นักวิจัยด้านความปลอดภัยชาวฝรั่งเศส Clément Labro ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day โดยบังเอิญซึ่งส่งผลกระทบต่อระบบปฏิบัติการ Windows 7 และ Windows Server 2008 R2
ช่องโหว่สองรายการที่ถูกค้นพบนี้อยู่ใน Registry key โดยช่องโหว่เกิดจากการกำหนดค่าไม่ถูกต้องในเซอร์วิส PC Endpoint Mapper และ DNSCache ตามพาทดังนี้
HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper
HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache
นักวิจัยกล่าวว่าช่องโหว่ที่ถูกค้นพบสามารถทำให้ผู้ประสงค์ร้ายแก้ไข Registry key ได้ โดย Registry key ดังกล่าวจะถูกนำไปใช้ต่อเพื่อเปิดใช้งาน sub-key ในกลไกของ Windows Performance Monitoring ซึ่งโดยปกติแล้วจะเปิดให้นักพัฒนาสามารถโหลดไฟล์ DLL ของตนเองที่ทำการแก้ไขด้วย Custom tool เพื่อการติดตามประสิทธิภาพของแอปพลิเคชันได้ตามต้องการ ซึ่งด้วยวิธีการนี้ใน Windows เวอร์ชันใหม่ๆ จะมีการจำกัดสิทธิการทำงานนี้ไว้ แต่ด้วยกลไกลที่กล่าวมาของ Windows 7 และ Server 2008 ผู้ประสงค์ร้ายที่อยู่ในระบบสามารถใช้ช่องทางนี้ในการลอบรันโค้ดในระดับ SYSTEM ได้
Clément Labro พบช่องโหว่นี้โดยบังเอิญจากการทำ PrivescCheck เครื่องมือตรวจสอบการตั้งค่าว่า Windows มีการตั้งค่าที่ไม่ถูกต้องและอาจถูกใช้ในการยกระดับสิทธิได้หรือไม่ โดยเขาพบช่องโหว่ดังกล่าวเมื่อทดลอง PrivescCheck กับ Windows 7 ภายหลังจากที่อัปเดต PrivescCheck สู่สาธารณะไปแล้ว จึงเลือกที่จะเผยแพร่การค้นพบช่องโหว่ Zero-day นี้
ทั้งนี้ Windows 7 และ Windows Server 2008 R2 ได้สิ้นสุดอายุการซับพอต (End Of Life - EOL) และทาง Microsoft ได้หยุดให้บริการอัปเดตแพตซ์ความปลอดภัยให้แก่ผู้ใช้แล้ว อย่างไรก็ดีผู้ใช้สามารถทำการอัปเดตแพตซ์ความปลอดภัยได้โดยการชำระเงิน (Extended Support Updates - ESU) หรือการอัปเดตแพตช์จาก Third-party เช่น 0patch ของบริษัท ACROS Security ซึ่งได้ทำการอัปเดตแพตซ์ความปลอดภัยและเเก้ไขช่องโหว่ดังกล่าวแล้ว
ที่มา:
zdnet.