ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

ชื่อเรื่อง : เพิ่มความปลอดภัยให้โปรแกรม Microsoft Outlook
เรียบเรียงโดย : มนัชยา ชมธวัช
เผยแพร่เมื่อ : 4 มกราคม 2545

ปัจจุบันนี้ ระบบปฏิบัติการวินโดวส์ 95/98/2000/Me/XP ของบริษัทไมโครซอฟต์ถูกใช้งานอย่างกว้างขวางในเครื่องคอมพิวเตอร์ส่วนบุคคลของผู้ใช้งานคอมพิวเตอร์โดยทั่วไป และเนื่องจากคอมพิวเตอร์ที่ใช้กันอยู่ทุกวันนี้ถูกเชื่อมต่อกับอินเทอร์เน็ตทั้งเพื่อจุดประสงค์ทางธุรกิจและความบันเทิงอื่นๆ ทำให้การใช้งานจดหมายอิเล็กทรอนิกส์หรืออีเมล์จึงมีความสำคัญเพิ่มขึ้นเรื่อยๆ จนถือเป็นวิธีการหลักที่ทั่วโลกนิยมใช้ในการแลกเปลี่ยนข่าวสารข้อมูลระหว่างกัน ผู้ใช้คอมพิวเตอร์จำนวนมากพบว่าการใช้งานโปรแกรม Microsoft Outlook จะทำให้ตนเองได้รับความสะดวกในการจัดการกับอีเมล์ของตน โดยมีความเข้าใจว่า โปรแกรม Microsoft Outlook ทำหน้าที่ติดต่อกับเครื่องให้บริการเมล์เครื่องใดๆ แล้วส่งอีเมล์ที่ผู้ใช้ต้องการส่งไปหาผู้อื่นออกไป หรือส่งอีเมล์ที่ผู้อื่นส่งมาหาผู้ใช้เข้ามา ในความจริงแล้ว การทำงานของโปรแกรม Microsoft Outlook มีมากกว่านั้นซึ่งผู้ใช้โดยทั่วไปมักจะคาดไม่ถึง

หากผู้ใช้งานโปรแกรม Microsoft Outlook ปฏิบัติตามขั้นตอนการเพิ่มความปลอดภัยตามที่จะนำเสนอต่อไปในเอกสารฉบับนี้ จะช่วยป้องกันภัยจากไวรัส หนอนอินเทอร์เน็ต หรือโค้ด HTML ต่างๆ ที่มีจุดประสงค์ในการก่อความเสียหายต่อระบบได้ โดยขั้นตอนดังกล่าวนี้มีความเกี่ยวข้องกับการนำ patch จากบริษัทไมโครซอฟต์ส่วนที่เกี่ยวข้องกับความปลอดภัยมาใช้งาน การเปลี่ยนแปลงค่าการทำงานของโปรแกรม Microsoft Outlook จากค่าเริ่มต้นที่โปรแกรมกำหนด การนำเครื่องมือช่วยจากผู้ผลิตรายอื่นมาใช้งาน รวมไปถึงการใช้ความรู้สึกจากประสบการณ์ที่เคยได้รับมาตัดสิน

Patch ที่เกี่ยวข้องกับความปลอดภัยของโปรแกรม Microsoft Outlook
ในหัวข้อนี้จะไม่กล่าวถึง patch ทั้งหมดของบริษัทไมโครซอฟต์ที่เกี่ยวข้องกับความปลอดภัยของโปรแกรม Microsoft Outlook และจะไม่อธิบายขั้นตอนการติดตั้ง patch เนื่องจากผู้ใช้สามารถศึกษาข้อมูลดังกล่าวได้โดยตรงจากเว็บไซต์ของไมโครซอฟต์ http://www.microsoft.com โดยรายละเอียดที่นำเสนอจะเป็นการอธิบายถึง patch ที่จะนำมาติดตั้งในเครื่อง เมื่อพิจารณาในมุมมองของผู้ใช้งานโปรแกรมคนหนึ่งว่าควรดำเนินการอย่างไร และมีข้อควรระวังใดบ้าง

