ປະ​ເພດ​ໄພ​ຄຸກ​ຄາມ: Intrusion ແລະ Availability

ເມື່ອ​ວັນທີ 14 ເມ​ສາ 2015 Microsoft ໄດ້​ອອກ​ປະ​ກາດ Security Bulletin MS15-034 ເພື່ອ​ແຈ້ງ​ເຕືອນ​ຊ່ອງ​ໂຫ່ວ​ໃນ​ໄລ​ບາລີ​ ທີ່​ໃຊ້​ປະ​ມວນ​ຜົນ HTTP Protocol Stack (ໄຟລ໌ HTTP.sys) ຊຶ່ງ​ເປັນ​ຊ່ອງ​ໂຫ່ວປະ​ເພດ Remote Code Execution ສົ່ງ​ຜົນ​ໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ສັ່ງ​ໃຫ້​ເຄື່ອງ​ຄອມພິວເຕີ​ປາຍ​ທາງ​ປະ​ມວນ​ຜົນ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ຈາກ​ລະ​ຍະ​ໄກ​ໄດ້ [1] ຊ່ອງ​ໂຫ່ວ​ນີ້​ຖືກ​ຈັດ​ໃຫ້​ຢູ່ໃນ​ລະ​ດັບ​ຄວາມ​ຮຸນແຮງ​ສູງ​ສຸດ (Critical) ມີລະຫັດ CVE-2015-1635  [2] ພາຍ​ຫຼັງ​ມີ​ການ​ເຜີຍແຜ່​ຂໍ້ມູນ​ເພີ່ມເຕີມ​ກ່ຽວກັບ​ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ​ວ່າ​ສາມາດ​ໂຈມ​ຕີ​ເພື່ອ​ເຮັດໃຫ້​ເກີດ Bluescreen error ຫຼື ​ທີ່​ຮຽກວ່າ Blue Screen Of Dead (BSOD) ໄດ້​ທັນ​ທີ ປະຈຸບັນ​ໄດ້​ມີ​ການ​ເຜີຍແຜ່​ໂຄດໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ອອກ​ມາ​ຢ່າງ​ແພ່​ຫຼາຍ​ເທິງ​ໂລກ​ອິນ​ເຕີ​ເນັດ ແລະ​ ຄາດ​ວ່າ​ຈະ​ມີ​ການ​ພະຍາຍາມ​ໂຈມ​ຕີ​ລະບົບ​ຂໍ້ມູນຂ່າວສານ​ທົ່ວ​ໂລກ​ຢ່າງ​ຕໍ່​ເນື່ອງ ໂດຍ​ຈາກ​ບົດ​ຄວາມ​ຂອງ SANS  [3] ລະ​ບຸ​ວ່າ​ເຊັນ​ເຊີ (Sensor)​ ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ຂອງ SANS (Honeypot) ໄດ້​ກວດ​ພົບ​ກາ​ນສະ​ແກນ​ຫາ​ຊ່ອງ​ໂຫ່ວດັ່ງ​ກ່າວ​ ແລະ​ ການ​ໂຈມ​ຕີ​ເພື່ອ​ເຮັດໃຫ້​ເກີດ Bluescreen error ນັ້ນ​ໝາຍ​ຄວາມ​ວ່າ​ມີ​ຜູ້​ບໍ່​ຫວັງ​ດີພະຍາຍາມສະ​ແກນ​ລະບົບ​ຕ່າງໆ ເທິງ​ອິນ​ເຕີ​ເນັດ​ເພື່ອ​ຫາ​ຊ່ອງ​ໂຫ່ວ ​ແລະ ​ພະຍາຍາມ​ທີ່​ຈະ​ໂຈມ​ຕີ​ແລ້ວ

ສາ​ເຫດ​ຂອງ​ຊ່ອງ​ໂຫ່ວ​ເກີດ​ຈາກ​ໄລ​ບາ​​ລີ​ທີ່​ໃຊ້​ປະ​ມວນ​ຜົນ HTTP Protocol Stack ມີ​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການ​ຈັດການ​ຂະໜາດ​ຂອງ HTTP Request ສົ່ງ​ຜົນ​ໃຫ້​ເມື່ອ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສ້າງ​ແພັກ​ເກດ HTTP Request ແບບ​ພິເສດ​ຂຶ້ນ​ມາ​ແລ້ວ​ສົ່ງ​ໄປ​ຍັງ​ເຄື່ອງ​ປາຍ​ທາງ ກໍ່​ຈະ​ສາມາດ​ສັ່ງ​ໃຫ້​ເຄື່ອງ​ປາຍ​ທາງ​ປະ​ມວນ​ຜົນ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ໃດໆ ກໍ່​ໄດ້  [4] ປະຈຸບັນ​ໂຄ​ດສຳລັບທົດສອບ​ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ ​ແລະ​ ໂຄ​ດສຳລັບໂຈມ​ຕີ​ລະບົບ​ໄດ້​ມີ​ຜູ້​ພັດທະນາ ​ແລະ ​ເຜີຍແຜ່​ທາງ​ອິນ​ເຕີ​ເນັດ​ແລ້ວ

