[8 พฤศจิกายน 2559 – ตามเวลาในสหรัฐอเมริกา] ไมโครซอฟท์ออกการปรับปรุง (Patch) หมายเลข MS16-135 เพื่อแก้ไข ช่องโหว่ความปลอดภัยใน Windows Kernel-Mode Drivers (Win32k.sys) ที่ค้นพบโดยทีมวิจัยความปลอดภัยของกูเกิลแล้ว
ช่องโหว่ 0-day ใน Windows Kernel-Mode Drivers (Win32k.sys)
ทีมวิจัยความปลอดภัยของกูเกิลได้ค้นพบช่องโหว่ความปลอดภัย Local Privilege Escalation ในเคอร์เนล Windows (ไฟล์ win32k.sys) เมื่อวันที่ 26 ตุลาคม 2559 และได้เปิดเผยรายละเอียดบนอินเทอร์เน็ตหลังจากแจ้งให้ไมโครซอฟท์ทราบครบเวลา 7 วัน (อ่านรายละเอียดที่ https://goo.gl/86mp4g) หลังจากนั้นมีรายงานการโจมตีแบบ Phishing (จำนวนไม่มาก) กับผู้ใช้ Windows โดยกลุ่มแฮกเกอร์ชื่อ STRONTIUM ซึ่งคาดว่าการโจมตีที่เกิดขึ้นอาจใช้ประโยชน์จากข้อมูลที่เปิดเผยโดยกูเกิล (อ่านรายละเอียดที่ https://goo.gl/PoLpOG)
สำหรับช่องโหว่ที่กูเกิลทำการเปิดเผยบนอินเทอร์เน็ตและอาจถูกแฮกเกอร์นำไปใช้ในการโจมตีผู้ใช้ Windows คือ CVE-2016-7255
MS16-135 Security Update for Windows Kernel-Mode Drivers
การปรับปรุง MS16-135 Security Update for Windows Kernel-Mode Drivers จะทำการปรับปรุงช่องโหว่ Windows Kernel-Mode Drivers (KMD) ในไฟล์ Win32k.sys ที่สามารถใช้หลบหลีก Security Sandbox ช่องโหว่นี้เกิดขึ้นจากความผิดพลาดในการจัดการออปเจ็กต์ในหน่วยความจำโดยมีผลกระทบกับ Windows ทุกเวอร์ชันยกเว้น Windows 10 Version 1607 ช่องโหว่ที่รุนแรงที่สุดสามารถใช้โจมตีระบบแบบ Elevation of Privilege ได้ ถ้าการโจมตีประสบความสำเร็จแฮกเกอร์สามารถควบคุมระบบได้อย่างสมบูรณ์และสามารถรันโค้ดใน Kernel-Mode โดยไม่ได้รับอนุญาตได้ (Arbitrary Code Execution)
อย่างไรก็ตาม ช่องโหว่นี้เป็นแบบโลคอล ดังนั้นแฮกเกอร์ต้องทำการรันโปรแกรมพิเศษจากหน้าเครื่องเท่านั้น (ต้องลงชื่อเข้าเครื่องคอมพิวเตอร์ก่อนจึงสามารถทำการโจมตีได้) ไมโครซอฟท์จัดระดับความรุนแรงของช่องโหว่เหล่านี้เป็น สูง (Important)
ทั้งนี้ การปรับปรุง MS16-135 เป็น 1 ในการปรับปรุง 14 ตัวที่ไมโครซอฟท์ออกในการปรับปรุงความปลอดภัยซอฟต์แวร์ (Security Update หรือ Patch Tuesday) เดือนพฤศจิกายน 2559 โดยในจำนวนนั้นมีการปรับปรุงสำหรับแก้ไขช่องโหว่ความปลอดภัยที่มีผลกระทบรุนแรงขั้นวิกฤติจำนวน 6 ตัวด้วยกัน (อ่านรายละเอียดที่ https://technet.microsoft.com/en-us/library/security/ms16-nov.aspx)
ช่องโหว่ Windows Kernel-Mode Drivers (KMD) ที่ได้รับการแก้ไข
การปรับปรุง MS16-135 แก้ไข 4 ช่องโหว่ดังนี้
- CVE-2016-7214: Win32k Information Disclosure Vulnerability
- CVE-2016-7215: Win32k Elevation of Privilege Vulnerability
- CVE-2016-7246: Win32k Elevation of Privilege Vulnerability
- CVE-2016-7255: Win32k Elevation of Privilege Vulnerability
วิธีการปรับปรุงระบบ Windows
การตรวจสอบและติดตั้งการปรับปรุงระบบ Windows ขึ้นกับเวอร์ชันที่ใช้งาน ดังนี้
Windows 10:
ตามปกติแล้ว Windows 10 จะทำการอัพเดตบิลด์ใหม่โดยอัตโนมัติ แต่สามารถทำการตรวจสอบและติดตั้งอัพเดตโดยคลิก Start แล้วเข้าไปที่ Settings > Update & security > Windows Update จากนั้นคลิก Check for updates แล้วทำการติดตั้งอัพเดต (ถ้ามี) โดยหลังติดตั้งแล้วเสร็จจะต้องเริ่มต้นระบบใหม่เพื่อให้การติดตั้งเสร็จสมบูรณ์
Windows 8/8.1:
ผู้ใช้ Windows 8/8.1 ทำการตรวจสอบและติดตั้งอัพเดตโดยเข้าไปที่ Control Panel\All Control Panel Items\Windows Update จากนั้นคลิก Check for updates แล้วทำการติดตั้งอัพเดต (ถ้ามี) โดยหลังติดตั้งแล้วเสร็จจะต้องเริ่มต้นระบบใหม่เพื่อให้การติดตั้งเสร็จสมบูรณ์.
เพื่อความปลอดภัยให้ผู้ใช้ Windows ทำการติดตั้งการปรับปรุง MS16-135 (และตัวอื่นๆ ที่เกี่ยวข้อง) ทันทีเพื่อความปลอดภัย
แหล่งอ้างอิง
Microsoft Security Bulletin MS16-135
ประวัติการปรับปรุงบทความ
10 มีนาคม 2561: ปรับปรุงเนื้อหา
9 พฤศจิกายน 2559: เผยแพร่ครั้งแรก
