Microsoft Azure by Ingram Micro (Thailand)

นักวิจัยพบช่องโหว่ใหม่บน Windows 7 และ Windows Server 2008

Clément Labro นักวิจัยด้านความมั่งคงปลอดภัยชาวฝรั่งเศสได้ค้นพบช่องโหว่ใหม่บน Windows 7 และ Windows Server 2008 ประเด็นก็คือ OS ทั้งสองหมดการรองรับจาก Microsoft แล้ว ดังนั้นเป็นเรื่องยากมากที่จะได้รับแพตช์แก้ไขโดยตรง

ช่องโหว่ 2 รายการเกิดขึ้นใน Registry Key ของ RPC Endpoint Mapper และ DNSCache Services ตาม Path ดังนี้

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

โดยนักวิจัยบังเอิญไปพบว่าผู้โจมตีสามารถแก้ไข Registry Key เหล่านี้ ซึ่งจะถูกนำไปใช้ต่อในกลไกของ Windows Performance Monitoring ที่เปิดให้นักพัฒนาสามารถโหลด DLL File ของตนเองเพื่อ Customize การติดตามประสิทธิภาพของแอปพลิเคชันได้ตามต้องการ ประเด็นคือ Windows เวอร์ชันใหม่ๆ มีการจำกัดสิทธิการทำงานนี้ไว้ระดับต่ำ แต่ปัญหาของ Windows 7 และ Server 2008 คือการที่ผู้โจมตีสามารถใช้ช่องทางนี้ลอบรันโค้ดในระดับ SYSTEM ได้

แน่นอนว่า OS ทั้งสองนั้นถูกประกาศโล๊ะจาก Microsoft ระยะหนึ่งแล้ว ดังนั้นเป็นเรื่องยากเหลือเกินที่ผู้ที่ยังใช้งานอยู่จะได้รับแพตช์ และถึงจะจ่ายเงินเพื่ออัปเดตด้าน Security ก็ไม่แน่อยู่ดีว่าจะทำแพตช์มาให้หรือไม่ อย่างไรก็ดีผู้ใช้งานที่จำเป็นจริงๆ ยังพอมีทางเลือกก็คือการใช้แพตช์จาก Third-party เช่น ACROS Security ที่นำเสนอบริการในลักษณะดังกล่าว หรือผู้ดูแลควรเฝ้าระวังและแยกเครื่องเก่าไปควบคุมในโซนที่ปลอดภัย

ผู้สนใจสามารถศึกษาแพตช์จาก ACROS Security ได้ตามวีดีโอด้านล่าง

ที่มา : https://www.zdnet.com/article/security-researcher-accidentally-discloses-windows-7-and-windows-server-2008-zero-day/ และ https://www.bleepingcomputer.com/news/security/windows-7-and-server-2008-zero-day-bug-gets-a-free-patch/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย