Cyber threat alerts 2012

cover

á¨Œ§àµ×Í¹áÅÐ¢ŒÍá¹Ð¹Ó

â´Â

CYBERTHREAT ALERTS

2012

บทความ CYBER THREAT ALERTS 2012 โดย ThaiCERT

ชอเรอง บทความ CYBER THREAT ALERTS 2012

โดย ThaiCERT

เรยบเรยงโดย ทมไทยเซรต

เลข ISBN 978-974-9765-43-2

พมพครงท 1 มกราคม 2556

พมพจ�ำนวน 500 เลม

รำคำ 150 บาท

สงวนลขสทธตามพระราชบญญตลขสทธ พ.ศ. 2537

จดพมพและเผยแพรโดยศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร

ประเทศไทย (Thailand Computer Emergency Response Team)

ส�านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ. เลข

ท 120 หม 3 ศนยราชการเฉลมพระเกยรต 80 พรรษา 5 ธนวาคม 2550 ถนน

แจงวฒนะ แขวงทงสองหอง เขตหลกส กรงเทพฯ 10210

โทรศพท 0-2142-2483

โทรสาร 0-2143-8071

เวบไซตไทยเซรต www.thaicert.or.th

เวบไซต สพธอ. www.etda.or.th

เวบไซตกระทรวงฯ www.mict.go.th

คำ นำ ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย

หรอไทยเซรต ไดเรมด�าเนนการภายใต ส�านกงานพฒนาธรกรรมทางอเลกทรอนกส

(องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและการสอสาร มาตงแต

วนท 1 กรกฎาคม พ.ศ. 2554 โดยใหบรการรบมอ วเคราะห และด�าเนนการ

ประสานงานเพอแกไขปญหาภยคกคามดานสารสนเทศ

ไทยเซรตมพนธกจเชงรกในการเพมขดความสามารถของทรพยากรบคคล

ดานการรกษาความมนคงปลอดภยสารสนเทศ และมกจกรรมสรางความตระหนก

และพฒนาทกษะความรตางๆ เชน การซกซอมรบมอภยคกคามดานสารสนเทศ

และการแลกเปลยนและเผยแพรขอมลขาวสารเกยวกบภยคกคามดานสารสนเทศ

หนงสอเลมนเปนรวบรวมบทความประเภทแจงเตอนและขอแนะน�าทได

เผยแพรผานเวบไซตของไทยเซรต (www.thaicert.or.th) ในชวงระยะเวลา

วนท 1 ธนวาคม 2554 - 31 ธนวาคม พ.ศ. 2555 ซงทมไทยเซรตไดตดตาม

ขาวสารจากแหลงขาวดานความมนคงปลอดภยระบบคอมพวเตอรตาง ๆ ทว

โลก และกลนกรองเหตการณทอาจสงผลกระทบตอคนไทยมาเผยแพร จงท�าให

บทความประเภทการแจงเตอนและขอแนะน�านนมเนอหาทหลากหลาย เชน

การแจงเตอนชองโหวของโปรแกรมทมการใชงานอยางแพรหลายในประเทศไทย

ไมวาจะเปนโปรแกรมจากบรษท Adobe หรอโปรแกรมตาง ๆ ทตดตงในระบบ

ปฏบตการ Windows การแจงเตอนจากเหตการณทอาจสงผลกระทบตอคน

ไทย เชน เหตการณทเวบไซต Social Media ชอดงอยาง LinkedIn ซงมคน

ไทยเปนสมาชกอยกวา 250,000 คน ถกแฮก ท�าใหรหสผานของบญชผใชหลด

ออกมากวา 6.5 ลานบญช เปนตน ดงนนผจดท�าจงหวงเปนอยางยงวาหนงสอ

เลมน จะมสวนชวยในการสรางภมคมกนใหกบสงคมออนไลนของประเทศไทย

สรางคณา วายภาพ

ผอ�านวยการส�านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

สารบญค�ำน�ำ ................................................................................................................................................................................. 7

สำรบญ.............................................................................................................................................................................. 8

สำรบญรป ....................................................................................................................................................................... 10

บทควำมประเภทแจงเตอนและขอแนะน�ำ ....................................................................................................................... 12

1. ระวงภย ชองโหว 0-day ใน Adobe Reader และ Adobe Acrobat (CVE-2011-2462) ..................................................13

2. ระวงภย ชองโหว Serv-U File Server ท�าใหผใชเขาถงขอมลโดยไมไดรบอนญาต ...............................................................14

3. ระวงภย ชองโหว 0-day ใน Adobe Flash Player (CVE-2011-4693, CVE-2011-4694) ................................................15

4. ระวงภยการโจมตผใช Facebook ผานปลกอนปลอมของ YouTube ...................................................................................17

5. ระวงภย ชองโหวระดบ Kernel ใน Windows 64 bit ท�าใหเกด Memory Corruption ....................................................19

6. ระวงภย ชอง โหวใน Linux Kernel 2.6.39 เปนตนไป ท�าใหผโจมตไดสทธของ root ........................................................20

7. ระวงภย Symantec ถกแฮกเกอรขโมย Source code เตอนลกคาระวงการโจมต 0-day .................................................22

8. Microsoft เตอนผใช Windows ตดตงแพทชแกไขชองโหว CVE-2012-0002 โดยดวน ......................................................23

9. Oracle เผลอปลอยโคดทใชทดสอบการ DoS โปรแกรม MySQL ........................................................................................24

10. FBI เตรยมปดเซรฟเวอร DNS Changer ในวนท 9 ก.ค. 2555 เครองคอมพวเตอรทตดมลแวรจะไมสามารถ

ใชงานอนเทอรเนตได ..................................................................................................................................................................25

11. ชองโหว TNS listener ใน Oracle Database (CVE-2012-1675) ....................................................................................27

12. LinkedIn ถกแฮก รหสผานหลดกวา 6.5 ลานชอ ...............................................................................................................29

13. ระวงภย ชองโหวใน MySQL/MariaDB อนญาตใหลอกอนไดโดยไมตองรรหสผาน ............................................................30

14. ระวงภย ชองโหว OpenType Font อาจท�าเครอง จอฟา.................................................................................................31

15. ระวงภย ชองโหว Remote Code Execution ใน Microsoft XML Core Service (CVE-2012-1889) ..........................32

16. ระวงภย ชองโหว Remote Code Execution ใน Internet Explorer (CVE2012-1875) ...............................................33

17. ระวงภย ชองโหว Remote Code Execution ใน Windows Sidebar/Gadget ..............................................................34

18. ระวงภย โทรจน GetShell.A ท�างานไดทงบน Windows, Mac และ Linux .....................................................................36

19. Yahoo! Contributor Network ถกเจาะ บญชผใช 453,492 รายหลดเปน plaintext .....................................................37

20. ระวงภย ชองโหวในซอฟตแวร Uplay ของ Ubisoft แฮกเกอรสามารถสงเปดโปรแกรมในเครองเหยอได .........................39

21. นกวจยสาธตมลแวรทตดในเฟรมแวร EFI ของเครอง Mac .................................................................................................40

22. ระวงภย ชองโหว CVE-2012-4681 ใน Java 7 ..................................................................................................................42

23. ระวงภย Foxit Reader เวอรชนเกากวา 5.4 มชองโหว DLL hijacking ............................................................................43

24. Blizzard Entertainment ถกเจาะระบบ ผใชงานควรเปลยนรหสผานโดยดวน ....................................................................44

25. ระวงภย ชองโหวใน Internet Explorer ผโจมตสามารถท�า Remote Code Execution ได (CVE-2012-4969) ............46

26. ระวงภย โปรแกรม phpMyAdmin รน 3.5.2.2 อาจม Backdoor ฝงอย (CVE-2012-5159) ...........................................47

27. ระวงภย ชองโหวในระบบปฏบตการ Android ผไมหวงดสามารถท�า Remote Factory Reset ได .................................48

28. Adobe ปลอย CRL ยกเลก Certificate ทถกใช Sign มลแวร ...........................................................................................50

29. ระวงภย มลแวรใน Skype ลอคไฟลในเครอง .....................................................................................................................52

30. ระวงภย Windows 8 เกบขอมลการ Login ดวย Picture Password เปน Plain Text ...................................................53

31. ระวงภย โปรแกรม Atomymaxsite รน 2.5 หรอต�ากวา มชองโหวอพโหลดไฟลใดๆ ไดโดยไมมการตรวจสอบ ..................54

32. ระวงภย ชป Wifi ของ Broadcom รน BCM4325 และ BCM4329 มชองโหว DoS .........................................................55

33. ระวงภย ชองโหว Use-after-free ใน Mozilla Firefox/Thunderbird เวอรชนต�ากวา 17.0 ...........................................57

34. ระวงภย ไดรเวอรเครองพมพของ Samsung และ Dell ม Backdoor Administrator Account ....................................58

35. ระวงภย Instagram 3.1.2 ใน iOS มชองโหวสวมรอยบญชผใช .........................................................................................59

36. ระวงภย แฮกเกอรเผย 5 ชองโหว 0-Day ใน MySQL ........................................................................................................60

38. ระวงภย ชองโหวใน Samsung Galaxy (S2, S3, Note, Note2) สามารถ root หรอท�าเครอง Brick ได ...............................62

8 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 9

สารบญรปรปท 1. (1-1) ตวอยางการโพสตลงกของเวบไซตอนตราย ........................................................................................................17

รปท 2. (1-2) ตวอยางเวบไซตหลอกลวงของ YouTube เปดโดย Google Chrome ..............................................................17

รปท 3. (1-3) ตวอยางเวบไซตหลอกลวงของ YouTube เปดโดย Mozilla ............................................................................17

รปท 4. (1-4) หนาจอการตดตงปลกอน Youtube Speed UP ...............................................................................................17

รปท 5. (1-5) หนาจอลอกอนของ Facebook ผาน Application ชอ Texas HoldEm Poker ..............................................17

รปท 6. (1-6) ตวอยาง Source Code จากหนาเวบไซต ..........................................................................................................18

รปท 7. (1-7) ตวอยางการลบปลกอน YouTube Speed UP! ออกจากเบราวเซอร Mozilla Firefox ...................................18

รปท 8. (8-1) ตวอยางการตรวจสอบเวอรชนของ Kernel ของระบบปฏบตการ Fedora .......................................................21

รปท 9.รปท 12 (8-2) ตวอยางการตรวจสอบเวอรชนของ Kernel ของระบบปฏบตการ Ubuntu ..........................................21

รปท 10.รปท 13 (10-1) แสดงการเปดการท�างานของระบบ NLA ใน Windows 7 ................................................................24

รปท 11.รปท 14 (12-1) แสดงผลการตรวจสอบ DNS โดยใชเวบไซต www.dns-ok.us.........................................................26

รปท 12.รปท 15 (12-2) การแจงเตอนผใชทตดมลแวร DNS Changer ของ Google .............................................................26

รปท 13.รปท 16 (12-3) การแจงเตอนผใชทตดมลแวร DNS Changer ของ Facebook ........................................................26

รปท 14.รปท 17 (14-1) ตวอยางรหสผานทถกแกะไดแลว (ทมา Ars Technica) ...................................................................29

รปท 15.รปท 18 (16-1) BSoD ทเกดจากชองโหว ATMFD.DLL [16-2] .................................................................................31

รปท 16.รปท 19 (19-1) Windows Sidebar ใน Windows Vista [19-1] .............................................................................35

รปท 17.รปท 20 (19-2) Windows Gadgets ใน Windows 7 [19-2] ...................................................................................35

รปท 18.รปท 21 (20-1) หนาตางขอยนยนการท�างานของ Java applet ไมพงประสงคบนระบบปฏบตการ Windows .......36

รปท 19.รปท 22 (20-2) หนาตางขอยนยนการท�างานของ Java applet ไมพงประสงคบนระบบปฏบตการ Mac OS X ......36

รปท 20.รปท 23 (20-3) ขอมลในไฟล Java applet ...............................................................................................................36

รปท 21.รปท 24 (20-4) หนาจอการแจงเตอนวาตองรนโทรจนผานโปรแกรม Rosetta..........................................................37

