|
ชื่อ : Multi Critical Patch
of Microsoft Windows
ค้นพบเมื่อ : 16 ตุลาคม 2546
ชนิด : ช่องโหว่ของโปรแกรม
ระบบที่ได้รับผลกระทบ
- ระบบปฏิบัติการวินโดวส์ NT
- ระบบปฏิบัติการวินโดวส์ 2000
- ระบบปฏิบัติการวินโดวส์ XP
- ระบบปฏิบัติการวินโดวส์ 2003
หมายเหตุ ขึ้นกับประเภทของ Patch ควรศึกษาเพิ่มเติมจากลิ้งค์ของ
Patch แต่ละชนิด
กล่าวนำ
ทาง Microsoft ได้ประกาศ Patch ใหม่จำนวน 7 ชุด ที่สำคัญต่อความมั่นคงและปลอดภัยของระบบ
ในวันเดียวกันอันได้แก่
โดย Patch หมายเลข MS03-041 ถึง MS03-045 ใช้สำหรับแก้ปัญหาช่องโหว่ของระบบปฏิบัติการวินโดวส์เอง
ส่วน Patch หมายเลข MS03-046 ถึง MS03-047 ใช้สำหรับแก้ปัญหาช่องโหว่ของโปรแกรม
Exchange Server
คำอธิบายเพิ่มเติม
จากการตรวจสอบรายละเอียดของ Bullentin ทั้ง 7 ชุดพบกว่าช่องโหว่ของหมายเลข
MS03-045
และ MS03-044
นั้นยังไม่ถือว่ามีความเสี่ยงต่อการบุกรุกจากภายนอก หนอนอินเทอร์เน็ตหรือไวรัสมากเท่ากับ
Bullentin สี่ชุดที่เหลือดังนั้นในบทความนี้จะกล่าวถึงรายละเอียดของช่องโหว่ที่สำคัญเท่านั้น
แต่อย่างไรก็ตามทีมงานขอแนะนำให้ท่านติดตั้ง
Patch ใหม่ล่าสุดให้ครบเพื่อเพิ่มความปลอดภัยให้กับระบบอยู่สม่ำเสมอ
ช่องโหว่ของโปรแกรม Exchange Server
Bullentin หมายเลข MS03-046 กล่าวถึงช่องโหว่ของโปรแกรม
Exchange Server 5.5 ที่อนุญาตให้ผู้บุกรุกส่งข้อมูลแบบ specially-crafted
extended verb request ไปยังเซิร์ฟเวอร์ผ่านพอร์ตของโพรโตคอล Simple
Mail Transfer Protocol (SMTP) ซึ่งส่งผลให้ระบบใช้งานหน่วยความจำเป็นจำนวนมาก
จนทำให้ระบบปฏิเสธการให้บริการ (DoS) เนื่องจากหน่วยความจำที่เหลือน้อยลงไม่เพียงพอต่อการให้บริการ
นอกจากนี้ไมโครซอฟต์ยังค้นพบช่องโหว่อื่นอีกของโปรแกรม Exchange Server
5.5 ที่ปรากฏในหมายเลข MS03-047 ซึ่งเป็นช่องโหว่ของระบบ cross-site
scripting (XSS) โดยผู้บุกรุกจะแทรกโปรแกรมสำหรับบุกรุกไว้ในลิ้งค์ของอี-เมล์ที่ทำงานภายใต้ระบบ
cross-site
scripting (XSS) และเมื่อไรก็ตามที่ผู้เสียหายเรียกใช้งานลิ้งค์ดังกล่าวโปรแกรมของผู้บุกรุกก็จะเริ่มทำงานทันที
ช่องโหว่ของระบบ ActiveX
ช่องโหว่ของ Patch หมายเลข MS03-041 เป็นช่องโหว่จาก
Authenticode module ซึ่งอนุญาติให้ระบบ ActiveX ควบคุมและติดตั้งโปรแกรม
โดยไม่จำเป็นต้องแสดงข้อความผ่านไดอะล็อก ผู้บุกรุกจะอาศัยช่องโหว่นี้ในการเขียนเว็บเพจ
หรืออี-เมล์ในรูปแบบของ HTML ที่ซ้อนโค้ดของการบุกรุกซึ่งสามารถสั่งให้ระบบติดตั้งโปรแกรมของผู้บุกรุกลงบนเครื่องของผู้เสียหายได้ทันที
ระบบที่มีผลกระทบของ Patch หมายเลข MS03-041
- Microsoft Windows NT Workstation 4.0, Service
Pack 6a
- Microsoft Windows NT Server 4.0, Service Pack
6a
- Microsoft Windows NT Server 4.0, Terminal Server
Edition, Service Pack 6
- Microsoft Windows 2000, Service Pack 2
- Microsoft Windows 2000, Service Pack 3, Service
Pack 4
- Microsoft Windows XP Gold, Service Pack 1
- Microsoft Windows XP 64-bit Edition
- Microsoft Windows XP 64-bit Edition Version
2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-bit Edition
ช่องโหว่อีกจุดหนึ่งของ ActiveX คือหมายเลข MS03-042
ซึ่งเป็นช่องโหว่ในส่วนของ Local Troubleshooter ActiveX control ช่องโหว่นี้จัดอยู่ในประเภทหน่วยความจำล้น
