นักวิจัยพบช่องโหว่ใหม่บน Windows 7 และ Windows Server 2008

Clément Labro นักวิจัยด้านความมั่งคงปลอดภัยชาวฝรั่งเศสได้ค้นพบช่องโหว่ใหม่บน Windows 7 และ Windows Server 2008 ประเด็นก็คือ OS ทั้งสองหมดการรองรับจาก Microsoft แล้ว ดังนั้นเป็นเรื่องยากมากที่จะได้รับแพตช์แก้ไขโดยตรง

ช่องโหว่ 2 รายการเกิดขึ้นใน Registry Key ของ RPC Endpoint Mapper และ DNSCache Services ตาม Path ดังนี้

• HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
• HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

โดยนักวิจัยบังเอิญไปพบว่าผู้โจมตีสามารถแก้ไข Registry Key เหล่านี้ ซึ่งจะถูกนำไปใช้ต่อในกลไกของ Windows Performance Monitoring ที่เปิดให้นักพัฒนาสามารถโหลด DLL File ของตนเองเพื่อ Customize การติดตามประสิทธิภาพของแอปพลิเคชันได้ตามต้องการ ประเด็นคือ Windows เวอร์ชันใหม่ๆ มีการจำกัดสิทธิการทำงานนี้ไว้ระดับต่ำ แต่ปัญหาของ Windows 7 และ Server 2008 คือการที่ผู้โจมตีสามารถใช้ช่องทางนี้ลอบรันโค้ดในระดับ SYSTEM ได้

แน่นอนว่า OS ทั้งสองนั้นถูกประกาศโล๊ะจาก Microsoft ระยะหนึ่งแล้ว ดังนั้นเป็นเรื่องยากเหลือเกินที่ผู้ที่ยังใช้งานอยู่จะได้รับแพตช์ และถึงจะจ่ายเงินเพื่ออัปเดตด้าน Security ก็ไม่แน่อยู่ดีว่าจะทำแพตช์มาให้หรือไม่ อย่างไรก็ดีผู้ใช้งานที่จำเป็นจริงๆ ยังพอมีทางเลือกก็คือการใช้แพตช์จาก Third-party เช่น ACROS Security ที่นำเสนอบริการในลักษณะดังกล่าว หรือผู้ดูแลควรเฝ้าระวังและแยกเครื่องเก่าไปควบคุมในโซนที่ปลอดภัย

ผู้สนใจสามารถศึกษาแพตช์จาก ACROS Security ได้ตามวีดีโอด้านล่าง

ที่มา : https://www.zdnet.com/article/security-researcher-accidentally-discloses-windows-7-and-windows-server-2008-zero-day/ และ https://www.bleepingcomputer.com/news/security/windows-7-and-server-2008-zero-day-bug-gets-a-free-patch/