วันที่ประกาศ: 7 พฤษภาคม 2556
ปรับปรุงล่าสุด: 8 พฤษภาคม 2556
เรื่อง:
ระวังภัย ช่องโหว่ 0-day ใน Internet Explorer 8 (CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้วประเภทภัยคุกคาม: Intrusion
ข้อมูลทั่วไปบริษัท Microsoft ได้ประกาศแจ้งเตือนช่องโหว่ด้านความมั่นคงปลอดภัย (Security Advisory) หมายเลข 2847140 เรื่องช่องโหว่ในโปรแกรม Internet Explorer 8 ซึ่งอนุญาตให้ผู้ไม่หวังดีสามารถสั่งประมวลผลคำสั่งอันตรายบนเครื่องของเหยื่อได้ (Remote Code Execution) [1] ช่องโหว่ดังกล่าวนี้ยังอยู่ระหว่างการตรวจสอบและยังไม่มีวิธีแก้ไข
ในการโจมตี ผู้ไม่หวังดีจะสร้างเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ หรือแทรกโค้ดที่มีอันตรายนั้นไว้ในเว็บไซต์ที่ถูกแฮ็ก จากนั้นใช้วิธีการทาง Social Engineering หลอกล่อให้เหยื่อเข้าไปยังเว็บไซต์ดังกล่าว จากนั้นโค้ดอันตรายที่ถูกฝังอยู่ก็จะเริ่มทำงานทันที่ที่เหยื่อเข้าเยี่ยมชมหน้าเว็บไซต์
เมื่อวันที่ 4 พฤษภาคม 2556 มีรายงานว่าผู้ไม่หวังดีได้ฝังโค้ดไว้ในเว็บไซต์ของกระทรวงแรงงาน ประเทศสหรัฐอเมริกา (U.S. Department of Labor) เพื่อให้หน้าเว็บไซต์ดังกล่าว Redirect ไปยังหน้าเว็บไซต์ที่มีโค้ดที่โจมตีผ่านช่องโหว่ดังกล่าวนี้ โดยโค้ดนั้นจะติดตั้งโทรจันชื่อ Poison Ivy ในเครื่องของเหยื่อ หลังจากนั้นไม่นาน ก็ปรากฏว่าฐานข้อมูลรายชื่อของพนักงานที่ทำงานเกี่ยวกับการวิจัยด้านอาวุธนิวเคลียร์ถูกเปิดเผย [2] [3]
ผลกระทบผู้ไม่หวังดีสามารถสั่งให้เครื่องของเหยื่อประมวลผลคำสั่งใดๆ ก็ได้ เพียงแค่หลอกให้เหยื่อเข้าไปยังเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่
ระบบที่ได้รับผลกระทบช่องโหว่ดังกล่าวนี้มีผลเฉพาะ Internet Explorer 8 เท่านั้น สำหรับเวอร์ชั่น 6, 7, 9 และ 10 ไม่ได้รับผลกระทบ
จากสถิติของเว็บไซต์ TrueHits พบว่าในเดือนเมษายน 2556 ผู้ใช้งานอินเทอร์เน็ตในประเทศไทย ยังมีการใช้งาน Internet Explorer 8 อยู่ถึง 13.07% ซึ่งผู้ใช้เหล่านี้มีโอกาสเสี่ยงที่จะถูกโจมตีผ่านช่องโหว่ดังกล่าว
ข้อแนะนำในการป้องกันและแก้ไขทาง Microsoft ยังอยู่ระหว่างการตรวจสอบข้อมูล และยังไม่มีแพทช์แก้ไขช่องโหว่ดังกล่าวออกมาในขณะนี้ ผู้ใช้งานควรอัพเดตเวอร์ชั่นของโปรแกรม Internet Explorer ให้เป็นเวอร์ชั่นล่าสุด (9 หรือ 10) หรือเปลี่ยนไปใช้เบราว์เซอร์อื่นเป็นการชั่วคราว
อย่างไรก็ตาม ทาง Microsoft ได้มีทางออกชั่วคราวสำหรับผู้ที่จะเป็นต้องใช้งานโปรแกรม Internet Explorer 8 อยู่ โดยสามารถใช้ทางเลือกดังกล่าวนี้ในการลดความเสียหายที่อาจจะเกิดขึ้นได้
-ติดตั้งโปรแกรม EMET และกำหนดค่าให้ใช้งานกับโปรแกรม Internet Explorer ซึ่งทางไทยเซิร์ตเคยเผยแพร่บทความเรื่องวิธีการใช้งาน EMET ไว้แล้ว
-กำหนดค่า Security Level ของ Internet และ Local intranet ใน Internet Explorer ให้เป็น High รวมถึงปิดการทำงานของ ActiveX Controls และ Active Scripting
-กำหนดค่าให้ Internet Explorer ถามการยืนยันจากผู้ใช้ทุกครั้งก่อนที่จะมีการใช้งาน Active Scripting
ซึ่งวิธีการกำหนดค่า Security Level ของโปรแกรม Internet Explorer ผู้ใช้สามารถศึกษาได้จากหน้าเว็บไซต์ Security Advisory ของ Microsoft ในส่วนหัวข้อ Suggested Actions
อ้างอิงhttp://technet.microsoft.com/en-us/security/advisory/2847140http://arstechnica.com/security/2013/05/internet-explorer-zero-day-exploit-targets-nuclear-weapons-researchers/http://www.technewsworld.com/rsstory/77968.htmlhttp://truehits.net/graph/graph_stat.php#WEBhttp://www.thaicert.or.th/papers/technical/2012/pa2012te004.htmlที่มา:
https://www.thaicert.or.th/alerts/admin/2013/al2013ad005.html