สิ่งสำคัญที่ควรระลึกไว้อยู่เสมอเมื่อต้องการดำเนินการใดๆ กับ patch ของโปรแกรม Microsoft Outlook ก็คือความจริงที่ว่า ไฟล์หลายไฟล์ที่โปรแกรม Microsoft Outlook ใช้งานเป็นคอมโพเนนต์ที่มีการแชร์ให้ใช้งานร่วมกับโปรแกรม Internet Explorer ดังนั้น การเลือกใช้งาน patch เพื่อแก้ไขช่องโหว่ที่เกิดขึ้นจะต้องเลือกให้ถูกต้องตามเวอร์ชันของโปรแกรม Internet Explorer ที่ใช้งาน

ไมโครซอฟต์ได้เผยแพร่ patch สำหรับโปรแกรม Outlook 98 และ Outlook 2000 (มาพร้อมกับตัวอัพเดตของ Office Service Release 1 (Service Pack 1 ของ Microsoft Office)) ซึ่งจะทำการยกเลิกการทำงานที่เคยอนุญาตให้ไวรัส VBS/Loveletter และไวรัสที่ทำงานในรูปแบบเดียวกันนี้แพร่กระจายได้อย่างรวดเร็ว เนื่องจาก patch ดังกล่าวนี้จะทำให้ตัวไวรัสไม่สามารถเปิดใช้งานไฟล์ในโปรแกรม Microsoft Outlook ได้ รวมไปถึงการใช้งานสคริปต์ VB ที่มีนามสกุลเป็น .vbs ซึ่งใช้ในการแพร่กระจายตัวของไวรัส LoveLetter ด้วย

Patch ดังกล่าวนี้จะจำกัดการเปิดใช้งานไฟล์ที่แนบมากับอีเมล์หลายๆ ชนิด รวมทั้งไฟล์ชนิดที่ให้เอ็กซิคิวต์ได้ (ไฟล์นามสกุล .exe หรือ .com) ไฟล์ชนิด batch (ไฟล์นามสกุล .bat) และไฟล์ชนิด pcd (ไฟล์นามสกุล .pcd) สำหรับรายการชนิดของไฟล์ที่ได้รับผลจาก patch ดังกล่าวนี้ได้แสดงไว้ในตอนท้ายของเอกสาร การติดตั้งตั้ง patch ดังกล่าวนี้จะส่งผลกระทบต่อการทำงานอื่นๆ อีกหลายอัน เช่น Digital Dashboard นอกจากนั้น เมื่อผู้ใช้เขียนจดหมายขึ้นมา 1 ฉบับ และส่งออกจากเครื่องในรูปของอีเมล์โดยใช้งานโฟลเดอร์ Contacts ผู้ใช้จะได้รับข้อความเตือนจากระบบว่า โปรแกรมกำลังพยายามที่จะเข้าใช้งาน address book ของผู้ใช้ ฟังดูอาจจะไม่ใช่เรื่องร้ายแรง แต่ลองนึกภาพว่าผู้ใช้จะต้องได้รับข้อความเตือนแบบนี้ทุกครั้งสำหรับอีเมล์ทุกฉบับที่จะส่งออกไป ซึ่งจะส่งผลให้ผู้ใช้จะต้องรอนานถึง 5 วินาทีเพื่อยืนยันการส่งอีเมล์แต่ละฉบับ ยกตัวอย่างเช่น หากต้องการส่งข้อความผ่านทางอีเมล์ไปหาคน 100 คน ผู้ส่งจะต้องใช้เวลาถึง 8 นาทีในการส่ง รวมไปถึงจะต้องคอยเลือกยินยอมให้เกิดการส่งอีเมล์แต่ละฉบับในทุกๆ 5 วินาทีด้วย

