MS14-068 เป็นแพตช์ที่ Microsoft ออกมาเพื่อแก้ปัญหาช่องโหว่ของ Kerberos ที่แฮกเกอร์สามารถเปลี่ยนสิทธิจากผู้ใช้ธรรมดาใน Domain เป็นแอดมิน และโจมตีคอมพิวเตอร์เครื่องอื่นใน Domain นั้น ซึ่งรวมถึง Domain Controllers (CVE-2014-6324)
Microsoft ได้เรทให้อัพเดตนี้เป็น Critical และ Windows ดังต่อไปนี้ควรรีบอัพเดตแพตช์นี้
• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
แฮกเกอร์สามารถใช้ช่องโหว่นี้ทำอะไรได้บ้าง?
• แฮกเกอร์ที่รู้ข้อมูล credentials สามารถเลื่อนสิทธ์เป็นแอดมิน หรือ ปลอมเป็นบุคคลอื่นที่อยู่ใน Domain เดียวกัน
• แฮกเกอร์สามารถเข้าไป join ใน group ใหนก็ได้
• แฮกเกอร์สามารถเข้าไป install โปรแกรม, เข้าไปดูหรือลบข้อมูล, หรือ สร้าง Account ใหม่บน Domain
แฮกเกร์สามารถเข้าไปโจมตีได้อย่างไร?
• แฮกเกอร์จะส่ง Kerberos ticket ที่ได้แก้ไขแล้วไปยัง Kerberos Key Distribution Center (KDC) เพื่อปลอมเป็นแอดมิน ช่องโหว่นี้จะทำให้ Kerberos KDC ไม่สามารถตรวจดู ticket ได้อย่างถูกต้อง และจะอนุญาตแฮกเกอร์ให้เป็นแอดมิน
เราสามารถตรวจสอบดูว่าโดนโจมตีได้อย่างไร?
• วิธีการตรวจสอบเบื้องต้นคือ สังเกตจาก Event logs
ปกติแล้ว Security ID และ Account Name ควรที่จะเหมือนกัน แต่เราสังเกตได้ว่า Security ID และ Account Name ซึ่งในตัวอย่างนี้ไม่เหมือนกัน ซึ่งหมายความว่า ผู้ที่ใช้ “nonadmin” account ได้ใช้ช่องโหว่นี้เปลี่ยนสิทธ์เป็น “TESTLAB/Administrator”
หลังจากได้ลงแพตช์นี้แล้ว เราสามารถใช้ Kerberos Service Ticket Operation event log เพื่อดูว่าแฮกเกอร์ได้ใช้ช่องโหว่นี้โจมตีเราหรือไม่ ซึ่งถ้าแฮกเกอร์กำลังโจมตีอยู่ log จะขึ้น “Failure Code 0xf” อย่างในตัวอย่าง
Leave a comment!
You must be logged in to post a comment.