Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ລະ​ວັງ​ໄພ ຊ່ອງ​ໂຫ່ວ​ໃນ HTTP Protocol Stack (HTTP.sys) ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ປະ​ມວນ​ຜົນ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ຈາກ​ລະ​ຍະ​ໄກ ​ແລະ ​ເຮັດ BSOD ໄດ້ (CVE-2015-1635)

ລະ​ວັງ​ໄພ ຊ່ອງ​ໂຫ່ວ​ໃນ HTTP Protocol Stack (HTTP.sys) ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ປະ​ມວນ​ຜົນ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ຈາກ​ລະ​ຍະ​ໄກ ​ແລະ ​ເຮັດ BSOD ໄດ້ (CVE-2015-1635)

ປະ​ເພດ​ໄພ​ຄຸກ​ຄາມ: Intrusion ແລະ Availability

ເມື່ອ​ວັນທີ 14 ເມ​ສາ 2015 Microsoft ໄດ້​ອອກ​ປະ​ກາດ Security Bulletin MS15-034 ເພື່ອ​ແຈ້ງ​ເຕືອນ​ຊ່ອງ​ໂຫ່ວ​ໃນ​ໄລ​ບາລີ​ ທີ່​ໃຊ້​ປະ​ມວນ​ຜົນ HTTP Protocol Stack (ໄຟລ໌ HTTP.sys) ຊຶ່ງ​ເປັນ​ຊ່ອງ​ໂຫ່ວປະ​ເພດ Remote Code Execution ສົ່ງ​ຜົນ​ໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ສັ່ງ​ໃຫ້​ເຄື່ອງ​ຄອມພິວເຕີ​ປາຍ​ທາງ​ປະ​ມວນ​ຜົນ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ຈາກ​ລະ​ຍະ​ໄກ​ໄດ້ [1] ຊ່ອງ​ໂຫ່ວ​ນີ້​ຖືກ​ຈັດ​ໃຫ້​ຢູ່ໃນ​ລະ​ດັບ​ຄວາມ​ຮຸນແຮງ​ສູງ​ສຸດ (Critical) ມີລະຫັດ CVE-2015-1635  [2] ພາຍ​ຫຼັງ​ມີ​ການ​ເຜີຍແຜ່​ຂໍ້ມູນ​ເພີ່ມເຕີມ​ກ່ຽວກັບ​ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ​ວ່າ​ສາມາດ​ໂຈມ​ຕີ​ເພື່ອ​ເຮັດໃຫ້​ເກີດ Bluescreen error ຫຼື ​ທີ່​ຮຽກວ່າ Blue Screen Of Dead (BSOD) ໄດ້​ທັນ​ທີ ປະຈຸບັນ​ໄດ້​ມີ​ການ​ເຜີຍແຜ່​ໂຄດໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ອອກ​ມາ​ຢ່າງ​ແພ່​ຫຼາຍ​ເທິງ​ໂລກ​ອິນ​ເຕີ​ເນັດ ແລະ​ ຄາດ​ວ່າ​ຈະ​ມີ​ການ​ພະຍາຍາມ​ໂຈມ​ຕີ​ລະບົບ​ຂໍ້ມູນຂ່າວສານ​ທົ່ວ​ໂລກ​ຢ່າງ​ຕໍ່​ເນື່ອງ ໂດຍ​ຈາກ​ບົດ​ຄວາມ​ຂອງ SANS  [3] ລະ​ບຸ​ວ່າ​ເຊັນ​ເຊີ (Sensor)​ ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ຂອງ SANS (Honeypot) ໄດ້​ກວດ​ພົບ​ກາ​ນສະ​ແກນ​ຫາ​ຊ່ອງ​ໂຫ່ວດັ່ງ​ກ່າວ​ ແລະ​ ການ​ໂຈມ​ຕີ​ເພື່ອ​ເຮັດໃຫ້​ເກີດ Bluescreen error ນັ້ນ​ໝາຍ​ຄວາມ​ວ່າ​ມີ​ຜູ້​ບໍ່​ຫວັງ​ດີພະຍາຍາມສະ​ແກນ​ລະບົບ​ຕ່າງໆ ເທິງ​ອິນ​ເຕີ​ເນັດ​ເພື່ອ​ຫາ​ຊ່ອງ​ໂຫ່ວ ​ແລະ ​ພະຍາຍາມ​ທີ່​ຈະ​ໂຈມ​ຕີ​ແລ້ວ