ຜົນ​ກະທົບ 

ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ໂຈມ​ຕີ​ລະບົບ​ປະຕິບັດການ​ ຫຼື ​ຊ໋ອບແວໃດໆ ກໍ່​ຕາມ​ທີ່​ມີ​ຊ່ອງ​ໂຫ່ວ​ນີ້​ເພື່ອ​ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ການເຮັດວຽກ​ຂອງ​ລະບົບ ​ເຮັດໃຫ້​ເກີດ Bluescreen error ຫຼື ​ສາມາດ​ເຂົ້າ​ມາ​ຄວບ​ຄຸມ ​ແລະ​ ສັ່ງ​ການເຮັດວຽກໃນ​ເຄື່ອງ​ຄອມພິວເຕີ​ເຫຍື່ອ​ໄດ້

ເນື່ອງ​ຈາກ HTTP.sys ເປັນ​ສ່ວນຫນຶ່ງ​ຂອງ Kernel ຂອງ​ລະບົບ​ປະຕິບັດການ ເຮັດໃຫ້​ເມື່ອ​ໂຈມ​ຕີ​ສຳ​ເລັດ ຜູ້​ໂຈມ​ຕີ​ຈະ​ໄດ້​ສິດ​ທິ​ຂອງ SYSTEM ຊຶ່ງ​ເປັນ​ສິດ​ທິ​ໃນ​ລະ​ດັບ​ຜູ້​ເບິ່ງແຍງ​ລະບົບ​ໃນ​ທັນ​ທີ

ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ 

ລະບົບ​ປະຕິບັດ​ການ​ຕາມ​ລາຍ​ການ​ດ້ານ​ລຸ່ມ

• Windows 7 ແລະ Windows 7 Service Pack 1 ທັງ​ເວີ​ຊັ່ນ 32 bit ແລະ 64 bit
• Windows Server 2008 R2 ແລະ Windows Server 2008 R2 Service Pack 1 ທັງ​ເວີ​ຊັ່ນ 32 bit ແລະ 64 bit
• Windows 8 ແລະ Windows 8.1 ທັງ​ເວີຊັ່ນ 32 bit ແລະ 64 bit
• Windows Server 2012 ແລະ Windows Server 2012 R2 ທັງ​ເວີ​ຊັ່ນ 32 bit ແລະ 64 bit
• Windows Server 2012 ແລະ Windows Server 2012 R2 ທີ່​ຕິດ​ຕັ້ງ​ແບບ Server Core

ໝາຍ​ເຫດ: ຊ່ອງ​ໂຫ່ວ​ນີ້​ມີ​ຜົນ​ກະທົບ​ກັບ​ໄລ​ບ​າ​ລີ HTTP Protocol Stack (HTTP.sys) ຊຶ່ງ​ສ່ວນ​ໃຫ່ຍ​ຈະ​ຖືກ​ເອີ້ນໃຊ້​ໂດຍ​ໂປຣ​ແກຣມ​ເວບເຊີເວີ IIS ທີ່​ຕິດ​ຕັ້ງ​ເທິງ​ລະບົບ​ປະຕິບັດການ Windows ແຕ່​ຢ່າງໃດ​ກໍ່​ຕາມ​ປະຈຸບັນ​ຍັງ​ບໍ່​ມີ​ການ​ຢືນຢັນ​ອອກ​ມາ ​ຈາກ​ຜູ້​ພັດທະນາ​ໂປຣ​ແກຣມ​ລາຍ​ອື່ນ​ວ່າ​ມີ​ການ​ເອີ້ນ​ໃຊ້​ງານ​ໄລ​ບາ​ລີ​ດັ່ງ​ກ່າວ ​ຮ່ວມ​ດ້ວຍ ​ຫຼື ​ບໍ່ ຊຶ່ງ​ນັ້ນ​ອາດ​ໝາຍ​ເຖິງ​ຂອບ​ເຂດ​ຂອງ​ບັນຫາ​ບໍ່​ໄດ້​ຢູ່​ພຽງ​ແຕ່​ລະບົບ​ທີ່​ໃຫ້​ບໍລິການ​ເວບ​ໄຊ​ເທົ່າ​ນັ້ນ  [5]

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​ ແລະ​ ແກ້​ໄຂ 

ສຳລັບ​ລະບົບ​ທີ່​ໃຫ້​ບໍລິການ​ເວບ​ໄຊ​ຜ່ານ​ໂປຣ​ແກຣມ​ເວບເຊີເວີ IIS ສາມາດ​ກວດ​ສອບ​ວ່າ​ລະບົບ​ທີ່​ໃຊ້​ງານ​ຢູ່ ມີ​ຊ່ອງ​ໂຫ່ວ​ນີ້​ ຫຼື ​ບໍ່ ຜ່ານ​ຊ່ອງ​ທາງ​ການ​ກວດ​ສອບ​ອອນ​ລາຍ ຫຼື ​ຈາກ​ເຄື່ອງ​ມື​ໃນທາງຜູ້​ເບິ່ງແຍງ​ລະບົບ​ໄດ້​ດ້ວຍ​ຕົນເອງ​ດັ່ງ​ນີ້