รปท 22.รปท 25 (21-1) ตวอยางขอมลบญชผใชบรการของ Yahoo! ทถกโพสต ....................................................................37

รปท 23.รปท 26 (21-2) หนาเวบไซตของ Yahoo! Contributor Network ...........................................................................38

รปท 24.รปท 27 (22-1) โปรแกรม Uplay (ทมา http://uplay.ubi.com) ............................................................................39

รปท 25.รปท 28 (24-1) โปรแกรมไมพงประสงคทถกดาวนโหลดมาตดตง (ทมา FireEye) .....................................................42

รปท 26.รปท 29 (24-2) ตวอยางการใช Metasploit โจมต Windows 7 ผานชองโหว CVE-2012-4681 (ทมา Rapid7) ....42

รปท 27.รปท 8 (2-1) ตวอยางเกมของ Blizzard Entertainment ..........................................................................................44

รปท 28.รปท 9 (3-1) หนาจอการเลอกโปรแกรมส�าหรบใชโทรออก (ทมา Dylan Reeve) .....................................................49

รปท 29.รปท 10 (3-2) Opera Mobile ไมแสดงผลขอมลใน <iframe> .................................................................................49

รปท 30.รปท 30 (28-1) การตดตง CRL ...................................................................................................................................51

รปท 31.รปท 31 (29-1) ขอความและลงกส�าหรบดาวนโหลดมลแวร .......................................................................................52

รปท 32.รปท 32 (29-2) ไฟลของมลแวร ..................................................................................................................................52

รปท 33.รปท 33 (29-3) หนาจอการปลดลอครหสผาน ............................................................................................................52

รปท 36.รปท 36 (30-3) โปรแกรม Windows Password Recovery ของบรษท Passcape (ทมา Passcape) ...................53

รปท 34.รปท 34 (30-1) ระบบ Picture Password (ทมา Microsoft) ...................................................................................53

รปท 35.รปท 35 (30-2) ระบบ Windows Vault ใน Windows 7 .........................................................................................53

รปท 37.รปท 37 (35-1) ตวอยางการดกรบขอมล Cookie ของ Instagram (ทมา reventlov.com) ....................................59

รปท 38.รปท 38 (37-1) หนาจอ Joomla Content Editor [37-4] .......................................................................................62

รปท 39.รปท 39 (38-1) กลองถายรปไมสามารถใชงานไดหลงการแกไข Permission ของไฟล ..............................................63


1. ระวงภย ชองโหว 0-day ใน

Adobe Reader และ Adobe Acrobat (CVE-2011-2462)วนทประกำศ : 7 ธนวาคม 2554

ปรบปรงลำสด : 8 ธนวาคม 2554

เรอง : ระวงภยชองโหว 0-day ใน Adobe Reader และ

Adobe Acrobat (CVE-2011-2462)

ประเภทภยคกคำม : Intrusion

ขอมลทวไป Adobe แจงเตอนเมอวนท 6 ธนวาคม 2554 เรองชองโหว

0-day รหส CVE-2011-2462 โดยชองโหวดงกลาวมผลกบ

ซอฟตแวร Adobe Reader 9.x, Adobe Reader X, Adobe

Acrobat 9.x และ Adobe Acrobat X ซงทาง Adobe แจง

วามการโจมตผใชโปรแกรม Adobe Reader เวอรชน 9.x บน

Windows ผานชองโหวดงกลาวแลว

ผลกระทบ Adobe รายงานวา ชองโหวทเกดขนคอ U3D memory

corruption โดย U3D ยอมาจาก Universal 3D ซงเปนไฟล

บบอด (Compressed file) ของไฟลภาพกราฟก 3 มต ท

นยมใชในหลายบรษท เชน Adobe, Intel หรอ Hewl-

ett-Packard ผโจมตจะสงอเมลโดยแนบไฟล PDF ท

ใสโคดอนตรายลงไปในสวน U3D หลงจากผรบเปด

ไฟลดงกลาว โคดอนตรายทฝงอยในไฟล PDF จะ

เรมท�างาน หลงจากนนโปรแกรมจะ Crash

และเปดโอกาสใหผโจมตสามารถสง

ค�าสงเขามาควบคมเครอง

คอมพวเตอรของ เหยอ

ได

ระบบทไดรบผลกระทบ • Adobe Reader X (10.1.1) และเวอรชนตำกวา 10.x

ส�าหรบ Windows และ Macintosh

• Adobe Reader 9.4.6 และเวอรชนตำกวา 9.x ส�าหรบ

Windows, Macintosh และ UNIX

• Adobe Acrobat X (10.1.1) และเวอรชนตำกวา 10.x

ส�าหรบ Windows และ Macintosh

• Adobe Acrobat 9.4.6 และเวอรชนตำกวา 9.x ส�าหรบ

Windows และ Macintosh

หมายเหต : ชองโหวนไมมผลกระทบตอ Adobe Reader ใน

Android และ Adobe Flash Player

วธแกไข ปจจบนยงไมมแพทชส�าหรบแกปญหา

ชองโหวดงกลาว โดยทาง Adobe แจง

วา จะออกแพทชชวคราวส�าหรบ Adobe

Reader 9.x และ Acrobat 9.x ส�าหรบ

Windows ภายในชวงสปดาหของวนท 12

ธนวาคม 2554 เนองจากโปรแกรม Adobe

Reader X มระบบ Protected Mode และ

Adobe Acrobat X มระบบ Protected

View ซงชวยปองกนการโจมตโดยใชชอง

โหวดงกลาวไดอยแลว และทาง Adobe

จะปลอยซอฟตแวร Adobe Read-

er 9.x, Adobe Reader X,

Adobe Acrobat 9.x และ

Adobe Acrobat X เวอรชน

ใหม ภายในวนท 10 มกราคม 2555

ส�าหรบผทใชงานโปรแกรม Adobe Reader X จะเปดการ

ท�างานของระบบ Protected Mode เพอปองกนปญหานอย

แลว ผใชสามารถตรวจสอบการท�างานของระบบนไดดวยการ

1. คลกทเมน Edit > Preferences > General

2. ตรวจสอบวาหวขอ “Enable Protected Mode at

startup” ไดถกเลอกอย


ส�าหรบผทใชงานโปรแกรม Adobe Acrobat X จะเปดการ

ท�างานของระบบ Protected View เพอปองกนปญหานอย

แลว ผใชสามารถตรวจสอบการท�างานของระบบนไดดวยการ

1. คลกทเมน Edit > Preferences > Security (Enhanced)

2. ตรวจสอบวาหวขอ “Files from potentially unsafe

locations” หรอ “All files” ถกก�าหนดไวเปน “En-

able Enhanced Security”

อยางไรกตาม ระหวางทยงไมมการแกไขปญหาอยางเปนทางการ

จาก Adobe ผทใชซอฟตแวร Adobe Reader 9.x หรอ

Adobe Acrobat 9.x ควรเปลยนมาใชซอฟตแวร Adobe

Reader X และ Adobe Acrobat X โดยเรวทสด

อางอง [4-1] http://www.adobe.com/support/security/ad-

visories/apsa11-04.html

[4-2] http://blogs.adobe.com/asset/2011/12/back-

ground-on-cve-2011-2462.html

[4-3] http://osvdb.org/show/osvdb/77529

[4-4] http://www.computerworld.com/s/article/9222454/

Hackers_exploit_Adobe_Reader_zero_day_may_be_

targeting_defense_contractors

ผลกระทบผโจมตสามารถโจรกรรมหรอดาวนโหลดขอมลตางๆ ทอยบน

ระบบออกมายงเครองคอมพวเตอรของผโจมต นอกจากนยง

อาจเปลยนแปลง ลบ หรออปโหลดไวรส, มาโทรจน หรอขอมล

ทเปนอนตรายอนๆ เขาไปยงเครองทใหบรการ FTP ได

ระบบทไดรบผลกระทบServ-U File Server เวอรชนตำกวา 11.1.0.5

วธแกไขตดตงโปรแกรม Serv-U File Server เวอรชน 11.1.0.5 ขนไป

อางอง[5-1] http://www.exploit-db.com/exploits/18182/

[5-2] http://www.serv-u.com/releasenotes/

2. ระวงภย ชองโหว Serv-U File

Server ทำ ใหผใชเขาถงขอมลโดยไมไดรบอนญาตวนทประกำศ : 7 ธนวาคม 2554

ปรบปรงลำสด : 7 ธนวาคม 2554

เรอง : ระวงภย ชองโหว Serv-U File Server ท�าใหผใชเขา

ถงขอมลโดยไมไดรบอนญาต

ประเภทภยคกคำม : Intrusion

ขอมลทวไปโปรแกรม Serv-U

File Server เปน

โปรแกรมทให

บรการ FTP

Server ซง

ร อ ง ร บ

ร ะ บ บ

ปฏบตการ

Windows

และ Linux ทง

เวอรชน 32 bit และ 64

bit โดยเมอวนท 1 ธนวาคม 2554 มรายงานวาม การคน

พบชองโหวของโปรแกรม Serv-U File Server ทอนญาตใหผ

ใชสามารถเขาถงไดเรกทอรทปกตแลวจะไมสามารถเขาถงได

โดยลกษณะของการโจมต ผโจมตจะลอกอนดวยบญชผใช

(Account) ของระบบ หรอ บญชผใชทเปดใหใชงานไดโดยไม

ตองกรอกรหสผาน เชน anonymous หรอ ftp จากนนจะ

อาศยชองโหวของการระบทอยของไดเรกทอร โดยใสคาอกขระ

ทเปนขอยกเวน ซงไมไดมการปองกน ท�าใหผโจมตสามารถสง

ค�าสงไปยงต�าแหนงไดเรกทอรอนๆ นอกเหนอสวนทถกจ�ากด

สทธในการเขาถงได

3. ระวงภย ชองโหว 0-day

ใน Adobe Flash Player (CVE-2011-4693, CVE-2011-4694)วนทประกำศ: 16 ธนวาคม 2554

ปรบปรงลำสด: 16 ธนวาคม 2554

เรอง: ระวงภย ชองโหว 0-day ใน Adobe Flash Player

(CVE-2011-4693, CVE-2011-4694)

ประเภทภยคกคำม: Intrusion

ขอมลทวไปบรษทวจยดานความมนคงปลอดภยซอฟตแวรคอมพวเตอรชอ

Intevydis ไดเผยแพรวดโอสาธตวธการโจมตเครองคอมพวเตอร

ทตดตง ซอฟตแวร Adobe Flash Player บน

ระบบปฏบตการ Windows [6-1] ซง

การโจมตดงกลาวใชชองโหวทไมเคย

คนพบและยงไมมวธแกไข (0-day)

แตเนองจากความนาเชอถอของ

ชองโหวทคนพบ ท�าใหมการออก

เปนหมายเลข CVE ขนมาเพอ

การตดตามชองโหวดงกลาว

คอ CVE-2011-4693

[6-2] และ CVE-2011-

4694 [6-3] โดยระบ

ถงลกษณะการโจมต

ผานการเรยกไฟล

SWF (Shock-

wave Flash)

เพอเขาควบคมเครอง

คอมพวเตอรจากระยะไกล มผลกบ

ซอฟตแวร Adobe Flash Player เวอรชน

11.1.102.55 หรอต�ากวา บนระบบปฏบตการ Windows

และ OS X [6-4] ปจจบน Adobe ยงไมมแถลงการณเกยวกบ

ชองโหวน [6-5]


ผลกระทบระบบทเปดไฟล SWF ทโจมตผานชองโหวดงกลาว จะเปด

โอกาสใหผโจมตสามารถสงใหเครองคอมพวเตอรประมวลผล

ค�าสงไม พงประสงค และสามารถควบคมเครองคอมพวเตอร

จากระยะไกลได [6-4]

ระบบทไดรบผลกระทบAdobe Flash Player เวอรชน 11.1.102.55 หรอต�ากวา ทง

บนระบบปฏบตการ Windows และ Mac OS X [6-4]