ไม่มีวิธีการใดที่จะยกเลิกการติดตั้งการทำงานดังกล่าวนี้ออกจาก patch ที่ติดตั้งไปแล้ว เนื่องจากไฟล์ดังกล่าวได้ถูกรวมเป็นส่วนหนึ่งของระบบปฏิบัติการและโปรแกรมอีเมล์ และยังไม่สามารถใช้งิธีการใดๆ ลบออปชันการทำงานนี้ออกไปได้โดยไม่ทำให้เกิดความเสียหายต่อระบบปฏิบัติการที่ใช้งาน

ข้อสำคัญที่สุดที่ควรระลึกไว้เสมอก็คือ ไม่ควรติดตั้ง patch ใดๆ ลงในเครื่องจนกว่าจะได้อ่านเอกสารแสดงรายละเอียดของ patch ตัวนั้น และทำความเข้าใจว่า patch ดังกล่าวจะส่งผลอย่างไรกับโปรแกรม Microsoft Outlook ที่ใช้งาน ควรจะแน่ใจทุกครั้งว่าการเพิ่ม patch ใดๆ ลงในเครื่องจะต้องทำให้การทำงานต่างๆ ยังสามารถทำได้ดังเดิม นอกจากนั้น การสร้างความปลอดภัยให้กับโปรแกรม Microsoft Outlook จากเหตุการณ์ความปลอดภัยโดยทั่วไปสามารถทำได้โดยที่ผู้ใช้ไม่จำเป็นต้องอาศัยการติดตั้งตั้ง patch ใดๆ เลย

รายละเอียดเพิ่มเติมเกี่ยวกับ patch และวิธีการติดตั้ง สามารถศึกษาได้จากบทความ วิธีการติดตั้ง Microsoft Hotfix และ Service Pack และศึกษาข้อมูลเกี่ยวกับ Service Pack ต่างๆ ได้จากเว็บไซต์ของไมโครซอฟต์ ที่นี่

วิธีการทำงานของไวรัส
การที่ผู้ใช้มีโปรแกรม anti-virus ไว้ใช้งานในเครื่องคอมพิวเตอร์ของตนและคอยอัพเดตข้อมูลของไวรัสให้มีข้อมูลใหม่ล่าสุดอยู่เสมอยังไม่เพียงพอที่จะทำให้ได้รับความปลอดภัยในการใช้งานโปรแกรม Microsoft Outlook แม้ว่าการอัพเดตจะเกิดขึ้นหลายๆ ครั้งในแต่ละสัปดาห์ก็ตาม

จากข้อมูลหน้าไวรัสของ Slipstick.com (http://www.slipstick.com/problems/virus.htm) แสดงให้เห็นว่าไวรัสสามารถเข้าสู่โปรแกรม Microsoft Outloook ได้หลายทาง ได้แก่