1. ຈາກ​ບໍລິການ​ກວດ​ສອບ​ຊ່ອງ​ໂຫ່ວ​ຂອງ​ເວບ​ໄຊ https://lab.xpaw.me/MS15-034/

ຮູບ​ທີ 1 ບໍລິການ​ກວດ​ສອບ​ຊ່ອງ​ໂຫ່ວ​ຂອງ​ເວບ​ໄຊ  https://lab.xpaw.me/MS15-034/

2. ໃຊ້​ໂປຣ​ແກຣມ​ປະ​ເພດ​ເຊື່ອມ​ຕໍ່​ເວບ​ໄຊ​ແບບ Command Line ຊຶ່ງ​ຈະ​ເຮັດໃຫ້​ສາມາດ​ກຳນົດ​ຕົວ​ແປ​ໃນ​ການ​ໂຈມ​ຕີ​ໄດ້​ສະ​ດວກ​ຂຶ້ນ ຕົວ​ຢ່າງ​ໃນ​ທີ​ນີ້​ໃຊ້​ໂປຣ​ແກຣມ CURL ໂດຍ​ໃຊ້​ຄຳ​ສັ່ງ

#curl -v SERVER_IP -H "Host: anything" -H "Range: bytes=0-18446744073709551615"

ຊຶ່ງ​ຫາກ​ພົບ​ການ​ຕອບ​ກັບ​ຕາມ​ພາບ​ດ້ານ​ລຸ່ມ​ນີ້ ສະແດງ​ວ່າ​ລະບົບ​ມີ​ຊ່ອງ​ໂຫ່ວ  [6]

ຮູບ​ທີ 2 ຜົນ​ລັບຈາກ​ການ​ກວດ​ສອບ​ທີ່​ສະແດງ​ວ່າ​ມີ​ຊ່ອງ​ໂຫ່ວ

ປະຈຸບັນ Microsoft ໄດ້​ອອກ​ແພັດ (Patch) KB3042553 ມາ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ​ແລ້ວ ຜູ້​ທີ່​ໃຊ້​ງານ​ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ສາມາດ​ດາວໂຫຼດ​ແພັດ​ດັ່ງ​ກ່າວ​ໄດ້​ຈາກ​ເວບ​ໄຊ​ຂອງ Microsoft ຫຼື ​ຜ່ານ​ທາງ Windows Update

ຫາກ​ຍັງ​ບໍ່​ໄດ້​ຕິດ​ຕັ້ງ​ແພັດ ສຳລັບ​ຜູ້​ທີ່​ໃຊ້​ງານ IIS ເປັນ​ໂປຣ​ແກຣມ​ເວບເຊີເວີ ​ຄວນ​ປິດ​ຄວາມ​ສາມາດ IIS Kernel Caching  [7]

ຊຶ່ງ​ໂດຍ​ປົກກະຕິ​ຄ່າ​ເລີ່ມ​ຕົ້ນ​ຄວາມ​ສາມາດ​ນີ້​ຈະ​ຖືກ​ເປີດ​ການເຮັດວຽກໄວ້ ຢ່າງໃດ​ກໍ່​ຕາມ ການ​ປິດ​ຄວາມ​ສາມາດ​ນີ້​ເປັນພຽງ​ແຕ່​ການ​ແກ້​ບັນຫາ​ແບບ​ຊົ່ວ​ຄາວ ​ແລະ​ ອາດ​ມີ​ຜົນ​ກະທົບ​ກັບ​ປະ​ສິດ​ທິ​ພາບ​ການເຮັດວຽກ​ຂອງ​ລະບົບ​ໄດ້

ອ້າງ​ອີງ

1. https://technet.microsoft.com/en-us/library/security/ms15-034.aspx
2. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1635
3. https://isc.sans.edu/forums/diary/MS15034+HTTPsys+IIS+DoS+And+Possible+Remote+Code+Execution+PATCH+NOW/19583/
4. https://ma.ttias.be/remote-code-execution-via-http-request-in-iis-on-windows/
5. https://nakedsecurity.sophos.com/2015/04/15/update-tuesday-april-2015-urgent-action-needed-over-microsoft-http-bug/
6. https://blog.sucuri.net/2015/04/website-firewall-critical-microsoft-iis-vulnerability-ms15-034.html
7. https://technet.microsoft.com/en-us/library/cc731903%28v=ws.10%29.aspx

ເອກະສານອ້າງອີງຈາກ ThaiCERT