วธแกไขเนองจากปจจบนยงไมมค�าชแจงอยางเปนทางการจาก Adobe

ในเรองของชองโหวดงกลาว ดงนนผใชงานควรระวงในการเปด

เวบไซตทไมนาเชอถอ รวมถงไมเปดไฟล SWF ทนาสงสย และ

หากเปนไปไดควรปดการใชงานปลกอน Abobe Flash Player

ในเบราวเซอรกอนชวคราว จนกวาจะมการปรบปรงแกไขชอง

โหวน [6-1]

ส�าหรบผใช Internet Explorer สามารถปดการใชงาน Adobe

Flash Player ไดดงน

1. คลกทเมน Tools จากนนคลก Manage Add-ons

2. คลกเลอก Shockwave Flash Object ในสวนของ

Adobe Systems Incorporated จากนนคลกปม

Disable

ส�าหรบผใช Google Chrome สามารถปดการใชงาน Adobe


1. ในชอง Address Bar พมพขอความ about:plugins

2. ทรายชอปลกอน Shockwave Flash คลก Disable

ส�าหรบผใช Mozilla Firefox สามารถปดการใชงาน Adobe


1. คลกทเมน Tools จากนนคลก Add-ons

2. คลกทแทบ Plugins

3. ทรายชอปลกอน Shockwave Flash คลกปม Disable

อางอง[6-1] http://www.computerworld.com/s/article/9222546/

Two_zero_day_vulnerabilities_found_in_Flash_

Player

[6-2] http://web.nvd.nist.gov/view/vuln/detail?vul-

nId=CVE-2011-4693


nId=CVE-2011-4694

[6-4] http://www.securitytracker.com/id/1026392

[6-5] http://reviews.cnet.com/8301-13727_7-57340665-

263/new-zero-day-vulnerabilities-found-in-ado-

be-flash-player/

4. ระวงภยการโจมตผใช Facebook

ผานปลกอนปลอมของ YouTubeวนทประกำศ: 9 ม.ค. 2555

ปรบปรงลำสด: 9 ม.ค. 2555

เรอง: ระวงภย การโจมตผใช Facebook ผานปลกอนปลอม

ของ YouTube

ประเภทภยคกคำม: Malicious Code

ขอมลทวไปหลงจากวนท 1 มกราคม 2555 ผใช Facebook หลายรายไดแจงเตอนวามการโจมตรปแบบใหม ดวยการหลอกใหคลกเขาไปยงลงกของเวบไซตอนตราย เพอท�าการตดตงสวนเสรมของโปรแกรมเวบเบราวเซอร (ปลกอน) เมอผใชหลงกลตดตงปลกอนดงกลาว จะถกสวมรอยโพสตลงกของเวบไซตอนตรายลงในหนากระดานขาว Facebook ของตนเอง รวมถงหนากระดานขาวอนๆ ทผใชคนนนเปนสมาชกอยดวย รปแบบลงกและขอความ

ทโพสตจะมลกษณะคลายกบรปท 1 (1-1)

รปท 1. (1-1) ตวอยางการโพสตลงกของเวบไซตอนตราย

เวบไซตทอยในลงกนน มหนาตาคลายกบเวบไซต YouTube

ดงรปท 2 (1-2) และ 3 (1-3) พรอมกบมขอความเชญชวนให

ตดตงปลกอนของ YouTube เชน Youtube HD หรอ YouTube

Speed UP! เพอดคลปวดโอในเวบไซตนน

รปท 2. (1-2) ตวอยางเวบไซตหลอกลวงของ YouTube เปดโดย Google Chrome

รปท 3. (1-3) ตวอยางเวบไซตหลอกลวงของ YouTube เปดโดย Mozilla

Firefoxซงหากผใชตรวจสอบรายละเอยดของปลกอนดงกลาว

จะพบวาปลกอนทจะตดตงไมไดมาจาก YouTube แตอยางใด

โดยสงเกตไดจากขอความ “Author not verified” ซงเปนการ

บอกวา ไมสามารถตรวจสอบผพฒนาปลกอนนได รวมถง URL

ของปลกอนกมาจากเวบไซตทไมใชเวบไซตทางการของผพฒนา

เบราวเซอร ดงรปท 4 (1-4)

รปท 4. (1-4) หนาจอการตดตงปลกอน Youtube Speed UP

ผลกระทบหากผใชหลงกลตดตงปลกอนจากเวบไซตดงกลาวแลว จะถก

สงไปยงหนาลอกอนของ Facebook ดงรปท 5 (1-5) ซงหนา

ลอกอนทพบน ไมใชการลอกอนจากหนาหลกของ Facebook

แตเปนการลอกอนผาน Application อกทหนง

รปท 5. (1-5) หนาจอลอกอนของ Facebook ผาน

Application ชอ Texas HoldEm Poker

แตหากผใชมการลอกอนเวบไซต Facebook อยแลว ตวปลก


อนของเบราวเซอร ซงจรงๆ แลวเปนโปรแกรมไมพงประสงค

จะท�าการโพสตลงกของเวบไซตอนตรายดงกลาวลงในหนา

Facebook ของผใช เพอเผยแพรปลกอนอนตรายนใหกบบคคล

อนตอไป

ระบบทไดรบผลกระทบจากการตรวจสอบ Source Code ของเวบไซต พบวาปลกอน

ดงกลาวมผลกระทบกบเบราวเซอร Google Chrome และ

Mozilla Firefox ทกเวอรชน ดงรปท 6 (1-6)

รปท 6. (1-6) ตวอยาง Source Code จากหนาเวบไซต

ขอแนะน�าในการปองกนและแกไขหากผใชถกโจมตดวยวธดงกลาว สามารถแกไขไดดงน

1. ลบปลกอน YouTube HD หรอ YouTube Speed UP!

ออกจากเบราวเซอร ดงรปท 7

o วธการลบปลกอนใน Google Chrome https://

support.google.com/chrome/bin/answer.

py?hl=th&answer=142064&p=cpn_plugins

o วธการลบปลกอนใน Mozilla Firefox http://support.

mozilla.org/en-US/kb/Uninstalling%20add-ons

รปท 7.(1-7) ตวอยางการลบปลกอน YouTube Speed UP! ออกจากเบราวเซอร

Mozilla Firefox

2. เปลยนรหสผานในการเขาสระบบของเวบไซต Facebook

3. ท�าการสแกนไวรสในระบบ เพอก�าจดโปรแกรมไมพง

ประสงคอนๆ ทอาจตดมาดวย

จะเหนไดวา การโจมตผานทาง Social Media ดวยการหลอก

ใหตดตงปลกอนในเบราวเซอรนนเปนตวอยางของภยคกคาม

รปแบบใหม ทมแนวโนมจะเพมสงขนในอนาคต ไทยเซรตมขอ

แนะน�าในการใชงาน Social Media ใหมความมนคงปลอดภย

เพอปองกนความเสยหายทอาจจะเกดขนในอนาคตได ดงน

1. ไมคลกลงกทไมนาไววางใจ โดยเฉพาะลงกของเวบไซต

ทใหบรการยอ URL

2. ไมตดตงโปรแกรม หรอปลกอนของเบราวเซอรจาก

แหลงทมาทไมนาเชอถอ ถาเปนไปไดควรตดตงเฉพาะ

ปลกอนทมจากแหลงดาวนโหลดของผผลต เบราวเซอร

เทานน เชน Chrome Web Store (https://chrome.

google.com/webstore) ของ Google Chrome หรอ

Mozilla Addon (https://addons.mozilla.org) ของ

Mozilla Firefox

3. ในการเขาสระบบของบรการ Social Media ควรเขา

สระบบดวยการพมพ URL ของเวบไซตในชอง Address

bar ดวยตนเองเทานน

5. ระวงภย ชองโหวระดบ Kernel ใน

Windows 64 bit ทำ ใหเกด Memory Corruptionวนทประกำศ: 9 มกราคม 2554

ปรบปรงลำสด: 9 มกราคม 2554

เรอง: ระวงภย ชองโหวระดบ Kernel ใน Windows 64 bit

ท�าใหเกด Memory Corruption

ประเภทภยคกคำม: Intrusion, DoS (Denial of Service)

ขอมลทวไปบรษท Secunia ซงวจยเกยวกบความมนคงปลอดภยทางระบบ

คอมพวเตอร ไดแจงเตอนภยคกคามใหมทพบในระบบปฏบต

การ Windows 64 bit โจมตผานชองโหวในไฟล Kernel ของ

Windows (win32k.sys) ท�าใหเกดการเรยกใชหนวยความจ�า

ผดพลาด (Memory Corruption) สงผลใหผโจมตสามารถสง

ประมวลผลโคดอนตรายโดยไดระดบสทธของผดแลระบบ

(Administrator) หรอท�าใหเกด Blue Screen of Death ได

[7-1]

ชองโหวดงกลาวเกดจากระบบทใชในการวาดสวนตดตอผใช

(User Interface) ของ Windows ไมสามารถรองรบการวาด

สวนตดตอทมขนาดความสงมากๆ ได [7-2] นกวจยทดลองการ

โจมตผานชองโหวนดวยการสรางหนาเวบทมสวนควบคม ท

สามารถก�าหนดคา “height” ได เชน iframe แลวก�าหนดคา

“height” เปนตวเลขจ�านวนมาก ท�าใหเมอใชเบราวเซอรเปด

เวบไซตดงกลาว ระบบจะไมสามารถท�างานตอได [7-3] [7-4]

ชองโหวทพบนมผลกบทกเบราวเซอรทใชฟงกชนของ Windows

ในการวาดสวนตดตอผใช [7-5] [7-6]

ผลกระทบหากผใช Windows 64 bit เปดเวบไซตทมโคดดงกลาวอย จะ

ท�าใหผโจมตสามารถสงประมวลผลโคดอนตรายหรอท�าใหเครอง

ของผใชไมสามารถท�างานตอได

ระบบทไดรบผลกระทบทกเบราวเซอรบนระบบปฏบตการ Windows XP/Vista/7/8

เวอรชน 64 bit ทใชฟงกชนของระบบในการวาดสวนประกอบ

บนหนาเวบ เชน

• Microsoft Internet Explorer เวอรชนต�ากวา 9.0

• Apple Safari ทกเวอรชน

• Google Chrome ทกเวอรชน

• Mozilla Firefox ทกเวอรชน

ขอแนะนำ ในการปองกนและแกไขMicrosoft ยงไมมการประกาศขอมลเพมเตมเกยวกบชองโหว

น อยางไรกตาม จากขอมลของผวจยชองโหวดงกลาว พบวาไม

สามารถโจมต Internet Explorer 9.0 ได เนองจากม Engine

ในการแสดงผลเปนของตวเอง ไมไดใชฟงกชนของระบบในการ

วาดสวนประกอบบนหนาเวบ นอกจากนยงมขอมลเพมเตมวา

ชองโหวดงกลาวนไมมผลกระทบตอผใชทปรบแตงรปแบบ

Theme ของ Windows เปน Windows Classic [7-7]

อางอง[7-1] http://secunia.com/advisories/47237

[7-2] http://pastebin.com/XTWnLF3p

[7-3] https://twitter.com/#!/w3bd3vil/sta-

tus/148454992989261824

[7-4] http://www.youtube.com/watch?v=u-62ZqrhD2k

[7-5] http://blog.romidar.com/2011/12/windows-7-x64-sa-

fari-0-day-vulnerability/

[7-6] http://thehackernews.com/2011/12/win-

dows-7-64-bit-memory-corruption.html

[7-7] https://twitter.com/#!/aionescu/sta-

tus/149773613426425856


6. ระวงภย ชอง โหวใน Linux

Kernel 2.6.39 เปนตนไป ทำ ใหผโจมตไดสทธของ root วนทประกำศ: 30 มกราคม 2555


เรอง: ระวงภย ชองโหวใน Linux Kernel 2.6.39 เปนตนไป

ท�าใหผโจมตไดสทธของ root


ขอมลทวไปผเชยวชาญไดแจงเตอนชองโหวของ Linux Kernel

ซงอนญาตใหผโจมตสามารถแกไขขอมล

ในหนวยความจ�าของ Process เพอ

ใหไดรบสทธของ root ได (CVE-

2012-0056) [8-1] โดยปกต

แลวระบบปฏบตการ Linux

จะใชไฟล /proc/<pid>/

mem เพออางองถง

ขอมลทอยในหนวยความ

จ�าของแตละ Process

ซงไฟลดงกลาวนระบบ

จะอนญาตใหเฉพาะ

Process ทเกยวของ

มสทธในการแกไข แต

หลงจาก Linux Ker-

nel เวอรชน 2.6.39

เปนตนมา (เผยแพร

เมอวนท 18 พฤษภาคม

2554) [8-2] ฟงกชนท

ใชส�าหรบการปองกนไม

ให Process ใดๆ เขาไป

แกไขขอมล

ใ น

หนวยความจ�าของ Process อนไดถกน�าออกไป [8-3] นกวจย

ทคนพบชองโหวนไดพฒนาซอฟตแวรเพอใชในการทดสอบ

สมมตฐาน (Proof of Concept) วาชองโหวดงกลาวสามารถ

ท�างานไดจรง โดยไดพฒนาโปรแกรมเพอเขาไปแกไขขอมลใน

หนวยความจ�าของ Process su (Super User) เพอใหผใช

ทวไปไดรบสทธของ root [8-4] นอกจากนยงพบวาชองโหวดง

กลาวมผลกบอปกรณทตดตงระบบปฏบตการ Android เวอรชน

4.0 อกดวย [8-5]

