CERT Advisory CA-2008-29 (Technical Cyber Security Alert TA08-297A)
Microsoft Windows Server Service RPC Vulnerability
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA08-297A.html
เรียบเรียงโดย: ณัฐพงษ์ แสงเลิศศิลปชัย

ระบบที่ได้รับผลกระทบ

• Microsoft Windows 2000
  
• Microsoft Windows XP
  
• Microsoft Windows Server 2003
  
• Microsoft Windows Vista
  
• Microsoft Windows Server 2008
  

กล่าวโดยทั่วไป

ช่องโหว่ของบริการเครื่องเซิร์ฟเวอร์ (Server service) ในการจัดการคำร้องขอ RPC (Remote Procedure Call -- การเรียกใช้งานระยะไกล) ของระบบปฏิบัติการ Microsoft Windows ทำให้ผู้บุกรุกระยะไกลซึ่งไม่ต้องพิสูจน์ตัวตนสามารถเรียกคำสั่งใช้งานด้วยสิทธิของ SYSTEM (สิทธิเสมือนเป็นระบบปฏิบัติการ) ได้

I. คำอธิบาย

ไมโครซอฟท์ได้เผยแพร่โปรแกรมซ่อมแซมช่องโหว่ MS08-067 เพื่อแก้ไขช่องโหว่หน่วยความจำล้น (buffer overflow) ของบริการเครื่องเซิร์ฟเวอร์ในระบบปฏิบัติการ Windows ช่องโหว่นี้เกิดขึ้นจากข้อผิดพลาดในการจัดการคำร้องขอ RPC ของบริการเครื่องเซิร์ฟเวอร์ สำหรับระบบที่ใช้ระบบปฏิบัติการ Windows 2000, XP และ Server 2003 ผู้บุกรุกระยะไกลซึ่งไม่ต้องพิสูจน์ตัวตนสามารถโจมตีช่องโหว่นี้ได้ ในขณะที่ระบบที่ใช้ระบบปฏิบัติการ Windows Vista และ Server 2008 ผู้บุกรุกระยะไกลยังต้องทำการพิสูจน์ตัวตนอยู่

Microsoft Security Bulletin MS08-067 ระบุความรุนแรงของช่องโหว่นี้เป็นระดับ "วิกฤติ (Critical)" สำหรับระบบปฏิบัติการ Windows 2000, XP และ Server 2003

ช่องโหว่นี้ได้รับหมายเลขระบุช่องโหว่ CVE-2008-4250 สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้จากเนื้อความของ blog Security Vulnerability & Research และบันทึกช่องโหว่ (Vulnerability Note) ของ US-CERT หมายเลข VU#827267

II. ผลกระทบ

ผู้บุกรุกระยะไกลซึ่งไม่ต้องพิสูจน์ตัวตนสามารถเรียกคำสั่งใช้งานหรือทำให้ระบบที่มีช่องโหว่หยุดทำงานได้ และเนื่องจากบริการเครื่องเซิร์ฟเวอร์ทำงานด้วยสิทธิของ SYSTEM ดังนั้นผู้บุกรุกอาจสามารถเข้าควบคุมระบบที่มีช่องโหว่โดยสมบูรณ์ได้

III. วิธีแก้ไข

ติดตั้งโปรแกรมซ่อมแซมช่องโหว่ของไมโครซอฟท์

ไมโครซอฟท์ได้ให้บริการโปรแกรมซ่อมแซมช่องโหว่ไว้ใน Microsoft Security Bulletin MS08-067 รวมทั้งเผยแพร่ทางเว็บ Microsoft Update และระบบอัพเดตอัตโนมัติ (Automatic Update) ผู้ดูแลระบบควรพิจารณาใช้งานระบบกระจายโปรแกรมปรับปรุงช่องโหว่ เช่น Windows Server Update Services (WSUS)

ระงับบริการเครื่องเซิร์ฟเวอร์และระบบค้นหาเครื่องคอมพิวเตอร์ (Computer Browser)

ระงับบริการเครื่องเซิร์ฟเวอร์และระบบค้นหาเครื่องคอมพิวเตอร์ในระบบปฏิบัติการ Windows ที่ไม่จำเป็นต้องใช้บริการเหล่านี้ เครื่อง Windows ลูกข่ายทั่วไปที่ไม่ได้แชร์ไฟล์หรือเครื่องพิมพ์ไม่จำเป็นต้องเปิดบริการเครื่องเซิร์ฟเวอร์และระบบค้นหาเครื่องคอมพิวเตอร์ไว้ และเพื่อเป็นแนวทางปฏิบัติที่ดีที่สุดทางด้านความมั่นคงปลอดภัย ควรระงับบริการที่ไม่จำเป็นทั้งหมด

จำกัดการเข้าถึงบริการเครื่องเซิร์ฟเวอร์

จำกัดการเข้าถึงบริการเครื่องเซิร์ฟเวอร์ (พอร์ท 139/TCP และ 445/TCP) เพื่อเป็นแนวทางปฏิบัติที่ดีที่สุดทางด้านความมั่นคงปลอดภัย ควรอนุญาตการเข้าถึงเฉพาะบริการเครือข่ายที่จำเป็นเท่านั้น

คัดกรองตัวบ่งชี้ RPC ที่มีผลกระทบ

ไฟร์วอลล์บนเครื่องในระบบปฏิบัติการ Windows Vista และ Windows Server 2008 สามารถเลือกคัดกรอง RPC UUID (Universally Unique Identifiers -- ตัวชี้บ่งเฉพาะ) ได้ สำหรับขั้นตอนการคัดกรองคำร้องขอ RPC ซึ่งมี UUID 4b324fc8-1670-01d3-1278-5a47bf6ee188 สามารถอ่านได้จาก Microsoft Security Bulletin MS08-067

IV. เอกสารอ้างอิง

• US-CERT Vulnerability Note VU#827267 - <http://www.kb.cert.org/vuls/id/827267>
  
• Microsoft Security Bulletin MS08-067 - <http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx>
  
• Microsoft Update - <https://update.microsoft.com/>
  
• Windows Update: Automatic Update <http://www.microsoft.com/windows/downloads/windowsupdate/automaticupdate.mspx>
  
• Windows Server Update Services (WSUS) Home - <http://technet.microsoft.com/en-us/wsus/default.aspx>
  
• CVE-2008-4250 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250>
  
• More detail about MS08-067, the out-of-band netapi32.dll security update - <http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx>
  

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์