TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
US-CERT ศูนย์ประสานการรักษาความมั่นคงระบบคอมพิวเตอร์สหรัฐอเมริกา ออกมาเปิดเผยถึง Security Advisory สำหรับรับมือกับช่องโหว่ Zero-day บนโปรโตคอล SMBv3 ซึ่งส่งผลกระทบต่อผู้ใช้ระบบปฏิบัติการ Windows หลายเวอร์ชัน ไม่เว้นแม้แต่เวอร์ชันใหม่ๆ อย่าง Windows 10 และ Server 2016
US-CERT ระบุว่า ช่องโหว่ Zero-day ดังกล่าว ก่อให้เกิดการโจมตีแบบ Denial-of-Service ซึ่งส่งผลให้ระบบปฏิบัติการหยุดทำงาน และอาจเปิดช่องทางให้แฮ็คเกอร์สามารถรันโค้ดแปลกปลอม (Arbitrary Code Execution) บนเครื่องโดยใช้สิทธิ์เป็น Windows Kernel ได้ อย่างไรก็ตาม เหตุการณ์หลังนี้ยังไม่ได้รับการยืนยันแน่ชัด
ผู้เชี่ยวชาญจาก US-CERT บรรยายถึงปัญหาที่เกิดจากช่องโหว่ Zero-day ดังนี้
“Microsoft Windows ล้มเหลวในการจัดการทราฟฟิกที่มาจาก Malicious Server อย่างเหมาะสม Windows ล้มเหลวในการจัดการ Server Response ซึ่งประกอบด้วยจำนวนไบต์ที่มากเกินไปตามโครงสร้างที่ได้กำหนดไว้ใน SMB2 TREE_CONNECT Respose Structure อย่างเหมาะสม ระบบ Windows Client ที่มีช่องโหว่อาจหยุดปฏิบัติการ (BSOD) ใน mrxsmb20.sys เมื่อเชื่อมต่อกับ Malicious Server ที่ให้บริการ SMB”
การทดสอบของ US-CERT ยืนยันว่าพบช่องโหว่ Zero-day นี้บน Windows 8.1 และ Windows 10 ในขณะที่ PythonResponder นักวิจัยด้านความมั่นคงปลอดภัยผู้เปิดเผยช่องโหว่ดังกล่าวยืนยันว่า Windows Server 2012 และ Server 2016 ต่างได้รับผลกระทบด้วยเช่นกัน
@PythonResponder quick and dirty gif pic.twitter.com/ccwrrG36rO
— Chris Mallz (@vvalien1) February 1, 2017
ที่น่าตกใจคือ ช่องโหว่มีคะแนน CVSS ที่ 10 เต็ม 10 นั่นหมายความเป็นช่องโหว่ที่มีความรุนแรงระดับสูงสุด ที่ต่อให้แฮ็คเกอร์มีทักษะเพียงเล็กน้อยก็สามารถโจมตีจากระยะไกลได้ นอกจากนี้ ทาง Microsoft ยังไม่มีการออกแพทช์เพื่ออุดช่องโหว่ดังกล่าวแต่อย่างใด แนะนำว่าให้ผู้ดูแลระบบทำการบล็อกการเชื่อม SMB ขาออก (TCP พอร์ต 139 และ 445 รวมไปถึง UDP พอร์ต 137 และ 138) จากระบบเครือข่ายภายในวิ่งไปยังเครือข่าย WAN
อ่านรายละเอียด Security Advisory จาก US-CERT ได้ที่ http://www.kb.cert.org/vuls/id/867968