ผลกระทบผใชงานระบบปฏบตการ Linux ทตดตง Kernel เวอรชน 2.6.39

ถง 3.2.1 มความเสยงทจะถกโจมตจากผไมหวงดเพอครอบ

ครองสทธการเปน root ของระบบได ตวอยางวดโอการโจมต

สามารถดไดจาก http://www.youtube.com/watch?v=OKn-

th3R9nI4

เนองจากระบบปฏบตการ Android ถกพฒนาโดยใชพนฐาน

จากระบบปฏบตการ Linux ท�าใหระบบปฏบตการ

Android เวอรชน 4.0 ซงใช Linux Kernel

เวอรชน 3 ไดรบผลกระทบไปดวย โดยอาจมผ

พฒนาซอฟตแวรเพอใหไดรบสทธเปนของ root

ของระบบได

ระบบทไดรบผลกระทบ• ระบบปฏบตการ Linux ทตดตง Kernel ตงแต

เวอรชน 2.6.39 ถง 3.2.1 เชน

o Ubuntu 11.10

o Red Hat Enterprise Linux 6

o Fedora 16

o openSUSE 12.1

o Debian wheezy (รนทดสอบของเวอรชน 7)

• อปกรณทตดตงระบบปฏบตการ Android เวอรชน 4.0

เชน Galaxy Nexus, Galaxy S และ Transformer

Prime เปนตน

วธการตรวจสอบเวอรชนของ Kernel1. หากผใชงานระบบปฏบตการ Linux ตองการตรวจสอบ

เวอรชนของ Kernel ทมากบ Distribution ทตนเองใชอยวา

ไดรบผลกระทบหรอไม สามารถตรวจสอบไดดวยการเขาไปท

เวบไซต http://www.distrowatch.com เลอก Distribution

ทตองการตรวจสอบ จากนนดในสวนของ Package ทชอ linux

ตวอยางการตรวจสอบเวอรชนของ Kernel ของระบบปฏบต

การ Fedora 16 พบวาใช Kernel เวอรชน 3.1 ดงรปท 11

(8-1)

รปท 8.ตวอยางการตรวจสอบเวอรชนของ Kernel ของระบบปฏบตการ Fedo

2. ส�าหรบการตรวจสอบเวอรชนของ Kernel ทใชงานอยใน

ปจจบน เนองจากวธการตรวจสอบเวอรชนของ Kernel ของ

ระบบปฏบตการ Linux นนอาจแตกตางกนไปตามแตละ

Distribution ผใชงานระบบปฏบตการ Linux สามารถตรวจ

สอบเวอรชนของ Kernel ทตนเองใชอยไดตามวธในเวบไซต

CyberCiti.biz ตวอยางการตรวจสอบเวอรชนของ Kernel ของ

ระบบปฏบตการ Ubuntu เปนดงรปท

รปท 9. (8-2) ตวอยางการตรวจสอบเวอรชนของ Kernel ของ

ระบบปฏบตการ Ubuntu

ขอแนะน�าในการปองกนและแกไขทาง Kernel.org ไดปรบปรงแกไขชองโหวดงกลาวเมอวนท 17

มกราคม 2555 [8-6] และการแกไขนจะมผลตงแต Linux

Kernel 3.2.2 เปนตนไป [8-7] ทางผพฒนาระบบปฏบตการ

Linux Distribution ตางๆ เชน Ubuntu, Debian หรอ Red

Hat ไดน�า Patch จาก Kernel.org ไปปรบปรงใน Kernel ของ

ตนเอง และไดท�าการเผยแพร Kernel เวอรชนใหมทแกไขปญหา

ดงกลาว ผานชองทางการอพเดทของแตละ Distribution แลว

[8-8] [8-9] ซงเวอรชนของ Kernel ทถกปรบปรงชองโหวดง

กลาวอาจแตกตางกนไปตามแตละ Distribution ผใชงานควร

ตรวจสอบการอพเดทและปรบปรงระบบใหเปน Kernel เวอรชน

ทถกปรบปรงหลงจากวนท 17 มกราคม 2555 โดยเรวทสด

อางอง[8-1] http://www.h-online.com/security/news/item/

Linux-root-exploit-due-to-memory-access-Up-

date-2-1419834.html

[8-2] https://lkml.org/lkml/2011/5/19/16

[8-3] http://git.kernel.org/?p=linux/kernel/git/torvalds/

linux-2.6.git;a=commitdiff;h=198214a7

[8-4] http://blog.zx2c4.com/749

[8-5] https://github.com/saurik/mempodroid

[8-6] http://git.kernel.org/?p=linux/kernel/git/torvalds/

linux-2.6.git;a=commitdiff;h=e268337dfe26df-

c7efd422a804dbb27977a3cccc

[8-7] http://www.kernel.org/pub/linux/kernel/v3.0/

ChangeLog-3.2.2

[8-8] https://lists.ubuntu.com/archives/ubuntu-se-

curity-announce/2012-January/001557.html

[8-9] https://www.redhat.com/security/data/cve/

CVE-2012-0056.html


7. ระวงภย Symantec

ถกแฮกเกอรขโมย Source code เตอนลกคาระวงการโจมต 0-dayวนทประกำศ: 30 มกราคม 2555


เรอง: ระวงภย Symantec ถกแฮกเกอรขโมย Source code

เตอนลกคาระวงการโจมต 0-day


ขอมลทวไปเมอวนท 24 มกราคม 2555 บรษท Symantec ผผลตซอฟตแวร

ดานความมนคงปลอดภย ไดประกาศผานหนาเวบไซตของตน

วา กลมแฮกเกอรทใชชอ Anonymous สามารถเจาะเขาระบบ

ของ Symantec ไดส�าเรจและไดท�าการคดลอกขอมล Source

code ของโปรแกรมทถกพฒนาในป พ.ศ. 2549 [9-1]

ผลกระทบในเบองตน Symantec ยงไมได

ประกาศขอมลเวอรชนของ

ซอฟตแวรทถกขโมย

Source code

ไป แตอยางไร

กตาม Syman-

tec ไดแนะน�า

วาควรอพเกรดซอฟตแวร

ใหเปนเวอรชนลาสด เนองจาก

ผใชงานซอฟตแวรดงกลาว

อาจถกโจมตจากชองโหว

0-day ได

ส�าหรบผ ทใชโปรแกรม

pcAnywhere ซงเปน

โปรแกรมทใชส�าหรบเขาถง

และควบคมเครองคอมพวเตอรจากระยะไกล Symantec แจง

วามความเสยงทจะถกผไมหวงดโจมตดวยวธ Man-in-the-

middle รวมไปถงการสงประมวลผลค�าสงอนตรายจากระยะ

ไกล (Remote execution) ได

ระบบทไดรบผลกระทบซอฟตแวรของ Symantec ทถกพฒนาในป พ.ศ. 2549

(ค.ศ. 2006) ไดแก

• Norton Antivirus Corporate Edition

• Norton Internet Security

• Norton SystemWorks (เฉพาะ Norton Utilities

และ Norton GoBack)

• Symantec Endpoint Protection (SEP) 11.0

• Symantec Antivirus 10.2

• pcAnywhere

ขอแนะนำ ในการปองกนและแกไขบรษท Symantec ไดแนะน�าใหผทใชงานซอฟตแวรทไดรบ

ผลกระทบ อพเกรดซอฟตแวรใหเปนเวอรชนลาสด เนองจาก

บางซอฟตแวรทถกขโมย Source code ไปนนไดสนสดการ

สนบสนนทางเทคนคแลว

ส�าหรบ ผทใชซอฟตแวร pcAnywhere ทาง Symantec ได

ออกโปรแกรม Hot fix เพอปรบปรงแกไขชองโหวบางสวนใน

เวอรชน 12.5 (เวอรชนปจจบน) แลว [9-2] อยางไรกตาม ผท

ได Source code ไป อาจพฒนาเครองมอเพอใชในการโจมต

รปแบบใหมได ดงนนจงควรปดการท�างานของโปรแกรม

pcAnywhere และเปดใชงานในกรณทจ�าเปนจรงๆ เทานน

[9-3]

อางอง[9-1] http://www.symantec.com/theme.

jsp?themeid=anonymous-code-claims&inid=us_

ghp_banner1_anonymous

[9-2] http://www.symantec.com/connect/

blogs/important-information-pcanywhere

[9-3] http://www.symantec.com/connect/

sites/default/files/pcAnywhere%20Security%20

Recommendations%20WP_01_23_Final.pdf

8. Microsoft เตอนผใช Windows

ตดตงแพทชแกไขชองโหว CVE-2012-0002 โดยดวนวนทประกำศ: 15 มนาคม 2555

ปรบปรงลำสด: 15 มนาคม 2555

เรอง: Microsoft เตอนผใช Windows ตดตงแพทชแกไขชอง

โหว CVE-2012-0002 โดยดวน


ขอมลทวไปMicrosoft ไดประกาศ Security Bulletin MS12-020 เพอ

แจงเตอนผใชงานระบบปฏบตการ Windows ทกเวอรชน ให

ท�าการตดตงแพทช KB2621440 เพอแกไขปญหาชองโหว

CVE-2012-0002 ซงอนญาตใหผไมหวงดสงแพกเกจ RDP

(Remote Desktop Protocol) เขามายงระบบ เพอสงให

ประมวลผลค�าสงทไมพงประสงคจากระยะไกลได (Remote

Code Execution) [10-1]

อยางไรกตาม ถงแมวาชองโหวดงกลาวไดถกแจงมายง Micro-

soft โดยตรง และเชอวา

ไมไดมการเปดเผยราย

ละเอยดของชองโหวนออกสสาธารณะ แตทาง Microsoft ได

คาดการณวา ไฟลแพทช KB2621440 ทเผยแพรออกไป สามารถ

ถกผไมหวงดท�าการ Reverse engineering และเขยนโปรแกรม

เพอใชในการโจมตผานชองโหวนไดภายในเวลา 30 วน ดงนน

ผใชงานระบบปฏบตการ Windows จงควรตดตงแพทชเพอ

แกไขปญหาดงกลาวนโดยเรวทสด [10-2]

