ไมโครซอฟท์พบช่องโหว่ใหม่ ที่ทำให้วินโดวส์ของท่านสามารถถูกสวมรอยเพื่อเข้าควบคุมการใช้งาน ถ้าหากคุณไปเปิดการทำงานไฟล์น่าสงสัยที่ถูกส่งมาจากผู้ประสงค์ร้าย
วันที่ 25 พฤศจิกายน 2553 ไมโครซอฟท์รายงานว่า หากเครื่องถูกแก้ไขค่าบางค่าในระบบซึ่งเกี่ยวข้องกับการทำงานของ User Account Control (UAC) จะทำให้เครื่องของท่านสามารถถูกควบคุมจากภายนอกได้
ไฟล์ตัวนี้มีชื่อว่า ‘win32k.sys’ เป็น Kernel ที่สำคัญในวินโดวส์หลายๆ เวอร์ชั่น เช่น Windows XP, Vista, Server 2003, Windows 7 และ Server 2008 การทำงานของช่องโหว่ตัวนี้จะทำงานผ่านทางผู้ใช้งานเอง โดยไปสั่งการทำงานของโปรแกรมจากผู้ประสงค์ร้ายที่ถูกส่งมาได้ในหลายรูปแบบ และตัวโปรแกรมนี้จะไปทำการแก้ค่าบางค่าในระบบ เพื่อเปิดการเข้าถึงข้อมูลต่างๆ ได้ในระดับแอดมินิสเตรเตอร์
วิธีแก้ตอนนี้ทางไมโครซอฟท์กำลังแก้ไขอยู่ และจะออกตัวแก้ไขออกมาอัพเดทให้เร็วที่สุด ตอนนี้วิธีแก้ไขชั่วคราวคือ พยายามอย่าเปิดโปรแกรมที่น่าสงสัยจากทุกทาง และการตั้งค่าของ UAC ให้ไม่สามารถปรับค่าบางตัวได้ ลักษณะของช่องโหว่ที่เกิดนี้จะมีลักษณะคล้ายกับโทรจันที่เคยมีมาก่อนแล้วชื่อว่า Troj/EUDPoC-A
ที่มา - PC World, Webmasterworld, Nakedsecurity
Get latest news from Blognone
Follow @twitterapi
Comments
Kernel รึเปล่าครับ?
มี สวมลอย ด้วย
เอ๊ะ !! วันที่ 25 ธันวาคม 2553
jingle bells, jingle bells. Jingle all the way!!!
^_^
Happiness only real when shared.
มันเป็นการหยั่งรู้ถึงอนาคตครับ
= =
Dream high, work hard.
นึกแล้วก็กลัวว่า ไมโครซอฟจะไม่ทำ patch สำหรับ xp ออกมา
โดยอาจถือโอกาสบีบให้คนอัพมาใช้ window 7 ซะเลย...
Happiness only real when shared.
การขึ้นย่อหน้าใหม่ ให้เคาะ enter สองครั้ง
lewcpe.com, @wasonliw
สวมรอย
หัวข้อ: Windows "กัย"ภัยคุกคาม
{$user} was not an Imposter
ผิดสะเยอะเลย ^_^
ข่าวนี้อาจถูกใจผู้ใช้ของอีกฝั่ง
ผมอ่านในข่าวต้นฉบับแล้ว ไม่พบคำว่า "รีจิสเตอร์" นะครับ ไม่ทราบว่าหมายถึงอะไร?
รีจิสเตอร์นี้ จากที่ผมอ่านจาก Nakedsecurity เข้าใจว่าการที่จะสร้างหรือจะเพิ่มความสามารถอย่างใดอย่างหนึ่งได้ เช่น การสร้าง Subkey หรือการลบไฟล์บางไฟล์ ถ้ามองในเทอมของโปรแกรมคือจะต้องมีการเข้าไปแก้ในส่วนของ register น้ะครับ
โดยก่อนจะเข้าไปแก้ได้ hacker ต้องส่งไฟล์บางไฟล์เพื่อให้ยูสเซอร์คนนี้ที่เข้าใช้ระบบในระดับ admin ทำการ permission ตัวโปรแกรมนี้ก่อนว่ามีระดับการใช้งานได้ขนาดไหนและจากนั้น ตัวโปรแกรมนี้ก็จะไปแก้ register เพื่อสร้าง Subkey และเปิดการทำงานในระดับที่สูงขึ้น คิดว่า "รีจิสเตอร์" คือจุดของการแก้ไขและลงทะเบียนค่าต่างๆ โดยไม่ได้ผ่านหน้า GUI นะครับ
ความจริงมันคือ registry (รีจิสทรี สะกดอย่างนี้รึเปล่าไม่รู้นะ)ครับ ไม่ใช่ register
registry เอาไว้เก็บ config ของ window รวมถึงการกำหนดว่าจะ run ไฟล์ไหนขึ้นมาในตอนเริ่มต้นระบบ
โดยปกติแล้ว มันมีการกำหนด permission ในการ access ด้วย แต่user ส่วนมากคงเข้า window ด้วยสิทธิ์ administrator แหงๆ :)
พรุนเรื่อยๆ
จากก่อนหน้านี้ที่นั่งทำ analysis MS Patch มาเรื่อยๆ ผมว่าถ้า Bug ตัวนี้ ส่งผลแค่ Elevation of Privilege ผมว่ามันยังไม่น่ากลัวเท่าไร เมื่อเทียบกับพวกประเภท Remote Code Execution อย่างเช่น MS08-067 ที่เป็นต้นเหตุของการระบาดของเวิร์ม "Conficker/Downadup" ที่เล่นจน W2003 server เละไปทั่วโลก (รวมถึงหลายๆบริษัทย่านกทม.และชลบุรี)