• เครื่องคอมพิวเตอร์ที่ใช้งานโปรแกรม Internet Explorer เวอร์ชันเก่า อาจได้รับอีเมล์จากอินเทอร์เน็ตโดยมีเฮดเดอร์ที่ผิดปกติ ส่งผลให้โปรแกรม Microsoft Outlook เกิดขัดข้องหรือทำให้ระบบได้รับผลกระทบจากโค้ดมีจุดประสงค์ร้ายต่อระบบ โดยที่ผู้ใช้ไม่จำเป็นต้องเปิดอ่านอีเมล์ หรือเปิดอีเมล์ในส่วนพรีวิวแต่อย่างใด
  ระบบปฏิบัติการวินโดวส์ 2000 ที่ใช้งานโปรแกรม Internet Explorer 5.5 ยังไม่ได้ป้องกันช่องโหว่นี้ ผู้ใช้อาจเปลี่ยนกลับไปใช้ Internet Explorer 5.01 ที่ติดตั้ง Service Pack 1 แทน สำหรับระบบปฏิบัติการอื่นๆ สามารถใช้ได้ทั้ง Internet Explorer 5.01 ที่ติดตั้ง Service Pack 1 และ Internet Explorer 5.5 ซึ่งได้รับการแก้ไขช่องโหว่นี้แล้ว
• เครื่องคอมพิวเตอร์ที่ใช้งานโปรแกรม Microsoft Outlook อาจได้รับผลจากไวรัส ถ้าหากผู้ใช้ไม่มีความระมัดระวังต่อความปลอดภัยในการเปิดอ่านข้อความที่มาในรูปแบบของ HTML เพียงพอ เช่น การเรียกดูอีเมล์ในช่องพรีวิวของโปรแกรม Outlook 98 (Outlook 2000 ได้แก้ไขให้ไม่สามารถเปิดดูข้อความ HTML ในช่องพรีวิวได้)
• ผู้ใช้เปิดไฟล์ไวรัสที่แนบมากับอีเมล์ซึ่งได้รับผ่านทางโปรแกรม Microsoft Outlook คนทั่วไปมีความเข้าใจว่าไฟล์ที่แนบมากับอีเมล์ไม่สามารถทำงานได้เองโดยอัตโนมัติ อย่างไรก็ตาม ไวรัสชื่อ Blebla ได้แสดงให้เห็นว่า เมื่อข้อความถูกส่งมาในรูปแบบของ HTML จะทำให้ไฟล์ที่แนบมาด้วยสามารถเริ่มทำงานได้โดยอัตโนมัติ หากผู้ใช้ไม่ได้ทำการป้องกันอย่างเพียงพอ

การป้องกันเพื่อรับมือกับหนอนอินเทอร์เน็ตที่มากับอีเมล์ในรูปแบบของไฟล์ VBS
VBS หรือสคริปต์ภาษา Visual Basic มักจะถูกนำมาใช้ในการประกอบตัวหนอนอินเทอร์เน็ตลงในอีเมล์ เนื่องจากรูปแบบการสร้างโปรแกรม Microsoft Outlook มีความง่ายต่อการใช้งาน ไวรัสเหล่านั้นจึงแพร่กระจายตัวเองได้โดยใช้สคริปต์ Visual Basic ในการอ่านค่าจาก address book ของโปรแกรม Microsoft Outlook และส่งข้อความที่ติดไวรัสใหม่ออกไปยังผู้รับปลายทางตามรายชื่อที่ตรวจพบ ไวรัสเหล่านี้ใช้กลอุบายในการส่งตัวเองจากต้นทางที่ผู้รับรู้จัก เช่น ญาติ เพื่อน หรือคนรู้จัก เพื่อให้ผู้รับเปิดดูอีเมล์ฉบับนั้น

สิ่งที่ผู้ใช้งานโปรแกรม Microsoft Outlook ควรทำเพื่อป้องกันตัวเองจากผลของการเริ่มทำงานได้ด้วยตัวเองโดยอัตโนมัติของไวรัสแบบ VBS มีอยู่หลายขั้นตอน ผู้ใช้จะต้องยกเลิกการใช้งานออปชัน Windows Scripting Host แก้ไขค่าการทำงานของโปรแกรม Microsoft Outlook ซึ่งค่าปกติจะตั้งไว้ให้โปรแกรมเปิดอ่านอีเมล์ใหม่โดยอัตโนมัติ ปิดหน้าต่างพรีวิวของโปรแกรม Microsoft Outlook และแก้ไขค่า "file types" ของระบบ ดังต่อไปนี้

หมายเหตุ คำสั่งการแก้ไขค่าการทำงานทั้งหมดที่นำเสนอในที่นี้ อ้างอิงจากการใช้งานจริงบนระบบปฏิบัติการวินโดวส์ 98 ดังนั้นหากผู้ใช้มีการใช้งานระบบปฏิบัติการอื่นๆ อาจทำให้ค่าที่ต้องแก้ไขมีความแตกต่างออกไปจากที่นำเสนอ