ผลกระทบผใชงานระบบปฏบตการ Windows ทกเวอรชน ทเปดใชงาน

ฟงกชน RDP (TCP Port 3389) มโอกาสทจะถกโจมตโดยผไม

หวงดได

ระบบทไดรบผลกระทบ

• Windows XP Service Pack 3

• Windows Server 2003 Service Pack 2

• Windows Vista Service Pack 2

• Windows Server 2008 Service Pack 2

• Windows 7 Service Pack 1

• Windows Server 2008 R2 Service Pack 1

ขอแนะนำ ในการปองกนและแกไขMicrosoft ไดเผยแพรแพทช KB2621440 เมอวนองคารท 13

มนาคม 2555 ผใชงานสามารถตดตงไดผานทาง Windows

Update หรอดาวนโหลดไดจาก เวบไซตของ Microsoft

หากผใชยงไมไดตดตงแพทชดงกลาว Micro-

soft ไดแนะน�าใหยาย RDP listeners port

ไปไวท Non-standard port เปนการชวคราว

[10-3] และส�าหรบผทใชงาน Windows

Vista หรอใหมกวา สามารถเปดการท�างาน

ของระบบ Network Level Authentication

(NLA) [10-4] เพอชวยลดผลกระทบจากปญหา

ดงกลาวได ดงรปท เพราะในระบบทเปดการใช

งาน NLA ถงแมวาค�าสงอนตรายจะยงสามารถถก

สงเขามายงระบบได แตอยางนอยผโจมตกจ�าเปนท

จะตอง Authenticate เขาส Server เพอสงให

ประมวลผลค�าสงดงกลาว


รปท 10. (10-1) แสดงการเปดการท�างานของระบบ NLA ใน Windows 7

อางอง[10-1] http://technet.microsoft.com/en-us/security/

bulletin/ms12-020

[10-2] http://blogs.technet.com/b/srd/archive/2012/03/13/

cve-2012-0002-a-closer-look-at-ms12-020-s-

critical-issue.aspx

[10-3] http://isc.sans.edu/diary.html?storyid=12781&rss

[10-4] http://technet.microsoft.com/en-us/library/

cc732713.aspx

9. Oracle เผลอปลอยโคดทใช

ทดสอบการ DoS โปรแกรม MySQLวนทประกำศ: 18 เมษายน 2555

ปรบปรงลำสด: 18 เมษายน 2555

เรอง: Oracle เผลอปลอยโคดทใชทดสอบการ DoS โปรแกรม

MySQL

ประเภทภยคกคำม: Denial of Service

ขอมลทวไปหลงจากทบรษท Oracle ไดเผยแพรโปรแกรม MySQL เวอรชน

5.5.22 และ 5.1.62 เมอวนท 21 มนาคม 2555 ผเชยวชาญ

ดานความมนคงปลอดภยไดคนพบไฟลทนกพฒนาใชในการ

ทดสอบ ชองโหวของระบบ (Proof of concept) ซงไฟลดง

กลาวไดหลดออกมาพรอมกบโปรแกรมอพเดท [11-1] [11-2]

ผลกระทบไฟลสครปต mysql-test/suite/innodb/t/innodb_bug13510739.

test เปนไฟลทนกพฒนาใชในการทดสอบชองโหวของระบบ ผ

โจมตทมสทธเขาถงระบบของ MySQL จะสามารถสง import

ไฟลสครปตดงกลาวเพอท�าใหระบบ MySQL ไมสามารถท�างาน

ตอได (DoS) ตวอยางการโจมตสามารถดไดจาก http://youtu.

be/RHgdUoXIDro

ระบบทไดรบผลกระทบชองโหวดงกลาวเปนการโจมตผาน Bug หมายเลข #13510739

และ #63775 ซงถกแกไขแลวในโปรแกรม MySQL เวอรชน

5.5.22 และ 5.1.62 [11-3] [11-4] ถงแมวาปจจบนยงไมมการ

เผยแพรรายละเอยดของ Bug ดงกลาว แตผไมหวงดกสามารถ

โจมตผานชองโหวนในระบบทตดตงโปรแกรม MySQL เวอรชน

ต�ากวา 5.5.22 หรอ 5.1.62 ได

ขอแนะนำ ในการปองกนและแกไขปจจบนบรษท Oracle ยงไมมค�าชแจงเกยวกบกรณดงกลาว

ผดแลระบบทตดตงโปรแกรม MySQL เวอรชนต�ากวา 5.5.22

หรอ 5.1.62 ควรท�าการอพเดทใหเปนเวอรชนลาสด


Orac le -acc identa l ly - re lease-MyS -

QL-DoS-proof-of-concept-1526146.html

[11-2] http://eromang.zataz.com/2012/04/10/oracle-

mysql-innodb-bugs-13510739-and-63775-dos-

demo/

[11-3] http://dev.mysql.com/doc/refman/5.5/en/

news-5-5-22.html

[11-4] http://dev.mysql.com/doc/refman/5.1/en/

news-5-1-62.html

10. FBI เตรยมปดเซรฟเวอร

DNS Changer ในวนท 9 ก.ค. 2555 เครองคอมพวเตอรทตดมลแวรจะไมสามารถใชงานอนเทอรเนตไดวนทประกำศ: 27 เมษายน 2555

ปรบปรงลำสด: 4 กรกฎาคม 2555

เรอง: FBI เตรยมปดเซรฟเวอร DNS Changer ในวนท 9 ก.ค.

2555 เครองคอมพวเตอรทตดมลแวรจะไมสามารถใชงาน

อนเทอรเนตได


ขอมลทวไปมลแวร DNS Changer ถกคนพบครงแรกเมอป 2550 โดย

สามารถท�างานไดทงบนระบบปฏบตการ Windows และ Mac

OS X มลแวรดงกลาวนจะเขาไปเปลยนแปลงการตงคา DNS

Server ในเครองทตกเปนเหยอ เพอสงผใชไปยงเวบไซตหลอก

ลวงทแฮกเกอรสรางขน หรอตดตามการใชงานอนเทอรเนต

แ ล ะ ขโมยขอมลส�าคญของผใช จาก

การตรวจสอบในตอนนนพบวา

มเครองคอมพวเตอรทตดมลแวร

นกวา 4 ลานเครองทวโลก

[12-1]

ใ น เ ด อ น

พฤศจกายน 2554

หนวยงาน FBI ไดปฏบต

ภารกจ Operation Ghost

Click และไดท�าการจบกมผพฒนาและ

เผยแพรมลแวร DNS Changer พรอมทงยดเครองเซรฟเวอร

ทเปน DNS Server ปลอมมาไวในการควบคมเพอใชในการ

วเคราะหสอบสวน อยางไรกตาม ทาง FBI ไมสามารถทจะปด

เซรฟเวอรดงกลาวได เนองจากเครองคอมพวเตอรทตดมลแวร

DNS Changer จ�าเปนตองตดตอกบเครองเซรฟเวอรทเปน


DNS Server ปลอมในทกครงทเชอมตอกบอนเทอรเนต หาก

ปดเซรฟเวอรดงกลาว จะท�าใหเครองคอมพวเตอรเหลานนถก

ตดขาดจากอนเทอรเนตโดยทนท [12-2] [12-3]

FBI มความพยายามทจะปดเครองเซรฟเวอรดงกลาวอยหลาย

ครง แตยงไมสามารถท�าไดเนองจากพบวามคอมพวเตอรจ�านวน

มากทยงคงตดมลแวร DNS Changer อย โดยจากการตรวจ

สอบในเดอนมนาคม 2555 พบวาทวโลกยงมเครองทตดมลแวร

อยประมาณ 450,000 เครอง และในจ�านวนนนมคอมพวเตอร

ทใชในหนวยงานส�าคญของทางราชการอยดวย จนกระทงวนท

23 เมษายน 2555 ทาง FBI ไดประกาศวา จะท�าการปดเครอง

DNS Server ปลอมลงชวคราวในวนท 9 กรกฎาคม 2555 เพอ

ท�าความสะอาด การปดเครองเซรฟเวอรดงกลาวอาจสงผลให

เครองคอมพวเตอรทยงตดมลแวรอยจะไมสามารถเขาใชงาน

อนเทอรเนตได [12-4] [12-5]

ผลกระทบเครองคอมพวเตอรทตดมลแวร DNS Changer และไมไดท�าการ

แกไข จะไมสามารถเขาใชงานอนเทอรเนตไดในวนท 9 กรกฎาคม 2555

ระบบทไดรบผลกระทบเครองคอมพวเตอรทใชงานระบบปฏบตการ Windows หรอ

Mac OS X ทตดมลแวร DNS Changer

ขอแนะนำ ในการปองกนและแกไขFBI ไดประสานงานกบหนวยงานตางๆ ในการจดท�าเวบไซต

DNS Changer Working Group (DCWG) เพอชวยตรวจสอบ

และก�าจดมลแวร DNS Changer ออกจากระบบ ผใชสามารถ

เขาไปใชงานไดท http://www.dcwg.org/

ในการตรวจสอบวาเครองคอมพวเตอรตดมลแวรหรอไม สามารถ

ท�าไดโดยการเขาไปทหนา http://www.dcwg.org/detect/

แลวคลกทลงกของเวบไซต dns-ok จากนนเมอระบบท�าการ

ตรวจสอบเสรจสนกจะแสดงขอความเพอบอกวาเครอง คอมพวเตอร

ทใชงานอยนนตดมลแวรหรอไม ถาหากไมตดกจะแสดงขอความ

DNS Resolution = Green แตหากตดมลแวรจะแสดงขอความ

DNS Resolution = Red ดงรปท 14 (12-1)

รปท 11. 12-1) แสดงผลการตรวจสอบ DNS โดยใชเวบไซต www.dns-ok.us

นอกจากน ทาง Google และ Facebook กไดชวยแจงเตอนผ

ใชทตดมลแวร DSN Changer โดยหากทางเวบไซตตรวจสอบ

ไดวาผใชตดมลแวร กจะแสดงแถบขอความแจงเตอนพรอมทง

แนะน�าวธแกไขปญหา ตวอยางการแจงเตอนเปนดงรปท และ

[12-6] [12-7]

รปท 12. (12-2) การแจงเตอนผใชทตดมลแวร DNS Changer ของ Google

รปท 13. (12-3) การแจงเตอนผใชทตดมลแวร DNS Changer ของ Facebook

ซงหากผใชตรวจสอบแลวพบวาเครองตดมลแวร DNS Chang-

er ควรท�าการก�าจดมลแวรออกจากระบบโดยเรวทสด ส�าหรบ

ผทใชงานระบบปฏบตการ Windows ทาง Microsoft ไดแนะน�า

ใหดาวนโหลดโปรแกรม Microsoft Malicious Software

Removal Tool (MSRT) หรอ Microsoft Security Essentials

มาใชในการก�าจดมลแวร สวนผทใชงานระบบปฏบตการ Mac

OS X สามารถดาวนโหลดซอฟตแวร DNSChanger Remov-

al Tool จากเวบไซต http://www.dnschanger.com/ มาใช

งานไดฟร

หลงจากก�าจดมลแวรแลว การตงคา DNS Server ทเกดจา

กมลแวรอาจยงคงตดคางอยในระบบซงอาจกอใหเกดปญหา

ตามมาภายหลงได [12-8] ทาง Avira ไดพฒนาเครองมอส�าหรบ

ซอมแซมระบบ Windows ทไดรบผลกระทบจากมลแวร DNS

Server โดยผใชสามารถดาวนโหลดไดจากเวบไซตของ Avira

[12-9]

อยางไรกตาม ผใชควรตดตงซอฟตแวรแอนตไวรสและหมน

อพเดทฐานขอมลใหเปนเวอร ชนลาสดอยเสมอ เพอชวยในการ

ตรวจจบและปองกนปญหาการตดมลแวรทอาจจะเกดขนไดใน

อนาคต

อางอง[12-1] http://www.fbi.gov/news/stories/2011/novem-

ber/malware_110911/DNS-changer-malware.

pdf


263/fbi-tackles-dnschanger-malware-scam/

[12-3] http://www.fbi.gov/news/stories/2011/novem-

ber/malware_110911

[12-4] http://www.theage.com.au/digital-life/consum-

er-security/internet-users-warned-of-big-black-

out-in-july-20120329-1w172.html#ixzz1qW2sY-

Ey8


263/renewed-efforts-to-revert-dnschanger-in-ef-

fect

[12-6] http://nakedsecurity.sophos.com/2012/05/23/

google-malware/

[12-7] https://www.facebook.com/notes/facebook-se-

cu r i t y /no t i f y i n g -dn s change r - v i c -

tims/10150833689760766

[12-8] https://www.hkcert.org/my_url/en/blog/12062701

[12-9] http://www.avira.com/en/support-for-home-knowl-

edgebase-detail/kbid/1199

11. ชองโหว TNS listener ใน

Oracle Database (CVE-2012-1675)วนทประกำศ: 3 พฤษภาคม 2555

ปรบปรงลำสด: 3 พฤษภาคม 2555

เรอง: ชองโหว TNS listener ใน Oracle Database (CVE-

2012-1675)