ສາ​ເຫດ​ຂອງ​ຊ່ອງ​ໂຫ່ວ​ເກີດ​ຈາກ​ໄລ​ບາ​​ລີ​ທີ່​ໃຊ້​ປະ​ມວນ​ຜົນ HTTP Protocol Stack ມີ​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການ​ຈັດການ​ຂະໜາດ​ຂອງ HTTP Request ສົ່ງ​ຜົນ​ໃຫ້​ເມື່ອ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສ້າງ​ແພັກ​ເກດ HTTP Request ແບບ​ພິເສດ​ຂຶ້ນ​ມາ​ແລ້ວ​ສົ່ງ​ໄປ​ຍັງ​ເຄື່ອງ​ປາຍ​ທາງ ກໍ່​ຈະ​ສາມາດ​ສັ່ງ​ໃຫ້​ເຄື່ອງ​ປາຍ​ທາງ​ປະ​ມວນ​ຜົນ​ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ໃດໆ ກໍ່​ໄດ້  [4] ປະຈຸບັນ​ໂຄ​ດສຳລັບທົດສອບ​ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ ​ແລະ​ ໂຄ​ດສຳລັບໂຈມ​ຕີ​ລະບົບ​ໄດ້​ມີ​ຜູ້​ພັດທະນາ ​ແລະ ​ເຜີຍແຜ່​ທາງ​ອິນ​ເຕີ​ເນັດ​ແລ້ວ

ຜົນ​ກະທົບ 

ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ໂຈມ​ຕີ​ລະບົບ​ປະຕິບັດການ​ ຫຼື ​ຊ໋ອບແວໃດໆ ກໍ່​ຕາມ​ທີ່​ມີ​ຊ່ອງ​ໂຫ່ວ​ນີ້​ເພື່ອ​ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ການເຮັດວຽກ​ຂອງ​ລະບົບ ​ເຮັດໃຫ້​ເກີດ Bluescreen error ຫຼື ​ສາມາດ​ເຂົ້າ​ມາ​ຄວບ​ຄຸມ ​ແລະ​ ສັ່ງ​ການເຮັດວຽກໃນ​ເຄື່ອງ​ຄອມພິວເຕີ​ເຫຍື່ອ​ໄດ້

ເນື່ອງ​ຈາກ HTTP.sys ເປັນ​ສ່ວນຫນຶ່ງ​ຂອງ Kernel ຂອງ​ລະບົບ​ປະຕິບັດການ ເຮັດໃຫ້​ເມື່ອ​ໂຈມ​ຕີ​ສຳ​ເລັດ ຜູ້​ໂຈມ​ຕີ​ຈະ​ໄດ້​ສິດ​ທິ​ຂອງ SYSTEM ຊຶ່ງ​ເປັນ​ສິດ​ທິ​ໃນ​ລະ​ດັບ​ຜູ້​ເບິ່ງແຍງ​ລະບົບ​ໃນ​ທັນ​ທີ

ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ 

ລະບົບ​ປະຕິບັດ​ການ​ຕາມ​ລາຍ​ການ​ດ້ານ​ລຸ່ມ

  • Windows 7 ແລະ Windows 7 Service Pack 1 ທັງ​ເວີ​ຊັ່ນ 32 bit ແລະ 64 bit
  • Windows Server 2008 R2 ແລະ Windows Server 2008 R2 Service Pack 1 ທັງ​ເວີ​ຊັ່ນ 32 bit ແລະ 64 bit
  • Windows 8 ແລະ Windows 8.1 ທັງ​ເວີຊັ່ນ 32 bit ແລະ 64 bit
  • Windows Server 2012 ແລະ Windows Server 2012 R2 ທັງ​ເວີ​ຊັ່ນ 32 bit ແລະ 64 bit
  • Windows Server 2012 ແລະ Windows Server 2012 R2 ທີ່​ຕິດ​ຕັ້ງ​ແບບ Server Core

ໝາຍ​ເຫດ: ຊ່ອງ​ໂຫ່ວ​ນີ້​ມີ​ຜົນ​ກະທົບ​ກັບ​ໄລ​ບ​າ​ລີ HTTP Protocol Stack (HTTP.sys) ຊຶ່ງ​ສ່ວນ​ໃຫ່ຍ​ຈະ​ຖືກ​ເອີ້ນໃຊ້​ໂດຍ​ໂປຣ​ແກຣມ​ເວບເຊີເວີ IIS ທີ່​ຕິດ​ຕັ້ງ​ເທິງ​ລະບົບ​ປະຕິບັດການ Windows ແຕ່​ຢ່າງໃດ​ກໍ່​ຕາມ​ປະຈຸບັນ​ຍັງ​ບໍ່​ມີ​ການ​ຢືນຢັນ​ອອກ​ມາ ​ຈາກ​ຜູ້​ພັດທະນາ​ໂປຣ​ແກຣມ​ລາຍ​ອື່ນ​ວ່າ​ມີ​ການ​ເອີ້ນ​ໃຊ້​ງານ​ໄລ​ບາ​ລີ​ດັ່ງ​ກ່າວ ​ຮ່ວມ​ດ້ວຍ ​ຫຼື ​ບໍ່ ຊຶ່ງ​ນັ້ນ​ອາດ​ໝາຍ​ເຖິງ​ຂອບ​ເຂດ​ຂອງ​ບັນຫາ​ບໍ່​ໄດ້​ຢູ່​ພຽງ​ແຕ່​ລະບົບ​ທີ່​ໃຫ້​ບໍລິການ​ເວບ​ໄຊ​ເທົ່າ​ນັ້ນ  [5]


ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​ ແລະ​ ແກ້​ໄຂ
 

ສຳລັບ​ລະບົບ​ທີ່​ໃຫ້​ບໍລິການ​ເວບ​ໄຊ​ຜ່ານ​ໂປຣ​ແກຣມ​ເວບເຊີເວີ IIS ສາມາດ​ກວດ​ສອບ​ວ່າ​ລະບົບ​ທີ່​ໃຊ້​ງານ​ຢູ່ ມີ​ຊ່ອງ​ໂຫ່ວ​ນີ້​ ຫຼື ​ບໍ່ ຜ່ານ​ຊ່ອງ​ທາງ​ການ​ກວດ​ສອບ​ອອນ​ລາຍ ຫຼື ​ຈາກ​ເຄື່ອງ​ມື​ໃນທາງຜູ້​ເບິ່ງແຍງ​ລະບົບ​ໄດ້​ດ້ວຍ​ຕົນເອງ​ດັ່ງ​ນີ້

  1. ຈາກ​ບໍລິການ​ກວດ​ສອບ​ຊ່ອງ​ໂຫ່ວ​ຂອງ​ເວບ​ໄຊ https://lab.xpaw.me/MS15-034/

News Images: http.jpg

ຮູບ​ທີ 1 ບໍລິການ​ກວດ​ສອບ​ຊ່ອງ​ໂຫ່ວ​ຂອງ​ເວບ​ໄຊ  https://lab.xpaw.me/MS15-034/

2. ໃຊ້​ໂປຣ​ແກຣມ​ປະ​ເພດ​ເຊື່ອມ​ຕໍ່​ເວບ​ໄຊ​ແບບ Command Line ຊຶ່ງ​ຈະ​ເຮັດໃຫ້​ສາມາດ​ກຳນົດ​ຕົວ​ແປ​ໃນ​ການ​ໂຈມ​ຕີ​ໄດ້​ສະ​ດວກ​ຂຶ້ນ ຕົວ​ຢ່າງ​ໃນ​ທີ​ນີ້​ໃຊ້​ໂປຣ​ແກຣມ CURL ໂດຍ​ໃຊ້​ຄຳ​ສັ່ງ