• ยกเลิกการใช้งานออปชัน Windows Scripting Host (รายละเอียดเกี่ยวกับ Windows Scripting Host สามารถศึกษาเพิ่มเติมได้จากบทความ Script - Base Mobile Threads) ทำได้โดย
1. เปิดหน้าต่าง Control Panel โดยเลือก Start >> Settings >> Control Panel
2. เลือกไอคอน Add / Remove Programs
3. เลือกแท็บ Windows Setup
4. ภายในหน้าต่างคอมโพเนนต์ที่ปรากฏ เลือก Accessories
5. ภายในคอมโพเนนต์ Accessories ให้ตรวจสอบค่าของ Windows Scripting Host ซึ่งอยู่ล่างสุด ค่าดังกล่าวจะต้องไม่ถูกเลือกให้ทำงาน หากมีการเลือกอยู่ให้แก้ไขค่าเพื่อยกเลิกการเลือก
6. เลือก OK สองครั้งเพื่ออกจากการแก้ไขค่า แล้วปิดหน้าต่าง Control Panel
   
   
• แก้ไขค่าการทำงาน ซึ่งตามปกติโปรแกรม Microsoft Outlook จะเปิดอ่านอีเมล์ฉบับถัดไปที่ยังไม่ถูกอ่าน หลังจากที่ผู้ใช้ลบหรือย้ายอีเมล์โดยอัตโนมัติ
1. เปิดโปรแกรม Microsoft Outlook
2. ที่ทูลบาร์ เลือกเมนู Tools
3. จะปรากฏเมนูเพิ่มเติมเลื่อนลงมา เลือก Options... จะปรากฏหน้าต่างของ Options ให้ไปที่แท็บ Preferences
4. เลือกปุ่ม E-mail Options...
5. ในส่วนของ Message handling ให้แก้ไขค่าการทำงานที่บรรทัดแรก (After moving or deleting an open item: )
   
   
   
   รูปที่ 1 แสดงหน้าต่างการแก้ไขค่า E-mail Option
   
   
6. เลือกลูกศรลงที่ท้ายบรรทัด แล้วเลือก return to the Inbox ตามที่แสดงในรูปที่ 1
7. หลังจากนั้นให้ยกเลิกการเลือกออปชัน Display a notification message when new mail arrives
8. เลือก OK สองครั้งเพื่อกลับสู่โปรแกรม Microsoft Outlook
   
   
• ปิดหน้าต่างพรีวิวของโปรแกรม Microsoft Outlook
1. เปิดโปรแกรม Microsoft Outlook
2. เลือกเมนู View จากทูลบาร์
3. จะปรากฏเมนูเพิ่มเติมเลื่อนลงมา เลือก Preview pane และ Auto Preview
4. ถ้าตัวใดตัวหนึ่งหรือทั้งสองตัวถูกเลือก ไอคอนที่อยู่ถัดจากค่าเหล่านั้นจะปรากฏ หากไอคอนปรากฏให้ยกเลิกการเลือกทั้งในส่วนของ Preview และ Auto Preview
5. ทางเลือกหนึ่งของผู้ใช้ คืออาจติดตั้งโปรแกรม Chilton Preview บนเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการวินโดวส์ 98 เพื่อใช้เปิดดูเนื้อความของอีเมล์แบบเดียวกับที่ปรากฏในหน้าต่างพรีวิว โดยโปรแกรมดังกล่าวจะไม่อนุญาตให้สคริปต์ Visual Basic หรือ HTML ทำงาน การใช้โปรแกรม Chilton Preview ไม่ทำให้เกิดช่องโหว่ของระบบจากอีเมล์ที่ภายในประกอบด้วยโค้ด HTML ที่ต้องการทำอันตรายต่อระบบ (สำหรับ Outlook 2000 จะไม่มีการเรียกใช้งานสคริปต์จากข้อความ HTML ในส่วนของหน้าต่างพรีวิวแต่อย่างใด)
   สามารถดาวน์โหลดโปรแกรม Chilton Preview ได้ที่ http://www.slipstick.com/files/chiltonp.zip
   