ขอมลทวไปTNS (Transparent Network Substrate) เปนเทคโนโลยท

Oracle พฒนาขนมาเพอใหเครองคอมพวเตอรสามารถเชอม

ตอเขาสระบบฐานขอมล ดวยวธ Peer-to-Peer โดยจะม

Service ชอ TNS listener เปดพอรตทฝง Database Server

เพอรอรบการเชอมตอจาก Client [13-1] [13-2] เทคโนโลย

TNS เรมมใน Oracle Database Server ตงแตเวอรชน 8i ซง

ถกเผยแพรในป 2542

ชองโหวของ TNS Listener ถกคนพบและแจงไปยง Oracle

ตงแตป 2551 [13-3] จนกระทงวนท 30 เมษายน 2555 Or-

acle ไดออกประกาศแจงเตอนเรองความมนคงปลอดภย

(Security Alert) ของชองโหว CVE-2012-1675 โดยไดเรยก

ชองโหวดงกลาวนวา “TNS Listener Poison Attack” [13-4]

ผลกระทบชองโหวดงกลาวอนญาตใหผโจมตสงค�าสงเขามายง Service

ของ TNS listener เพอ Hijack Connection ของผใชทลอกอน

อยในระบบแลว โดยทผโจมตไมจ�าเปนตองใส Username หรอ

Password แตอยางใด [13-5] [13-6] ตวอยางวดโอการโจมต

ผานชองโหวนดไดจาก http://youtu.be/hE3-AkxSX3w

ระบบทไดรบผลกระทบOracle แจงในรายงาน Security Alert วามระบบทไดรบผลก

ระทบดงน [13-4]


• Oracle Database 11g Release 2 เวอรชน 11.2.0.2

และ 11.2.0.3

• Oracle Database 11g Release 1 เวอรชน 11.1.0.7

• Oracle Database 10g Release 2 เวอรชน 10.2.0.3,

10.2.0.4 และ 10.2.0.5

• เนองจาก Oracle Fusion Middleware, Oracle

Enterprise Manager และ Oracle E-Business Suite

มสวนการท�างานของ Oracle Database อยในระบบ

ท�าใหไดรบผลกระทบจากชองโหวดงกลาวดวย

ขอแนะนำ ในการปองกนและแกไขOracle ไดปลอยแพทชทใชแกไขชองโหวนผาน Critical Patch

Update (CPU) ประจ�าเดอนเมษายน 2555 ซงสามารถ

ดาวนโหลดไดจากเวบไซตของ Oracle [13-7] อยางไรกตาม

แพทชดงกลาวนแกไขชองโหวในซอฟตแวร Oracle Database

Server เฉพาะเวอรชน 10 และ 11 เทานน เนองจากทาง

Oracle ไดใหเหตผลวา การปรบแตงโคดเพอใหใชงานไดกบ

ซอฟตแวรเวอรชนเกานนเปนเรองยากล�าบากเพราะมผกระทบ

กบหลายสวนของระบบ [13-8]

ผทใชงานซอฟตแวร Oracle Database Server เวอรชนเกา

ทไมไดรบการแพทช หากเปนไปไดควรอพเกรดซอฟตแวรให

เปนเวอรชนลาสด หรออาจตงคา Database Server ไมให

เครองทไมเกยวของเขาใชงาน TNS Service ได [13-9]

อางอง[13-1] http://www.csee.umbc.edu/portal/help/oracle8/

network.815/a67440/ch2.htm

[13-2] http://docs.oracle.com/cd/B10501_01/net-

work.920/a96580/architec.htm

[13-3] http://seclists.org/fulldisclosure/2012/Apr/204

[13-4] http://www.oracle.com/technetwork/topics/

security/alert-cve-2012-1675-1608180.html

[13-5] http://thehackernews.com/2012/05/oracle-da-

tabase-new-zero-day-exploit.html

[13-6] http://www.joxeankoret.com/download/tn-

spoison.pdf


security/cpuapr2012-366314.html

[13-8] http://itknowledgeexchange.techtarget.com/

security-bytes/oracle-trips-on-tns-zero-day-

workaround/

[13-9] http://searchsecurity.techtarget.com/

news/2240149475/Oracle-wont-patch-four-

year-old-zero-day-in-TNS-listener

12. LinkedIn ถกแฮก รหสผาน

หลดกวา 6.5 ลานชอวนทประกำศ: 8 มถนายน 2555

ปรบปรงลำสด: 8 มถนายน 2555

เรอง: LinkedIn ถกแฮก รหสผานหลดกวา 6.5 ลานชอ


ขอมลทวไปLinkedIn เปนเวบไซต Social Media ทไดรบความนยมในกลม

คนท�างาน เพราะนอกจากจะสามารถแสดงประวตการท�างาน

(Resume) ไดแลว ยงสามารถใชเปนแหลงแลกเปลยนความคด

เหนระหวางกลมคนทท�างานสายอาชพเดยวกนไดดวย [14-1]

เมอวนท 6 มถนายน 2555 เวบไซต Dagens IT ของประเทศ

นอรเวย ไดรายงานวา มรหสผานของผใชเวบไซต LinkedIn

เผยแพรอยบนเวบไซตใตดนของประเทศรสเซยกวา 6.5 ลาน

ชอ โดยรหสผานทถกโพสตนนเปนรหสผานทถกเขารหสลบไว

(Encrypted) ซงผทโพสตนนมจดประสงคเพอใหเหลาแฮกเกอร

ชวยกนแกะรหสผาน ดงกลาว (Crack) [14-2]

หนวยงาน CERT-FI ของประเทศฟนแลนด แจงวา ขอมลทปราก

ฎบนเวบไซตใตดนนนมเพยงรหสผานเพยงอยางเดยว ไมมชอ

ผใช แตเชอวา แฮกเกอรทเจาะเขาระบบไดคงจะไดชอผใชไป

ดวยแลว [14-3]

ผใชงาน LinkedIn หลายราย ไดตรวจสอบรหสผานทปรากฎ

บนเวบไซตแลวพบวารหสผานทเกบอยในระบบ ของ LinkedIn

นนถกเขารหสลบดวยฟงกชน SHA-1 โดยไมมการใส Salt ท�าให

สามารถถกแกะรหสผานไดงายโดยการใช Rainbow Table

หรอใชวธการ Hash Collision [14-4] [14-5]

ผลกระทบรหสผานบางสวนถกแกะไดแลว ดงตวอยางในรปท 17 (14-1)

ผใชทตงรหสผานตรงกบรหสผานทถกโพสตไวในเวบไซต ม

โอกาสสงทจะถกขโมยหรอสวมรอยบญชผใช

รปท 14.รปท 17 (14-1) ตวอยางรหสผานทถกแกะไดแลว (ทมา Ars Technica)

ปจจบน LinkedIn มผใชงานอยประมาณ 147 ลานคน ใน

จ�านวนนนคนไทยทใชงานอยประมาณ 3 แสนคน [14-6]

เนองจากขอมลใน LinkedIn เปนขอมลสวนบคคลทใสไวเพอ

ผลประโยชนในการสมครงานหรอท�างาน ซงขอมลบางสวนอาจ

เปนขอมลส�าคญทเปนความลบ เชน งานทเคยท�า เพอนรวม

งาน หรอขอมลอนๆ ทจะสามารถเหนไดเฉพาะผทม Connec-

tion ดวยเทานน การทขอมลบางอยางถกเผยแพรออกไป ก

อาจสงผลตอหนาทหรอการท�างานในปจจบนได นอกจากน ผ

ทไดขอมลสวนตวไป อาจน�าขอมลเหลานนไปปลอมตวเปนผใช

งานเพอสรางความเสยหายตอผใชงานตวจรงได

ขอแนะนำ ในการปองกนและแกไขLinkedIn ไดอพเดท Blog เพอชแจงเหตการณทเกดขนแลว

โดยแจงวาก�าลงตรวจสอบวาเหตการณนเกดขนไดอยางไร และ

ไดมค�าแนะน�าส�าหรบผใช LinkedIn ทไดรบผลกระทบดงน

[14-7]

ผใชงานทตงรหสผานตรงกบรหสผานทถกเผยแพรออกไป จะ

ไดรบการแจงเตอนวารหสผานดงกลาวนนไมสามารถใชงานตอ

ได (no longer valid)


ผใชงานทไดรบผลกระทบจะไดรบอเมลจาก LinkedIn เพอแจง

ขนตอนวธการรเซตรหสผาน โดยอเมลฉบบดงกลาวจะไมมลงก

อะไรใหผใชคลก มเพยงขนตอนวธการปฏบตเทานน หลงจาก

ผใชท�าตามขนตอนดงกลาวแลวจะไดรบอเมลอกฉบบทมลงก

ส�าหรบใหเขาไปรเซตรหสผาน

ผใชงานทไดรบผลกระทบ จะไดรบอเมลจากฝาย Customer

Support เพอแจงสถานการณและชแจงเหตผลวาท�าไมจงถก

ขอรองใหเปลยนรหสผาน

โปรแกรมเมอรชอ Fictive Kin และ Chris Shiflett ไดรวบรวม

Hash ของรหสผานทถกเผยแพร และไดเปดเวบไซต http://

leakedin.org/ เพอใหผใช LinkedIn ปอนรหสผานของตนเอง

เขามาตรวจสอบวารหสผานทใชไดหลดออกไปเผยแพร หรอไม

โดยเวบไซตดงกลาวจะน�า SHA-1 ของรหสผานนนไปตรวจสอบ

กบรหสผานทถกเผยแพรในเวบไซตของแฮกเกอร หากผใชทาน

ใดทพบวารหสผานของตนเองหลดออกไปแลว ควรรบเปลยน

รหสผานโดยทนท

อางอง [14-1] http://www.linkedin.com/static?key=what_is_

linkedin&trk=hb_what

[14-2] http://translate.google.com/trans -

late?hl=en&sl=no&tl=en&u=http://www.da-

gensit.no/article2411857.ece

[14-3] https://www.cert.fi/tietoturvanyt/2012/06/

ttn201206061430.html

[14-4] http://thenextweb.com/socialmedia/2012/06/06/

bad-day-for-linkedin-6-5-million-hashed-pass-

words-reportedly-leaked-change-yours-now/

[14-5] http://shiflett.org/blog/2012/jun/leakedin

[14-6] http://www.slideshare.net/amover/linkedin-de-

mographics-statistics-jan-2012

[14-7] http://blog.linkedin.com/2012/06/06/linke-

din-member-passwords-compromised/

13. ระวงภย ชองโหวใน

MySQL/MariaDB อนญาตใหลอกอนไดโดยไมตองรรหสผานวนทประกำศ: 11 มถนายน 2555


เรอง: ระวงภย ชองโหวใน MySQL/MariaDB อนญาตใหลอกอน

ไดโดยไมตองรรหสผาน


ขอมลทวไปนกพฒนาจาก MariaDB ไดคนพบชองโหวในโปรแกรม MySQL

และ MariaDB (MySQL เวอรชนทถกแยกออกไปพฒนาตอโดย

นกพฒนาภายนอก) ซงท�าใหผใชสามารถลอกอนโดยใชรหส

ผานทไมถกตองได (CVE2012-2122) [15-1]

ชองโหวดงกลาวเกดจากขอผดพลาดของฟงกชน memcmp()

