Microsoft Security Bulletin MS05-043
Vulnerability in Print Spooler Service Could Allow Remote Code Execution (896423)
วันที่ประกาศ : 11 สิงหาคม 2548
เวอร์ชัน : 1.0
เรียบเรียงโดย : พุธ นาฑีสุวรรณ และ ศิริวรรณ อภิสิริเดช

คำอธิบายโดยย่อ

ไมโครซอฟท์ได้ประกาศแจ้งเตือนช่องโหว่ที่เกิดขึ้นกับ Print Spooler Service ช่องโหว่นี้อาจเป็นผลให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกลเข้ามา

Print Spooler Service (Spoolsv.exe) เป็นไฟล์เอ็กซิคิวต์ที่ถูกติดตั้งไว้เป็น Service ภายใต้ OS โดยจะถูกโหลดขึ้นมาเมื่อเริ่มเปิดเครื่องใช้งาน OS และจะรันจนกระทั่งปิดเครื่องไป หน้าที่หลักของ Service นี้คือควบคุมงานพิมพ์เอกสาร ซึ่งประกอบด้วยการจัดเตรียมไดร์ฟเวอร์ที่เหมาะสม การโหลดไดรฟ์เวอร์ของพริ้นเตอร์เพื่อใช้งาน ควบคุมการใช้ Buffer เพื่อเตรียมเอกสารก่อนพิมพ์ และ สั่งพิมพ์เอกสารสู่พริ้นเตอร์

ข้อมูลโดยย่อของช่องโหว่นี้มีดังนี้

Print Spooler Vulnerability - CAN-2005-1984

Print Spooler Service มีช่องโหว่ที่ทำให้ผู้บุกรุกสามารถสั่งเอ็กซิคิวต์โค้ดจากภายนอกได้ โดยผู้บุกรุกจะสร้างข้อความพิเศษ และส่งข้อความนั้นไปยังระบบที่มีช่องโหว่เพื่อสั่งเอ็กซิคิวต์โค้ด จากนั้นผู้บุกรุกจะสามารถควบคุมระบบได้ทันที โดยปกติ ระบบ Windows 2000 และ Windows XP Service Pack 1 นั้น มีช่องโหว่ของการโจมตีได้จากระยะไกล ส่วนระบบ Windows XP SP2 หรือ Windows Server 2003 จะเกิดการโจมตีจากระยะไกลได้เช่นกันหากผู้ใช้ทำการแชร์เครื่องพิมพ์ด้วยสิทธิที่ไม่เหมาะสม หรือพยายามติดต่อไปยังเครื่องพิมพ์ที่แชร์ไว้

หากผู้ใช้งานเครื่องคอมพิวเตอร์ที่ยังไม่ได้ทำการอุดช่องโหว่นี้ล็อกอินภายใต้สิทธิของผู้ดูแลระบบ ในกรณีที่รุนแรงที่สุดของช่องโหว่เหล่านี้ ผู้บุกรุกก็จะสามารถควบคุมเครื่องไว้ได้ทั้งหมด ซึ่งรวมถึงการติดตั้งโปรแกรมเพิ่มเติมเข้าไป การเรียกดู เปลี่ยนแปลง หรือแม้แต่ลบข้อมูลที่อยู่ในเครื่องนั้นทิ้งไป รวมทั้งการเพิ่มผู้ใช้รายใหม่ที่มีระดับสิทธิสูงๆ เข้าไปในบัญชีผู้ใช้ หากไม่ได้ล็อกอินภายใต้สิทธิดังกล่าว ความเสี่ยงต่อความเสียหาย หรือผลกระทบที่อาจเกิดขึ้นก็จะลดความรุนแรงลงไป

สำหรับระบบ Windows XP Service Pack 2 และ Windows Server 2003 การโจมตีช่องโหว่นี้จะส่งผลให้เกิดภาวะของระบบทำงานหยุดชะงัก (denial of service) ได้ ส่วนระบบอื่นๆ ส่วนใหญ่ก็จะเกิดผลเช่นกัน แต่อาจมีความเป็นไปได้ที่จะเกิดการสั่งเอ็กซิคิวต์โค้ดจากภายนอกและถูกควบคุมโดยผู้บุกรุกได้

ผลกระทบของช่องโหว่นี้

ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล

ระดับความรุนแรง

สูงสุด (Critical)

ซอฟต์แวร์ที่ได้รับผลกระทบ

• Microsoft Windows 2000 Service Pack 4 – ดาวน์โหลดได้จากลิงก์นี้
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 – ดาวน์โหลดได้จากลิงก์นี้
• Microsoft Windows Server 2003 – ดาวน์โหลดได้จากลิงก์นี้
• Microsoft Windows Server 2003 for Itanium-based Systems - ดาวน์โหลดได้จากลิงก์นี้
  

ซอฟต์แวร์ที่ไม่ได้รับผลกระทบ

• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)
  

วิธีแก้ไขปัญหา

ให้ติดตั้งโปรแกรมอุดช่องโหว่ตามข้อมูลด้านบน

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์