- 12 มี.ค. 63
-
1339
-
อัปเดตด่วน แพตช์ช่องโหว่ SMBv3 (CVE-2020-0796) ออกแล้ว หากยังไม่สามารถติดตั้งได้ควรพิจารณาตั้งค่าเพื่อลดความเสี่ยง
เมื่อวันที่ 11 มีนาคม 2563 บริษัท Microsoft ได้แจ้งเตือนช่องโหว่ในโพรโทคอล Microsoft Server Message Block 3.1.1 (SMBv3) ซึ่งเป็นช่องโหว่ประเภท remote code execution ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีจากระยะไกลเพื่อเจาะระบบควบคุมเครื่องเซิร์ฟเวอร์หรือไคลเอนต์ที่มีช่องโหว่ได้ เนื่องจาก service ของ SMBv3 นั้นรันด้วยสิทธิ์ของ SYSTEM จึงทำให้ผู้โจมตีมีโอกาสได้สิทธิ์สูงสุดของระบบ
ข้อมูลรายละเอียดของช่องโหว่นี้ยังไม่ถูกเปิดเผยออกมามากนัก แต่เบื้องต้นทาง Microsoft ได้ระบุว่าหากคอมพิวเตอร์เครื่องนั้นเปิดใช้งานฟีเจอร์ compression ของ SMBv3 (ซึ่งถูกเปิดไว้เป็นค่าเริ่มต้น) ก็มีความเสี่ยงที่จะถูกโจมตีได้ เนื่องจากการโจมตีสามารถทำได้จากระยะไกล ไม่ต้องยืนยันตัวตน เป็นไปแบบอัตโนมัติ และอาจมีความเสียหายเป็นวงกว้าง ทางหน่วยงาน CERT ได้ประเมินความรุนแรงตาม CVSS Metrics ไว้ที่ระดับเต็ม 10 ทั้งนี้ ผู้เชี่ยวชาญวิเคราะห์ว่าช่องโหว่นี้อาจถูกใช้แพร่กระจายมัลแวร์เป็นวงกว้างได้เหมือนกับเหตุการณ์ WannaCry เมื่อปี 2560
อย่างไรก็ตาม ระบบปฏิบัติการที่ได้รับผลกระทบจากช่องโหว่นี้ส่วนใหญ่เป็นระบบปฏิบัติการเวอร์ชันใหม่ ประกอบด้วย Windows 10 และ Windows Server เวอร์ชัน 1903 และ 1909
เมื่อวันที่ 12 มีนาคม 2563 ทาง Microsoft ได้ออกแพตช์เพื่อแก้ไขปัญหานี้แล้ว ผู้ใช้ควรพิจารณาติดตั้งแพตช์โดยเร็วเพื่อลดความเสี่ยง โดยสามารถดาวน์โหลดได้จากเว็บไซต์ของ Microsoft (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796) และผ่านทาง Windows Update
หากยังไม่สามารถติดตั้งแพตช์ได้ ในเบื้องต้นทาง Microsoft ได้แนะนำให้ตั้งค่าเพื่อแก้ไขปัญหาแบบเฉพาะหน้า (workaround) เพื่อลดผลกระทบหากมีการโจมตีช่องโหว่ รายละเอียดการตั้งค่าสามารถดูได้จากเว็บไซต์ของ Microsoft (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005) ทั้งนี้ การตั้งค่าในข้อแนะนำดังกล่าวเป็นการปิด SMBv3 compression บนเครื่องเซิร์ฟเวอร์เท่านั้น (และอาจต้องแก้ไขกลับคืนก่อนที่จะติดตั้งแพตช์) สำหรับเครื่องไคลเอนต์ ทาง Microsoft ได้แนะนำให้ตั้งค่าไฟร์วอลเพื่อบล็อกการเชื่อมต่อ SMB ไม่ให้มีผลกระทบกับเครื่องอื่นๆ ในเครือข่าย โดยสามารถศึกษาวิธีตั้งค่าได้จากเว็บไซต์ของ Microsoft (https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections)
หมายเหตุ: โปรดตระหนักว่าข้อแนะนำดังกล่าวเป็นเพียงการลดผลกระทบหากระบบถูกโจมตีเท่านั้น อาจไม่สามารถป้องกันหรือแก้ไขปัญหาได้ 100% ผู้ใช้งานระบบปฏิบัติการที่ได้รับผลกระทบควรติดตั้งแพตช์โดยเร็วที่สุดหากทำได้
จากการติดตามสถานการณ์ ทางไทยเซิร์ตพบว่าเมื่อวันที่ 12 มีนาคม 2563 ได้มีนักวิจัยเริ่มพัฒนาเครื่องมือสำหรับโจมตีช่องโหว่นี้แล้ว โดยในเบื้องต้นยังเป็นการทำให้เครื่องคอมพิวเตอร์ปลายทางขึ้นจอฟ้า (อ้างอิง https://twitter.com/kryptoslogic/status/1238057276738592768) แต่ในอนาคตอาจมีผู้ที่สามารถพัฒนาเครื่องมือให้สามารถโจมตีช่องโหว่เพื่อสั่งเจาะระบบยึดเครื่องคอมพิวเตอร์จากระยะไกลได้
ในประเทศไทยพบเครื่องคอมพิวเตอร์ที่ "มีความเป็นไปได้" ว่าอาจได้รับผลกระทบจากช่องโหว่ดังกล่าวไม่ต่ำกว่า 300 เครื่อง อย่างไรก็ตาม ตัวเลขนี้เป็นข้อมูลที่ยังไม่ยืนยัน อยู่ระหว่างการตรวจสอบเพิ่มเติมจากผู้ที่เกี่ยวข้อง ปัจจุบันทางไทยเซิร์ตได้เฝ้าระวังและติดตามสถานการณ์อย่างใกล้ชิด
ที่มา: Microsoft, CERT