่องโหว่ดังกล่าว อย่างไรก็ตาม เมื่อพิจารณาจากข้อมูลย้อนหลังในเว็บไซต์ TrueHits จะเห็นได้ว่า จำนวนผู้ใช้ Internet Explorer รุ่นนี้มีแนวโน้มลดลงตามลำดับ

แต่เนื่องจาก Internet Explorer รุ่น 8 นี้ เป็นรุ่นสุดท้ายที่ยังสามารถใช้งานได้กับ Windows XP โดยไม่สามารถอัพเกรดเป็นรุ่นที่ใหม่กว่านี้ได้อีกแล้ว ผู้ที่ยังใช้งาน Windows XP อยู่ จึงเป็นกลุ่มที่ตกอยู่ในความเสี่ยง แม้ว่าจะไม่ได้ใช้ Internet Explorer รุ่น 8 เป็นเว็บเบราว์เซอร์หลักก็ตาม เนื่องจากซอฟต์แวร์อื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ อาจมีการเรียกใช้ความสามารถของ Internet Explorer ในการแสดงเอกสาร HTML ทำให้มีโอกาสที่โปรแกรม Internet Explorer ที่มีช่องโหว่นี้ ถูกเรียกใช้งานขึ้นมาโดยที่ผู้ใช้งานไม่ทราบ และเป็นช่องทางให้ผู้ไม่หวังดีทำการโจมตีได้

ระบบที่ได้รับผลกระทบ

Internet Explorer รุ่น 8 ในระบบปฏิบัติการ Windows ทุกรุ่น

ข้อแนะนำในการป้องกันและแก้ไข

ในขณะนี้ ยังไม่มีแพทช์แก้ไขช่องโหว่ดังกล่าวออกมา และยังไม่มีการแถลงข่าวใดๆ จากไมโครซอฟท์เกี่ยวกับช่องโหว่นี้แต่อย่างใด อย่างไรก็ตาม ผู้ที่ใช้งานระบบปฏิบัติการ Windows รุ่น Vista ขึ้นไป สามารถอัพเกรด Internet Explorer เป็นรุ่น 9 หรือใหม่กว่าได้ เพื่อป้องกันผลกระทบจากช่องโหว่นี้ แต่สำหรับผู้ที่ยังต้องใช้งาน Windows XP อยู่ และไม่สามารถอัพเกรด Internet Explorer ได้ จากคำแนะนำของ ZDI ผู้ใช้งานสามารถปฏิบัติตามคำแนะนำต่อไปนี้เพื่อลดผลกระทบของช่องโหว่ได้

1. ติดตั้งโปรแกรม EMET 4.1 และกำหนดค่าให้ใช้งานกับโปรแกรม Internet Explorer ซึ่งทางไทยเซิร์ตเคยเผยแพร่บทความเรื่องวิธีการใช้งาน EMET ไว้แล้ว [6]

2. กำหนดค่า Security Level ของ Internet, Local intranet และ Restricted Sites ใน Internet Explorer ให้เป็น High รวมถึงปิดการทำงานของ ActiveX Controls และ Active Scripting อย่างไรก็ตามการใช้วิธีการนี้ อาจทำให้บางเว็บไซต์มีปัญหาในการแสดงผลได้

นอกจากนี้ ผู้ใช้ควรตั้งค่าการปรับปรุงระบบของ Windows (Windows Update) [7] เพื่อให้สามารถอัพเดท Internet Explorer โดยอัตโนมัติ ในกรณีที่อาจมีการเผยแพร่แพทช์สำหรับช่องโหว่นี้ หรือช่องโหว่อื่นๆ ในอนาคตจากไมโครซอฟท์

อ้างอิง

  1. http://zerodayinitiative.com
  2. http://www8.hp.com/us/en/software-solutions/enterprise-security.html
  3. http://zerodayinitiative.com/advisories/ZDI-14-140
  4. https://thaicert.or.th/alerts/user/2014/al2014us010.html
  5. http://truehits.net/graph/graph_stat.php#WEB
  6. https://www.thaicert.or.th/papers/technical/2013/pa2013te005.html
  7. http://windows.microsoft.com/en-us/windows/turn-automatic-updating-on-off#turn-automatic-updating-on-off=windows-7
Clear