SUSE by Ingram

นักวิจัยพบช่องโหว่ใหม่บน Windows 7 และ Windows Server 2008

Clément Labro นักวิจัยด้านความมั่งคงปลอดภัยชาวฝรั่งเศสได้ค้นพบช่องโหว่ใหม่บน Windows 7 และ Windows Server 2008 ประเด็นก็คือ OS ทั้งสองหมดการรองรับจาก Microsoft แล้ว ดังนั้นเป็นเรื่องยากมากที่จะได้รับแพตช์แก้ไขโดยตรง

ช่องโหว่ 2 รายการเกิดขึ้นใน Registry Key ของ RPC Endpoint Mapper และ DNSCache Services ตาม Path ดังนี้

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

โดยนักวิจัยบังเอิญไปพบว่าผู้โจมตีสามารถแก้ไข Registry Key เหล่านี้ ซึ่งจะถูกนำไปใช้ต่อในกลไกของ Windows Performance Monitoring ที่เปิดให้นักพัฒนาสามารถโหลด DLL File ของตนเองเพื่อ Customize การติดตามประสิทธิภาพของแอปพลิเคชันได้ตามต้องการ ประเด็นคือ Windows เวอร์ชันใหม่ๆ มีการจำกัดสิทธิการทำงานนี้ไว้ระดับต่ำ แต่ปัญหาของ Windows 7 และ Server 2008 คือการที่ผู้โจมตีสามารถใช้ช่องทางนี้ลอบรันโค้ดในระดับ SYSTEM ได้

แน่นอนว่า OS ทั้งสองนั้นถูกประกาศโล๊ะจาก Microsoft ระยะหนึ่งแล้ว ดังนั้นเป็นเรื่องยากเหลือเกินที่ผู้ที่ยังใช้งานอยู่จะได้รับแพตช์ และถึงจะจ่ายเงินเพื่ออัปเดตด้าน Security ก็ไม่แน่อยู่ดีว่าจะทำแพตช์มาให้หรือไม่ อย่างไรก็ดีผู้ใช้งานที่จำเป็นจริงๆ ยังพอมีทางเลือกก็คือการใช้แพตช์จาก Third-party เช่น ACROS Security ที่นำเสนอบริการในลักษณะดังกล่าว หรือผู้ดูแลควรเฝ้าระวังและแยกเครื่องเก่าไปควบคุมในโซนที่ปลอดภัย

ผู้สนใจสามารถศึกษาแพตช์จาก ACROS Security ได้ตามวีดีโอด้านล่าง

ที่มา : https://www.zdnet.com/article/security-researcher-accidentally-discloses-windows-7-and-windows-server-2008-zero-day/ และ https://www.bleepingcomputer.com/news/security/windows-7-and-server-2008-zero-day-bug-gets-a-free-patch/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Palo Alto Networks | Nutanix Webinar: Straight up Security with Nutanix and Palo Alto Networks

Palo Alto Networks และ Nutanix ขอเชิญเหล่า CISO, IT Security Manager, Security Engineer และผู้ที่เกี่ยวข้องกับสายงานทางด้าน IT Security …

CISA ออกเตือนพบคนร้ายสามารถ Bypass MFA เพื่อเข้าถึงบัญชี Cloud

CISA ได้ออกเตือนถึงเหตุการณ์ทั่วไปที่ตนพบเกี่ยวกับการโจมตีบัญชี Cloud ที่เกิดขึ้นได้บ่อย และมีบางกรณีที่คนร้ายสามารถลัดผ่านการป้องกันด้วย Multi-factor Authentication ได้