Microsoft เตือนภัยผู้ใช้ Windows ระวังตกเป็นเป้าหมายการโจมตีด้วยช่องโหว่ Zero-day

Microsoft ได้ออกประกาศเตือนความปลอดภัยในระบบปฏิบัติการ Windows หลังพบผู้บุกรุกใช้ 2 ช่องโหว่ zero-day ใหม่สามารถเรียกใช้การโจมตีระยะไกล (RCE) ในไลบรารี Adobe Manager

รายละเอียดช่องโหว่โดยย่อ

2 ช่องโหว่ zero-day ใหม่นี้อยู่ใน Adobe Type Manager Library (atmfd.dll) เป็นไลบรารีที่ Microsoft ใช้เพื่อจัดการรูปแบบฟอนต์ Adobe Type 1 PostScript ภายใน Windows

การโจมตีช่องโหว่

ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่เพื่อทำการโจมตีโดยการส่งอีเมล์หรือข้อความและหลอกล่อผู้ใช้ให้เปิดเอกสารที่เเทรกข้อมูลหรือโค้ดสำหรับโจมตีช่องโหว่เอาไว้ โค้ดสำหรับโจมตีช่องโหว่จะทำงานเมื่อเปิดดูไฟล์หรือข้อมูลใน Windows Preview ซึ่งนำไปสู่การโจมตีระยะไกลเพื่อยึดครองเครื่องของผู้ใช้งาน

ระบบที่ได้รับผลกระทบ

  • Windows 10 สำหรับ 32 bit และ 64 bit
  • Windows 8.1 สำหรับ 32 bit และ 64 bit
  • Windows 7 สำหรับ 32 bit และ 64 bit Service Pack 1
  • Windows RT 8.1
  • Windows Server 2008 สำหรับ 32 bit และ 64 bit
  • Windows Server 2008 R2 สำหรับ 32 bit และ 64 bit
  • Windows Server 2012 สำหรับ 32 bit และ 64 bit
  • Windows Server 2012 R2 สำหรับ 32 bit และ 64 bit
  • Windows 2016
  • Windows Server 2019
  • Windows Server เวอร์ชั่น 1803
  • Windows Server เวอร์ชั่น 1903
  • Windows Server เวอร์ชั่น 1909

การตรวจจับและป้องกันการโจมตี

Microsoft ประกาศว่าจะวางแผนแก้ไขข้อบกพร่องด้วยการเปิดตัว Patch Tuesday ของเดือนถัดไปซึ่งกำหนดไว้ในวันที่ 14 เมษายน Microsoft ได้แนะนำการเเก้ปัญหาเบื้องต้นดังนี้

  1. ปิดการใช้งาน Windows Preview และ Details Pane ใน Windows Explorer เพื่อป้องกันการแสดงแบบอักษร OTF ใน Windows Explorer โดยอัตโนมัติและป้องกันการเรียกดูไฟล์ที่เป็นอันตรายใน Windows Explorer แต่ก็ยังไม่สามารถป้องกันการเปิดเอกสารโดยผู้ใช้งานเปิดเอกสารที่เเทรกโค้ดโจมตีได้ ขั้นตอนการปิดใช้งาน Windows Preview และ Details Pane ใน Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 และ Windows 8.1 ดังขั้นตอนข้างล่างนี้ (Windows Explorer จะไม่แสดงแบบอักษร OTF โดยอัตโนมัติ)
    1. เปิด Windows Explorer คลิก Organize และเลือก Layout.
    2. คลิก Details pane และ Preview pane ออกจาก menu options.
    3. คลิก Organize และคลิก Folder and search options.
    4. คลิก the View tab.
    5. เลือก Advanced settings และเลือก Always show icons, ไม่เลือก thumbnails box
    6. คลิก Ok และปิดอินสแตนซ์ทั้งหมดของ Windows Explorer เพื่อให้การเปลี่ยนแปลงมีผล
  2. ปิดใช้งานบริการ WebClient การปิดใช้งานบริการ WebClient ช่วยป้องกันระบบที่ได้รับผลกระทบจากจากช่องโหว่นี้โดยปิดช่องทางการโจมตีระยะไกลผ่านบริการไคลเอ็นต์ Web Distributed Authoring and Versioning (WebDAV) เมื่อปิดใช้เซอร์วิส WebClient การทำงานที่เกี่ยวข้องกับ Web Distributed Authoring และ Versioning (WebDAV) จะไม่สามารถทำงานได้ นอกจากนี้เซอร์วิสใด ๆ ที่เกี่ยวข้องกับเซอร์วิส WebClient จะไม่เริ่มต้นการทำงาน วิธีปิดใช้งานบริการ WebClient มีขั้นตอนดังต่อไปนี้
    1. คลิกที่ Start คลิก Run (หรือกดปุ่ม Windows และ R บนแป้นพิมพ์) พิมพ์ Services.msc แล้วคลิกตกลง
    2. คลิกขวา WebClient และเลือก Properties
    3. คลิก Disabled ที่ Startup หากยังทำงานให้คลิก Stop.
    4. คลิก Ok และออก
  3. เปลี่ยนชื่อ ATMFD.DLL โดยการปิดใช้งาน ATMFD.DLL อาจทำให้โปรเเกรมบางอย่างหยุดทำงานและหากใช้ฟอนต์ OpenType Microsoft Windows จะไม่สามารถใช้ได้และโปรเเกรมที่ใช้ฟอนต์แบบฝังตัวจะไม่แสดงข้อความที่ไม่ถูกต้อง

สำหรับผู้ใช้งาน Windows 32-bit

สำหรับผู้ใช้งาน Windows 64-bit

อ้างอิง

  • https://securityaffairs.co/wordpress/100309/security/microsoft-zero-days-attacks.html
  • https://www.zdnet.com/article/microsoft-warns-of-windows-zero-day-exploited-in-the-wild/
  • https://www.helpnetsecurity.com/2020/03/23/windows-zero-days/
  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006
  • https://twitter.com/msftsecresponse/status/1242135309116043270