ไมโครซอฟท์จะแพตช์ช่องโหว่ 0-day ใน Windows Win32k.sys วันที่ 8 พฤศจิกายน 2559

Google+ Pinterest LinkedIn Tumblr +

ผู้ใช้ Windows คงต้องระมัดระวังเรื่องความปลอดภัยเป็นพิเศษในช่วงนี้ เนื่องจากมีการเผยแพร่ช่องโหว่ความปลอดภัยใน Windows (ช่องโหว่ในไฟล์ Win32k.sys) บนอินเทอร์เน็ต โดยช่องโหว่ความปลอดภัยนี้ยังไม่มีแพตช์สำหรับแก้ไขในปัจจุบัน (เป็นช่องโหว่ 0-day) และที่สำคัญมีรายงานการโจมตีผู้ใช้ Windows ผ่านช่องโหว่ความปลอดภัยดังกล่าวนี้แล้ว

พบช่องโหว่ 0-day ใน Windows win32k.sys

ทีมวิจัยความปลอดภัยของกูเกิลได้ค้นพบช่องโหว่ความปลอดภัยใน Windows เมื่อวันที่ 26 ตุลาคม 2559 และได้เปิดเผยรายละเอียดบนอินเทอร์เน็ตหลังจากแจ้งให้ไมโครซอฟท์ทราบ(เป็นการภายใน)ครบ 7 วัน (อ่านรายละเอียดที่ https://goo.gl/86mp4g)

สำหรับช่องโหว่ความปลอดภัยใน Windows นี้เป็นช่องโหว่ Local Privilege Escalation ในเคอร์เนล Windows (ไฟล์ win32k.sys) ที่สามารถใช้หลบหลีก Security Sandbox ได้ วิธีเริ่มต้นการโจมตีทำได้โดยการส่ง win32k.sys system call NtSetWindowLongPtr() สำหรับอินเด็กซ์ GWLP_ID บน window handle ด้วยชุด GWL_STYLE ถึง WS_CHILD

ช่องโหว่ความปลอดภัยในไฟล์ win32k.sys นี้มีผลกระทบกับ Windows ทุกเวอร์ชัน และมีรายงานว่ามีการโจมตีผู้ใช้ผ่านช่องโหว่ความปลอดภัยดังกล่าวนี้แล้วหลังจากกูเกิลเปิดเผยรายละเอียดบนอินเทอร์เน็ต

ไมโครซอฟท์ประกาศออกแพตช์ช่องโหว่ใน Win32k.sys วันที่ 8 พฤศจิกายน 2559

เมื่อวันที่ 1 พ.ย. 59 ที่ผ่านมา ไมโครซอฟท์ประกาศว่าจะออกการปรับปรุงเพื่อแก้ช่องโหว่ความปลอดภัยใน Win32k.sys ในการออก Patch Tuesday ของเดือนพฤศจิกายน 2559 (ตรงกับวันอังคาร ที่ 8) และยังยอมรับว่าได้ตรวจพบการโจมตีแบบ Phishing (จำนวนไม่มาก) โดยกลุ่มแฮกเกอร์ชื่อ STRONTIUM (อ่านรายละเอียดที่ https://goo.gl/PoLpOG) อย่างไรก็ตาม ในขณะที่เขียนเรื่องนี้ (3 พ.ย. 59) ไมโครซอฟท์ยังไม่มีการออก Advisory ของช่องโหว่ความปลอดภัยดังกล่าวนี้แต่อย่างใด

ไมโครซอฟท์ไม่เห็นด้วยกับการกูเกิลเปิดเผยรายละเอียดช่องโหว่ใน Win32k.sys  บนอินเทอร์เน็ตในครั้งนี้

แนวทางการป้องกันความปลอดภัยจากช่องโหว่ 0-day ใน Windows Win32k.sys

ในระหว่างที่รอให้ไมโครซอฟท์ออกการปรับปรุงสำหรับแก้ไขช่องโหว่ความปลอดภัยในไฟล์ Win32k.sys ซึ่งจะออกในวันอังคาร ที่ 8 พ.ย. ให้ผู้ใช้ Windows พิจารณาใช้แนวทางเพื่อความปลอดภัย ดังต่อไปนี้

  1. ผู้ใช้ Windows 10 ให้อัพเกรดเป็น Version 1607 (Anniversary Update) แล้วใช้ Microsoft Edge ในการท่องอินเทอร์เน็ต เนื่องจาก Microsoft Edge บน Windows 10 เวอร์ชันอัพเดตล่าสุดนี้มีกลไกป้องกันการโจมตีผ่านทางช่องโหว่ความปลอดภัยใน Win32k.sys
  2. ใช้ Chrome ในการท่องอินเทอร์เน็ต เนื่องจาก Chrome ได้ทำการบล็อค win32k.sys system calls โดยใช้ Win32k lockdown mitigation บน Windows 10 เพื่อป้องกันการหลบหลีก security sandbox

และใช้แนวปฏิบัติเพื่อความปลอดภัย ดังต่อไปนี้

  1. ทำการติดตั้งการปรับปรุง Windows ให้เป็นล่าสุด โดยใช้ Windows Update (วิธีการทำขึ้นอยู่กับเวอร์ชัน Windows ที่ใช้งาน)
  2. ติดตั้งโปรแกรมแอนตี้ไวรัสและสปายแวร์ และทำการปรับปรุง Virus definition ให้เป็นปัจจุบัน (ปกติ Windows 8.1 และ 10 จะติดตั้ง Windows Defender)
  3. ลงชื่อเข้าใช้งาน Windows ด้วยบัญชีผู้ใช้มาตรฐาน (Standard user) แทนการใช้บัญชีผู้ใช้ดูแลระบบ (Administrator user)
  4. เปิดใช้งาน User Account Control (UAC) และ Windows Firewall (โดยทั่วไปจะเปิดใช้งานตั้งแต่เริ่มต้น)
  5. ระมัดระวังในการเปิดไฟล์ ลิงก์ หรือโปรแกรมที่ได้รับทางอีเมล โดยเฉพาะอีเมลจากแหล่งที่ไม่น่าเชื่อถือ
  6. ไม่ติดตั้งโปรแกรม หรือ แอป จากแหล่งที่ไม่น่าเชื่อถือ

จนกว่าไมโครซอฟท์จะออกการปรับปรุงสำหรับแก้ไขช่องโหว่ความปลอดภัยตัวดังกล่าวนี้ในวันอังคารหน้า (8 พ.ย. 59) ให้ผู้ใช้ Windows ใช้งานด้วยความระมัดระวังเป็นพิเศษครับ

[นอกจากนี้ ทีมวิจัยความปลอดภัยของกูเกิลยังค้นพบช่องโหว่ความปลอดภัย CVE-2016-7855 ใน Adobe Flash Player ช่องโหว่ดังกล่าวนี้มีผลกระทบขั้นรุนแรงสูงสุด โดยทางอะโดบีได้ออกการปรับปรุง (เวอร์ชัน 203.0.0.205) ไปเมื่อวันที่ 26 ตุลาคม 2559 ตามเวลาในสหรัฐอเมริกา]

แหล่งอ้างอิง
กูเกิล
ไมโครซอฟท์

ประวัติการปรับปรุงบทความ
10 มีนาคม 2561: ปรับปรุงเนื้อหา
3 พฤศจิกายน 2559: เผยแพร่ครั้งแรก

Share.

Comments are closed.