เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

พบช่องโหว่ Zero-Day บนโปรโตคอล SMB ชี้ Windows หลายเวอร์ชันได้รับผลกระทบ

US-CERT ศูนย์ประสานการรักษาความมั่นคงระบบคอมพิวเตอร์สหรัฐอเมริกา ออกมาเปิดเผยถึง Security Advisory สำหรับรับมือกับช่องโหว่ Zero-day บนโปรโตคอล SMBv3 ซึ่งส่งผลกระทบต่อผู้ใช้ระบบปฏิบัติการ Windows หลายเวอร์ชัน ไม่เว้นแม้แต่เวอร์ชันใหม่ๆ อย่าง Windows 10 และ Server 2016

Credit: Brian Rinker

US-CERT ระบุว่า ช่องโหว่ Zero-day ดังกล่าว ก่อให้เกิดการโจมตีแบบ Denial-of-Service ซึ่งส่งผลให้ระบบปฏิบัติการหยุดทำงาน และอาจเปิดช่องทางให้แฮ็คเกอร์สามารถรันโค้ดแปลกปลอม (Arbitrary Code Execution) บนเครื่องโดยใช้สิทธิ์เป็น Windows Kernel ได้ อย่างไรก็ตาม เหตุการณ์หลังนี้ยังไม่ได้รับการยืนยันแน่ชัด

ผู้เชี่ยวชาญจาก US-CERT บรรยายถึงปัญหาที่เกิดจากช่องโหว่ Zero-day ดังนี้

“Microsoft Windows ล้มเหลวในการจัดการทราฟฟิกที่มาจาก Malicious Server อย่างเหมาะสม Windows ล้มเหลวในการจัดการ Server Response ซึ่งประกอบด้วยจำนวนไบต์ที่มากเกินไปตามโครงสร้างที่ได้กำหนดไว้ใน SMB2 TREE_CONNECT Respose Structure อย่างเหมาะสม ระบบ Windows Client ที่มีช่องโหว่อาจหยุดปฏิบัติการ (BSOD) ใน mrxsmb20.sys เมื่อเชื่อมต่อกับ Malicious Server ที่ให้บริการ SMB”

การทดสอบของ US-CERT ยืนยันว่าพบช่องโหว่ Zero-day นี้บน Windows 8.1 และ Windows 10 ในขณะที่ PythonResponder นักวิจัยด้านความมั่นคงปลอดภัยผู้เปิดเผยช่องโหว่ดังกล่าวยืนยันว่า Windows Server 2012 และ Server 2016 ต่างได้รับผลกระทบด้วยเช่นกัน

ที่น่าตกใจคือ ช่องโหว่มีคะแนน CVSS ที่ 10 เต็ม 10 นั่นหมายความเป็นช่องโหว่ที่มีความรุนแรงระดับสูงสุด ที่ต่อให้แฮ็คเกอร์มีทักษะเพียงเล็กน้อยก็สามารถโจมตีจากระยะไกลได้ นอกจากนี้ ทาง Microsoft ยังไม่มีการออกแพทช์เพื่ออุดช่องโหว่ดังกล่าวแต่อย่างใด แนะนำว่าให้ผู้ดูแลระบบทำการบล็อกการเชื่อม SMB ขาออก (TCP พอร์ต 139 และ 445 รวมไปถึง UDP พอร์ต 137 และ 138) จากระบบเครือข่ายภายในวิ่งไปยังเครือข่าย WAN

อ่านรายละเอียด Security Advisory จาก US-CERT ได้ที่ http://www.kb.cert.org/vuls/id/867968

ที่มา: https://www.bleepingcomputer.com/news/security/smb-zero-day-affects-several-windows-versions-including-windows-10/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่สามารถ Bypass 2FA ใน cPanel

cPanel น่าจะเป็นชื่อที่คุ้นหูกันบ้านในธุรกิจ Web Hosting ซึ่งวันนี้มีการเปิดเผยว่าค้นพบช่องโหว่ที่ช่วยให้คนร้ายสามารถ Bypass การป้องกันของ 2 Factors Authentication ได้

Splunk เข้าซื้อกิจการ Flowmill เสริมแกร่งเทคโนโลยีช่วยติดตามปัญหาด้าน Network

Splunk ได้ประกาศเข้าซื้อกิจการ Flowmill ซึ่งเป็นสตาร์ทอัพที่นำเสนอโซลูชันเพื่อช่วยติดตามปัญหาระดับเครือข่ายในบริการคลาวด์ อย่างไรก็ดีไม่มีการเปิดเผยถึงมูลค่าดังกล่าว