ทใชในการตรวจสอบรหสผานทรบเขามา ซงมบางกรณทผลลพธ

ของฟงกชนไดคาทไมคาดคด ท�าใหโปรแกรม MySQL/MariaDB

มองวารหสผานทรบเขามานนถกตอง ถงแมทจรงแลวรหสผาน

นนจะไมถกตองกตาม

ผลกระทบหากมผใชทเชอมตอเขามาในระบบโดยปอนชอผใชและรหส

ผานอะไรกได เขามาซ�าๆ กนหลายๆ ครง กมโอกาสทจะผาน

เขามาในระบบได โดยสวนใหญแลว ระบบทตดตง MySQL/

MariaDB จะใชชอผใชวา root เปนคาเรมตน ซงชอผใชดงกลาว

มสทธสงสดในระบบ ท�าใหใครกตามทสามารถลอกอนโดยใช

ชอผใชดงกลาวได กจะไดรบสทธทงหมดของระบบฐานขอมล

นนโดยทนท

ระบบทไดรบผลกระทบ• MySQL และ MariaDB เวอรชน 5.1.61, 5.2.11, 5.3.5,

5.5.22 และต�ากวา

• MySQL เวอรชนตงแต 5.1.63, 5.5.24, 5.6.6 เปนตน

ไปไมไดรบผลกระทบ

• MariaDB เวอรชนตงแต 5.1.62, 5.2.12, 5.3.6, 5.5.23

เปนตนไปไมไดรบผลกระทบ

อยางไรกตาม ขอผดพลาดดงกลาวเกดไดเฉพาะ MySQL และ

MariaDB ทคอมไพลโดยใช glibc บนระบบปฏบตการ Linux

เทานน ไฟลไบนารของ MySQL และ MariaDB ทมใหดาวนโหลด

ในเวบไซตของผพฒนาจะไมมชองโหวดงกลาวน

ขอแนะนำ ในการปองกนและแกไขผใชงานโปรแกรม MySQL/MariaDB เวอรชนทมชองโหว หาก

เปนไปได ควรท�าการอพเดทโปรแกรมใหเปนเวอรชนปจจบน

โดยเรวทสด

หากไมสามารถอพเดทได ผใชควรตงคาการเชอมตอใหเขามา

ไดเฉพาะ localhost เพยงอยางเดยว ดวยการแกไขไฟล my.cnf

ในสวน [mysqld] ก�าหนดคา “bind-address” ใหเปน

“127.0.0.1” จากนน Restart เซอรวสของ MySQL เพอใหการ

ตงคาใหมมผล [15-2]

อางอง[15-1] http://seclists.org/oss-sec/2012/q2/493

[15-2] http://thehackernews.com/2012/06/cve-2012-

2122-serious-mysql.html

14. ระวงภย ชองโหว OpenType

Font อาจทำ เครองจอฟาวนทประกำศ: 13 มถนายน 2555


เรอง: ระวงภย ชองโหว OpenType Font อาจท�าเครองจอฟา

ประเภทภยคกคำม: DoS (Denial of Service)

ขอมลทวไปนกวจยแจงเตอนชองโหว 0-day ในไฟล ATMFD.DLL ซงใชใน

การท�างานรวมกบไฟลประเภท PostScript-based OpenType

Font (.OTF) [16-1] ผไมหวงดอาจโจมตผานชองโหวนผานไฟล

เอกสารทสามารถฝง (Embedded) Font ได เชน

ไฟลเอกสาร Microsoft Office หรอฝง Font ไวในเวบไซตแลว

หลอกใหผใชเปดเขาไปด

รปท 15.รปท 18 (16-1) BSoD ทเกดจากชองโหว ATMFD.DLL [16-2]

ผลกระทบระบบจะไมสามารถท�างานตอไดหาก Windows พยายามทจะ

แสดงผลขอมลในไฟล Font เชน เปดไฟลเอกสารหรอเขาหนา

เวบไซตทมการฝง Font อนตรายดงกลาว

• ใน Windows XP และ Server 2003 จะเกด BSoD

(Blue Screen of Death)

• ใน Windows Vista, 7 และ Server 2008 จะมการ

ใชงาน CPU 100%

ตวอยาง BSoD ในเครองทถกโจมตผานชองโหวน เปนดงรปท

18 (16-1)


ระบบทไดรบผลกระทบระบบปฏบตการ Windows ทงเวอรชน 32 บตและ 64 บต

ขอแนะนำ ในการปองกนและแกไขปจจบนชองโหวนยงไมมหมายเลข CVE และยงไมมขอมลเพม

เตมจาก Microsoft ผใชควรระวงในการเปดไฟลเอกสารท

สามารถฝง Font ได เชน ไฟลเอกสาร Microsoft Office และ

ควรระวงการเปดเวบไซตทไมนาเชอถอ

อางอง[16-1] http://www.exploit-db.com/exploits/19089/

[16-2] http://blog.cr4.sh/2012/06/0day-windows.html

15. ระวงภย ชองโหว Remote

Code Execution ใน Microsoft XML Core Service (CVE-2012-1889)วนทประกำศ: 14 มถนายน 2555


เรอง: ระวงภย ชองโหว Remote Code Execution ใน Mi-

crosoft XML Core Service (CVE-2012-1889)


ขอมลทวไปMicrosoft ประกาศ Security Advisory หมายเลข 2719615

[17-1] [17-2] แจงเตอนการโจมตระบบปฏบตการ Windows

ผานชองโหวของ Microsoft XML Core Service ซงเปนระบบ

ทใชในการอานและแสดงผลขอมลในไฟล XML [17-3] ชองโหว

ดงกลาวเกดจากความผดพลาดในการเรยกใช Object ทยงไม

ได Initialize ท�าใหเกดเหตการณ Memory corruption ผใช

อาจถกโจมตจากชองโหวนผานเวบไซตทมไฟล XML อนตราย

และผานไฟลเอกสาร Microsoft Office

ผลกระทบผใชทใชโปรแกรม Internet Explorer เขาเวบไซตทมไฟล XML

ทสรางขนมาเพอโจมตผานชองโหวน อาจถกผไมหวงดสงประมวล

ผลค�าสงอนตรายจากระยะไกล (Remote Code Execution)

โดยค�าสงอนตรายดงกลาวจะไดรบสทธเทยบเทากบสทธของผ

ใชทก�าลงลอกอน นอกจากน ผใชทเปดไฟลเอกสาร Microsoft

Office ทมโคดอนตรายแฝงอยกจะไดรบผลกระทบเชนเดยวกน

ระบบทไดรบผลกระทบ• Windows XP, Vista, 7, Server 2003, Server 2008

ทง 32 บตและ 64 บต ทตดตง Microsoft XML Core

Services 3.0, 4.0, 5.0, และ 6.0

• Microsoft Office 2003 และ 2007

ขอแนะนำ ในการปองกนและแกไขMicrosoft ไดออกซอฟตแวรส�าหรบแกปญหานเปนการชวคราว

แลว ผใชสามารถตดตงไดจาก Microsoft Fix it [17-4] หาก

ไมสามารถตดตงซอฟตแวรดงกลาวได ควรระมดระวงในการ

เปดเวบไซตดวยโปรแกรม Internet Explorer หรอระมดระวง

การเปดไฟลเอกสาร Microsoft Office ทนาสงสย

โดยปกตแลวโปรแกรม Internet Explorer บน Windows

Server 2003, 2008 และ 2008 R2 จะท�างานในโหมด En-

hanced Security Configuration [17-5] ซงสามารถลดผลก

ระทบทเกดจากชองโหวนได อยางไรกตาม Microsoft ไดแนะน�า

ใหผใชตงคา EMET [17-6] ใหกบโปรแกรม Internet Explor-

er เพมเตมดวย

อางอง[17-1] https://technet.microsoft.com/en-us/security/

advisory/2719615

[17-2] http://cve.mitre.org/cgi-bin/cvename.

cgi?name=CVE-2012-1889

[17-3] http://msdn.microsoft.com/en-us/data/bb291077.

aspx

[17-4] http://support.microsoft.com/kb/2719615

[17-5] http://technet.microsoft.com/en-us/library/

dd883248(WS.10).aspx

[17-6] http://www.thaicert.or.th/papers/technical/2012/

pp2012te0004.html


Code Execution ใน Internet Explorer (CVE2012-1875)วนทประกำศ: 19 มถนายน 2555


เรอง: ระวงภย ชองโหว Remote Code Execution ใน In-

ternet Explorer (CVE2012-1875)


ขอมลทวไปMicrosoft ประกาศ Security Bulletin รหส MS12-037

[18-1] เพอแจงเตอนการโจมตผานชองโหว Same ID Prop-

erty Remote Code Execution ใน Internet Explorer

(CVE2012-1875) [18-2] ชองโหวดงกลาวเกดขนเมอหนา

เวบไซตนนม Object ทถกประกาศชอ ID ซ�ากน แลวมการลบ

Object ตวใดตวหนงออก (เชน ถกลบโดย JavaScript) เมอม

การเรยกใช Object ทมชอ ID ดงกลาว Internet Explorer

จะไปอานขอมลจากหนวยความจ�าในต�าแหนงทไมไดใชงานแลว

(Use after free) ท�าใหโปรแกรมท�างานผดพลาด ปจจบนม

โคดเพอใชโจมตผานชองโหวดงกลาวเผยแพรในอนเทอรเนต

แลว [18-3] [18-4] [18-5]

ผลกระทบผโจมตสามารถสรางเวบไซตอนตรายแลวหลอกใหเหยอเขาไป

เมอเหยอเปดเวบไซตโดยใชโปรแกรม Internet Explorer อาจ

ถกผไมหวงดสงประมวลผลค�าสงอนตรายจากระยะไกลได

(Remote Code Execution) โดยผโจมตจะไดรบสทธในการ

ท�างานเทากบสทธของผใชทลอกอน

ระบบทไดรบผลกระทบInternet Explorer เวอรชน 6, 7, 8 และ 9 บนระบบปฏบต

การ Windows ทง 32 บตและ 64 บต


ขอแนะนำ ในการปองกนและแกไขMicrosoft ไดออกแพทชหมายเลข 2699988 เพอแกไขปญหา

ดงกลาวแลว ผใชสามารถดาวนโหลดไดจาก http://support.

microsoft.com/kb/2699988

อางอง[18-1] http://technet.microsoft.com/en-us/security/

bulletin/ms12-037

[18-2] http://www.cve.mitre.org/cgi-bin/cvename.

cgi?name=CVE-2012-1875

[18-3] http://pastebin.com/sFqxs4qx

[18-4] http://www.youtube.com/watch?v=b2_SEx6aBCI

[18-9] http://nakedsecurity.sophos.com/2012/06/19/

ie-remote-code-execution-vulnerability-be-

ing-actively-exploited-in-the-wild/


Code Execution ใน Windows Sidebar/Gadgetวนทประกำศ: 12 กรกฎาคม 2555


เรอง: ระวงภย ชองโหว Remote Code Execution ใน

Windows Sidebar/Gadgets


ขอมลทวไปWindows Sidebar เปนคณสมบตทมใน Windows Vista โดย

จะปรากฏเปนแถบยาวแนวตงอยทางขวาของ Desktop ภายใน

สามารถบรรจ Gadgets ซงเปนโปรแกรมยอยทชวยอ�านวย

ความสะดวกในการท�างานหรอตดตามขอมล เชน แสดงนาฬกา

แสดงเปอรเซนตการใช CPU แสดง RSS Feed เปนตน [19-1]

ใน Windows Vista นน Gadgets จะถกจ�ากดไวใน Sidebar

แตใน Windows 7 ทาง Microsoft ไดตด Windows Sidebar

ออกไป และปรบปรงให Gadgets สามารถอยบนหนา Desktop

ไดอยางอสระ พรอมทงเรยกชอคณสมบตใหมนวา Windows

Gadgets [19-2] ตวอยาง Windows Sidebar เปนดงรปท 19

(19-1) และตวอยาง Windows Gadgets เปนดงรปท 20

(19-2)

รปท 20 (19-2) Windows Gadgets ใน Windows 7 [19-2]

เมอวนท 10 กรกฎาคม 2555 Microsoft ประกาศ Security

Advisory รหส KB2719662 เพอแจงเตอนการโจมตผานชอง

โหวใน Windows Sidebar และ Windows Gadgets พรอม

ปลอยซอฟตแวร Fix it เพอแกไขปญหาดงกลาว [19-3]

รปท 16.รปท 19 (19-1) Windows Sidebar ใน Windows Vista [19-1]

รปท 17.รปท 20 (19-2) Windows Gadgets ใน Windows 7 [19-2]