#curl -v SERVER_IP -H "Host: anything" -H "Range: bytes=0-18446744073709551615"

ຊຶ່ງ​ຫາກ​ພົບ​ການ​ຕອບ​ກັບ​ຕາມ​ພາບ​ດ້ານ​ລຸ່ມ​ນີ້ ສະແດງ​ວ່າ​ລະບົບ​ມີ​ຊ່ອງ​ໂຫ່ວ  [6]

News Images: http1.jpg

ຮູບ​ທີ 2 ຜົນ​ລັບຈາກ​ການ​ກວດ​ສອບ​ທີ່​ສະແດງ​ວ່າ​ມີ​ຊ່ອງ​ໂຫ່ວ

ປະຈຸບັນ Microsoft ໄດ້​ອອກ​ແພັດ (Patch) KB3042553 ມາ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ​ແລ້ວ ຜູ້​ທີ່​ໃຊ້​ງານ​ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ສາມາດ​ດາວໂຫຼດ​ແພັດ​ດັ່ງ​ກ່າວ​ໄດ້​ຈາກ​ເວບ​ໄຊ​ຂອງ Microsoft ຫຼື ​ຜ່ານ​ທາງ Windows Update

ຫາກ​ຍັງ​ບໍ່​ໄດ້​ຕິດ​ຕັ້ງ​ແພັດ ສຳລັບ​ຜູ້​ທີ່​ໃຊ້​ງານ IIS ເປັນ​ໂປຣ​ແກຣມ​ເວບເຊີເວີ ​ຄວນ​ປິດ​ຄວາມ​ສາມາດ IIS Kernel Caching  [7]

ຊຶ່ງ​ໂດຍ​ປົກກະຕິ​ຄ່າ​ເລີ່ມ​ຕົ້ນ​ຄວາມ​ສາມາດ​ນີ້​ຈະ​ຖືກ​ເປີດ​ການເຮັດວຽກໄວ້ ຢ່າງໃດ​ກໍ່​ຕາມ ການ​ປິດ​ຄວາມ​ສາມາດ​ນີ້​ເປັນພຽງ​ແຕ່​ການ​ແກ້​ບັນຫາ​ແບບ​ຊົ່ວ​ຄາວ ​ແລະ​ ອາດ​ມີ​ຜົນ​ກະທົບ​ກັບ​ປະ​ສິດ​ທິ​ພາບ​ການເຮັດວຽກ​ຂອງ​ລະບົບ​ໄດ້

ອ້າງ​ອີງ

  1. https://technet.microsoft.com/en-us/library/security/ms15-034.aspx
  2. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1635
  3. https://isc.sans.edu/forums/diary/MS15034+HTTPsys+IIS+DoS+And+Possible+Remote+Code+Execution+PATCH+NOW/19583/
  4. https://ma.ttias.be/remote-code-execution-via-http-request-in-iis-on-windows/
  5. https://nakedsecurity.sophos.com/2015/04/15/update-tuesday-april-2015-urgent-action-needed-over-microsoft-http-bug/
  6. https://blog.sucuri.net/2015/04/website-firewall-critical-microsoft-iis-vulnerability-ms15-034.html
  7. https://technet.microsoft.com/en-us/library/cc731903%28v=ws.10%29.aspx

ເອກະສານອ້າງອີງຈາກ ThaiCERT

Porher 22 April 2015 1,302 Print