(buffer overflow) โดยผู้บุกรุกจะอาศัยช่องโหว่นี้ในการเขียนเว็บเพจ
หรืออี-เมล์ในรูปแบบของ HTML ที่ซ้อนโค้ดของการบุกรุก หลังจากผู้เสียหายเปิดข้อมูลดังกล่าวโปรแกรมของผู้บุกรุกจะบุกรุกผ่านช่องโหว่ประเภท
buffer overflow แล้วทำการแทรกโปรแกรมสำหรับการบุกรุก หรือใช้งานระบบของเครื่องผู้เสียหายได้ทันที
ระบบที่มีผลกระทบของ Patch หมายเลข MS03-042
- Microsoft Windows 2000, Service Pack 2
- Microsoft Windows 2000, Service Pack 3, Service
Pack 4
แนวทางแก้ไข
ช่องโหว่ของบริการ Messenger Service
การบริการ Messenger Service นั้นจะเริ่มต้นทำงานโดยดีฟอลต์
(default) กับระบบปฏิบัติการ วินโดวส์ 2000, วินโดวส์ NT, วินโดวส์
XP ทั้งที่เป็น Desktop และ Server อย่างไรก็ตามระบบ Messenger Service
ไม่เกี่ยวข้องกับการทำงานของ Miscrosoft MSN Messenger
ผู้บุกรุกจะอาศัยช่องโหว่ของความผิดพลาดในการจำกัดขนาดบัฟเฟอร์
เพื่อเรียกใช้งานโปรแกรมของการบุกรุกเพื่อเข้าใช้ระบบของผู้เสียหายโดยไม่ได้รับอนุญาติ
ทีมงานคาดว่าช่องโหว่นี้อาจเป็นช่องทางหนึ่งสำหรับหนอนอินเทอร์เน็ต
หรือไวรัสชนิดใหม่ที่จะเกิดขึ้น และอาจจะสร้างความเสียหายใหักับคอมพิวเตอร์และระบบเครือข่าย
อย่างที่เคยเกิดขึ้นมาแล้วกับหนอนอินเทอร์เน็ตชนิด W32.Blaster.Worm,
W32.Nachi.Worm
หรือ W32/SQLSlammer
ระบบที่มีผลกระทบของ Patch หมายเลข MS03-043
- Microsoft Windows NT Workstation 4.0, Service
Pack 6a
- Microsoft Windows NT Server 4.0, Service Pack
6a
- Microsoft Windows NT Server 4.0, Terminal Server
Edition, Service Pack 6
- Microsoft Windows 2000, Service Pack 2
- Microsoft Windows 2000, Service Pack 3, Service
Pack 4
- Microsoft Windows XP Gold, Service Pack 1
- Microsoft Windows XP 64-bit Edition
- Microsoft Windows XP 64-bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-bit Edition
แนวทางแก้ไข
- ติดตั้ง patch หมายเลข MS03-043
- ป้องกัน Traffic ที่เกิดขึ้นจากพอร์ตของ NetBIOS
(139/tcp, 139/udp) หรือ RPC (135/tcp, 139/tcp, 445/tcp, 593/tcp
135/udp,137/udp, 138/udp และ 445/udp) ด้วย Gateway หรือ Personal
Firewall
- ยกเลิกการให้บริการ Messenger Service
เอกสารอ้างอิง
MS03-047
: Vulnerability in Exchange Server 5.5 Outlook Web Access Could
Allow Cross-Site Scripting Attack (828489)
MS03-046
: Vulnerability in Exchange Server Could Allow Arbitrary Code Execution
(822363)
MS03-045
: Buffer Overrun in the ListBox and in the ComboBox Control Could
Allow Code Execution (824141)
MS03-044
: Buffer Overrun in Windows Help and Support Center Could Lead to
System Compromise (825119)
MS03-043
: Buffer Overrun in Messenger Service Could Allow Code Execution
(828035)
MS03-042
: Buffer Overflow in Windows Troubleshooter ActiveX Control Could
Allow Code Execution (826232)
MS03-041
: Vulnerability in Authenticode Verification Could Allow Remote
Code Execution (823182)
เผยแพร่โดย ThaiCERT เมื่อ 16 ตุลาคม
2546
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 16 ตุลาคม 2546
|
