Additional information about CVE-2014-6324

Additional information about CVE-2014-6324

MS14-068 เป็นแพตช์ที่ Microsoft ออกมาเพื่อแก้ปัญหาช่องโหว่ของ Kerberos ที่แฮกเกอร์สามารถเปลี่ยนสิทธิจากผู้ใช้ธรรมดาใน Domain เป็นแอดมิน และโจมตีคอมพิวเตอร์เครื่องอื่นใน Domain นั้น ซึ่งรวมถึง Domain Controllers (CVE-2014-6324)

Microsoft ได้เรทให้อัพเดตนี้เป็น Critical และ Windows ดังต่อไปนี้ควรรีบอัพเดตแพตช์นี้

•    Windows Server 2003
•    Windows Server 2008
•    Windows Server 2008 R2
•    Windows Server 2012
•    Windows Server 2012 R2
•    Windows Vista
•    Windows 7
•    Windows 8
•    Windows 8.1

แฮกเกอร์สามารถใช้ช่องโหว่นี้ทำอะไรได้บ้าง?

•    แฮกเกอร์ที่รู้ข้อมูล credentials สามารถเลื่อนสิทธ์เป็นแอดมิน หรือ ปลอมเป็นบุคคลอื่นที่อยู่ใน Domain เดียวกัน
•    แฮกเกอร์สามารถเข้าไป join ใน group ใหนก็ได้
•    แฮกเกอร์สามารถเข้าไป install โปรแกรม, เข้าไปดูหรือลบข้อมูล, หรือ สร้าง Account ใหม่บน Domain

แฮกเกร์สามารถเข้าไปโจมตีได้อย่างไร?

•    แฮกเกอร์จะส่ง Kerberos ticket ที่ได้แก้ไขแล้วไปยัง Kerberos Key Distribution Center (KDC) เพื่อปลอมเป็นแอดมิน ช่องโหว่นี้จะทำให้ Kerberos KDC ไม่สามารถตรวจดู ticket ได้อย่างถูกต้อง และจะอนุญาตแฮกเกอร์ให้เป็นแอดมิน

เราสามารถตรวจสอบดูว่าโดนโจมตีได้อย่างไร?

•    วิธีการตรวจสอบเบื้องต้นคือ สังเกตจาก Event logs

ปกติแล้ว Security ID และ Account Name ควรที่จะเหมือนกัน แต่เราสังเกตได้ว่า Security ID และ Account Name ซึ่งในตัวอย่างนี้ไม่เหมือนกัน ซึ่งหมายความว่า ผู้ที่ใช้ “nonadmin” account ได้ใช้ช่องโหว่นี้เปลี่ยนสิทธ์เป็น “TESTLAB/Administrator”
หลังจากได้ลงแพตช์นี้แล้ว เราสามารถใช้ Kerberos Service Ticket Operation event log เพื่อดูว่าแฮกเกอร์ได้ใช้ช่องโหว่นี้โจมตีเราหรือไม่ ซึ่งถ้าแฮกเกอร์กำลังโจมตีอยู่ log จะขึ้น “Failure Code 0xf” อย่างในตัวอย่าง


Leave a comment!

You must be logged in to post a comment.