   
• สิ่งสุดท้ายที่ควรทำคือ การตรวจสอบให้แน่ใจว่า การแสดงชื่อไฟล์ในเครื่องได้แสดงประเภทของไฟล์ที่เกี่ยวข้องทั้งหมดอ่างถูกต้องครบถ้วน โดยทั่วไป ระบบปฏิบัติการวินโดวส์จะซ่อนนามสกุลของไฟล์ชนิดที่เป็นที่รู้จักไว้ ตัวอย่างเช่น ไฟล์ .VBS ซึ่งผู้ใช้ทั่วไปทราบดีว่าเป็นไฟล์สคริปต์ภาษา Visual Basic ทำให้หนอนอินเทอร์เน็ตบางชนิด เช่น ANNAKOURNIKOVA.JPEG.VBS แสดงชื่อไฟล์เป็น ANNAKOURNIKOVA.JPEG ซึ่งผู้ใช้ทุกคนควรจะให้ระบบปฏิบัติการแสดงนามสกุล .VBS ไว้ด้วยทุกครั้ง เพื่อให้เกิดความระมัดระวังในการเปิดใช้งานไฟล์ว่า จริงๆ แล้วไฟล์ดังกล่าวเป็นสคริปต์ภาษา Visual Basic ไม่ใช่ไฟล์ชนิด JPEG (ไฟล์รูปภาพ) มีวิธีการดังนี้
1. เปิดหน้าต่าง Windows Explorer
2. ที่ทูลบาร์ เลือกเมนู Tools
3. จะปรากฏเมนูเพิ่มเติมเลื่อนลงมา เลือก Folder Options... จะปรากฏหน้าต่างของ Folder Options ให้ไปที่แท็บ View
4. ภายใต้ Files and Folders จะปรากฏออปชัน Hide file extensions for known file types ตามที่แสดงในรูปที่ 2
   
   
   
   รูปที่ 2 แสดงหน้าต่างการแก้ไขค่า Folder Options
   
   
5. หากมีการเลือกใช้งานออปชันดังกล่าวอยู่ให้เลือกออก แล้วเลือก OK นั่นคือจะต้องไม่มีการใช้งานออปชันนี้ระบบจึงจะแสดงนามสกุลทั้งหมดของทุกไฟล์

จะเห็นได้ว่า การปฏิบัติตามขั้นตอนที่กล่าวมาทั้งหมดนี้ไม่มีความยุ่งยากแต่อย่างใด และผู้ใช้ยังเสียเวลาในการจัดการน้อยมาก โดยเฉพาะอย่างยิ่งเมื่อเปรียบเทียบกับเวลาที่อาจจะต้องเสียไปในการกู้คืนระบบหากเครื่องคอมพิวเตอร์ที่ใช้ติดไวรัส

หากเครื่องคอมพิวเตอร์เครื่องใดได้รับการติดตั้ง patch ดังกล่าวนี้ จะส่งผลให้โปรแกรม Microsoft Outlook ไม่สามารถเปิดหรือคัดลอกไฟล์ที่มีชนิดตามรายการด้านบนซึ่งถูกแนบมากับอีเมล์ได้ โดยที่ไฟล์ที่ถูกแนบมายังคงติดมากับตัวข้อความ แม้ว่าผู้ใช้มองไม่เห็นไฟล์จากโปรแกรม Microsoft Outlook ก็ตาม ผู้ใช้สามารถเข้าถึงไฟล์ดังกล่าวได้โดยใช้โปรแกรมอื่นๆ

และหากผู้ใช้พยายามจะส่งต่อข้อความที่มีไฟล์เหล่านี้แนบไปด้วย โปรแกรม Microsoft Outlook จะทำการแปลงไฟล์ที่แนบอยู่ให้เป็นรูปของอีเมล์ที่ถูกส่งต่อ

แหล่งข้อมูล
[1] Securing Microsoft Outlook
[2] Protecting Microsoft Outlook against Virus
[3] Virus Affecting Microsoft Outlook