ผลกระทบผไมประสงคดสามารถสรางไฟล Gadgets (.gadget) ทมค�าสง

โจมตผานชองโหวดงกลาวอย หากผใชตดตง Gadgets นนลง

ในระบบโดยไมตงใจ อาจถกผไมประสงคดสงประมวลผลค�าสง

อนตรายจากระยะไกลได (Remote Code Execution) โดยผ

ไมประสงคดจะไดรบสทธในการท�างานเทากบสทธของผใชท

ลอกอน

ระบบทไดรบผลกระทบWindows Vista และ Windows 7 ทงเวอรชน 32 บตและ

64 บต

ขอแนะนำ ในการปองกนและแกไขMicrosoft ไดออกซอฟตแวร Fix it 50907 เพอปดการท�างาน

ของ Windows Sidebar/Gadgets โดยซอฟตแวรดงกลาวน

เปนการปดการท�างานเพอแกปญหาแบบชวคราวระหวาง รอ

แพทชแกไขชองโหวตอไป ผใชสามารถดาวนโหลดซอฟตแวร

Fix it ไดจาก เวบไซตของ Microsoft [19-4]

ปจจบน Microsoft ไดยกเลกบรการดาวนโหลด Gadgets จาก

หนาเวบไซตของ Microsoft แลว [19-5] แตผใชยงสามารถ

ดาวนโหลดและตดตง Gadgets จากเวบไซตอนๆ ไดตามปกต

อยางไรกตาม การตดตง Gadgets จากแหลงทมาทไมนาเชอ

ถออาจเปนอนตรายตอระบบได ผใชควรพจารณาใหรอบคอบ

กอนท�าการตดตง Gadget ใดๆ ลงในเครอง โดยอาจตดตง

เฉพาะ Gadgets จากบรษททมความนาเชอถอ และหลกเลยง

การตดตง Gadgets จากนกพฒนาภายนอก

อางอง[19-1] http://windows.microsoft.com/en-US/win-

dows-vista/Windows-Sidebar-and-gadgets-

overview

[19-2] http://windows.microsoft.com/en-us/windows7/

products/features/gadgets

[19-3] http://technet.microsoft.com/en-us/security/

advisory/2719662

[19-4] http://support.microsoft.com/kb/2719662

[19-5] http://windows.microsoft.com/th-TH/windows/

downloads/personalize/gadgets


18. ระวงภย โทรจน GetShell.A

ทำ งานไดทงบน Windows, Mac และ Linuxวนทประกำศ: 12 กรกฎาคม 2555


เรอง: ระวงภย โทรจน GetShell.A ท�างานไดทงบน Windows,

Mac และ Linux


ขอมลทวไปบรษท F-Secure ผพฒนาโปรแกรมแอนตไวรส ไดคนพบวธ

การเผยแพร โปรแกรมไมพงประสงคบน

หนาเวบไซตท ถกแฮก [20-1] [20-2]

ผไมประสงคดฝง Java

applet ไวในเวบไซต

เมอผ ใชเขามายง

เวบไซตดงกลาวกจะพบกบ

หนาตางขอยนยนการท�างาน

ของ Java applet ทถก Sign

โดย CA ทไมนาเชอถอ

(Untrusted) ดงรปท 21

(20-1) และ 22 (20-2)

รปท 18.รปท 21 (20-1) หนาตางขอยนยนการท�างานของ Java applet ไมพง

ประสงคบนระบบปฏบตการ Windows

รปท 19.รปท 22 (20-2) หนาตางขอยนยนการท�างานของ Java applet ไมพง

ประสงคบนระบบปฏบตการ Mac OS X

ผลกระทบหากผใชอนญาตให Java applet ดงกลาวท�างาน applet นน

จะตรวจสอบเครองของผใชวาเปนระบบปฏบตการอะไร จาก

นนจะเชอมตอไปยงเครอง C&C เพอดาวนโหลดโทรจน Get-

Shell.A มาตดตงลงในเครองของผใช

โทรจน GetShell.A เปน Backdoor ทจะเปดพอรตไวเพอรอ

ใหผไมประสงคดเชอมตอเขามาสงงานเครอง คอมพวเตอรทตก

เปนเหยอใหประมวลผลค�าสงไมพงประสงค [20-3]

ระบบทไดรบผลกระทบจากขอมลในไฟล Java applet ดงรปท 23 (20-3) แสดงให

เหนวา โปรแกรมไมพงประสงคดงกลาวสามารถท�างานไดทง

บนระบบปฏบตการ Windows เวอรชน 32 บตและ 64 บต

รวมทงระบบปฏบตการ Mac OS X และ Linux ดวย

รปท 20.รปท 23 (20-3) ขอมลในไฟล Java applet

อยางไรกตาม โทรจน GetShell.A บนระบบปฏบตการ Mac

OS X นนจะท�างานไดบนเครองทใช CPU PowerPC เทานน

หากน�าไฟลนมารนบนเครองทเปน CPU Intel ระบบจะแสดง

หนาจอแจงเตอนวาตองรนผานโปรแกรม Rosetta ดงรปท 24

(20-4)

รปท 21.รปท 24 (20-4) หนาจอการแจงเตอนวาตองรนโทรจนผานโปรแกรม Rosetta

ขอแนะนำ ในการปองกนและแกไขหากผใชตกเปนเหยอของโทรจน GetShell.A สามารถก�าจด

โทรจนนออกจากระบบไดโดยใชโปรแกรมแอนตไวรสทไดรบ

การอพเดทฐานขอมลเปนเวอรชนลาสด

อยางไรกตาม เพอเปนการปองกนความเสยหายทอาจจะเกด

ขนไดในอนาคต ผใชไมควรเขาชมเวบไซตทไมรจก เชน ไมควร

คลกลงกทมากบอเมล เปนตน รวมทงกอนการคลกอนญาตให

รน Java applet บนเวบไซตใดๆ ผใชควรตรวจสอบใหแนใจ

วาตองการรน applet นนจรงๆ หากไมแนใจควรปดเวบไซต

นนทนท เพราะ applet ดงกลาวอาจน�ามาซงโปรแกรมไมพง

ประสงคกได

อางอง[20-1] https://www.f-secure.com/weblog/ar-

chives/00002397.html

[20-2] http://www.computerworld.com/s/article/9228972/

Java_based_Web_attack_installs_backdoors_on_Win-

dows_Linux_Mac_computers

[20-3] http://www.microsoft.com/security/portalh-

rEnEntaspx?Name=TrojanDownloader

%3AJava%2FGetShell.A&ThreatID=-2147308694

19. Yahoo! Contributor

Network ถกเจาะ บญชผใช 453,492 รายหลดเปน plaintextวนทประกำศ: 12 กรกฎาคม 2555


เรอง: Yahoo! Contributor Network ถกเจาะ บญชผใช

453,492 รายหลดเปน plaintext


ขอมลทวไปแฮกเกอรโพสตขอมลบญชผใชบรการบางอยางของ Yahoo!

จ�านวน 453,492 รายลงในเวบไซตแหงหนง โดยอางวาไดขอมล

ดงกลาวมาดวยวธการท�า SQL Injection แบบ Union ซงขอมล

บญชผใชทงหมดทถกโพสตนนเปน plaintext ไมมการเขารหส

ลบแตอยางใด [21-1] [21-2] ตวอยางขอมลทถกโพสตเปนดง

รปท 25 (21-1)

รปท 22.รปท 25 (21-1) ตวอยางขอมลบญชผใชบรการของ Yahoo! ทถกโพสต

ผทโพสตขอมลบญชผใชไมไดระบวาบรการของ Yahoo! นนคอ

บรการอะไร แตจากการวเคราะหของเวบไซต TrustedSec

คาดวาเปนบรการ Yahoo! Voices เนองจากตรวจสอบพบ

ขอความ dbb1.ac.bf1.yahoo.com อยในไฟลทถกเผยแพร

ซงเปนเซรฟเวอรของบรการ Yahoo! Voices [21-3]

ลาสดทาง Yahoo! ไดออกแถลงการณในเรองดงกลาว โดยชแจง

วาขอมลทหลดออกมานนเปนขอมลเกาของ Yahoo! Contrib-

utor Network (http://contributor.yahoo.com) ซงเปน

บรการรวมรวมขอมลขาวสารทผใชสราง เชน บทความ ภาพถาย

คลปวดโอ เพอน�าขนไปเผยแพรในบรการตางๆ ของ Yahoo!

(เชน Yahoo! Voices หรอ Yahoo! News) ดงแสดงในรปท


26 (21-2) ซงบรการดงกลาวนอนญาตใหผใชสามารถใชอเมล

อนในการสมครได โดยไมจ�าเปนทจะตองใช Yahoo! Mail เพยง

อยางเดยว [21-4]

รปท 23.รปท 26 (21-2) หนาเวบไซตของ Yahoo! Contributor Network

นอกจากน ทาง Yahoo! ไดชแจงเพมเตมวา รหสผานในบญช

ผใชตามรายชอทถกเผยแพรออกไปนนมจ�านวนไมถง 5% ทยง

สามารถใชงานได อยางไรกตาม ทาง Yahoo! แจงวาก�าลง

ปรบปรงแกไขชองโหวทพบ และไดเปลยนรหสผานใหกบผใชท

ไดรบผลกระทบจากเหตการณดงกลาวแลว

ผลกระทบผทใชบรการของ Yahoo! ทมรายชออยในขอมลทถกเผยแพร

อาจถกสวมรอยบญชผใชได

ระบบทไดรบผลกระทบผใชบรการ Yahoo! Contributor Network มความเสยงทจะ

ไดรบผลกระทบโดยตรง แตเนองจากบรการดงกลาวนมความ

เชอมโยงกบบรการอนๆ ของ Yahoo! ดวย ดงนนผทใชงาน

บรการตางๆ ของ Yahoo! ตามรายชอตอไปน อาจไดรบผลก

ระทบตามไปดวย

• Yahoo! Voices (http://voices.yahoo.com/)

• Yahoo! News (http://news.yahoo.com/)

• Yahoo! Local (http://local.yahoo.com/)

• Yahoo! Local (http://sports.yahoo.com/)

• Yahoo! Sports (http://finance.yahoo.com/)

• Yahoo! Finance (http://finance.yahoo.com/)

• Yahoo! TV (http://tv.yahoo.com/)

• Yahoo! Movies (http://movies.yahoo.com/)

• Yahoo! Shopping (http://shopping.yahoo.com/)

• omg! shine (http://omg.yahoo.com/)

ขอแนะนำ ในการปองกนและแกไขบรษท Sucuri ซงเปนบรษททท�าวจยเกยวกบ Malware ได

พฒนาเวบไซตเพอชวยเหลอผใชบรการของ Yahoo! ในการ

ตรวจสอบอเมลของตนเองวาอยในรายชอทถกเผยแพรหรอไม

โดยสามารถตรวจสอบไดทเวบไซต http://labs.sucuri.

net/?yahooleak

อยางไรกตาม เพอเปนการปองกนปญหาทอาจจะเกดขน ผใช

บรการของ Yahoo! ควรรบเปลยนรหสผานทใชงานโดยทนท

อางอง[21-1] http://arstechnica.com/security/2012/07/ya-

hoo-service-hacked/

[21-2] http://thenextweb.com/insider/2012/07/12/

yahoo-gets-hacked-as-400000-plaintext-creden-

tials-are-posted-online/

[21-3] https://www.trustedsec.com/july-2012/yahoo-

voice-website-breached-400000-compromised/

[21-4] http://techcrunch.com/2012/07/12/yahoo-

confirms-apologizes-for-the-email-hack-says-

still-fixing-plus-check-if-you-were-impacted-

non-yahoo-accounts-apply/


ซอฟตแวร Uplay ของ Ubisoft แฮกเกอรสามารถสงเปดโปรแกรมในเครองเหยอไดวนทประกำศ: 31 กรกฎาคม 2555


เรอง: ระวงภย ชองโหวในซอฟตแวร Uplay ของ Ubisoft แฮก

เกอรสามารถสงเปดโปรแกรมในเครองเหยอได


ขอมลทวไปDRM ยอมาจาก Digital Right Management เปนระบบ

ปองกนการละเมดลขสทธ ซงนยมใชในการควบคมการใชงาน

หรอการเผยแพรขอมลดจทล เชน ซอฟตแวร เพลง หรอ

ภาพยนตร เปนตน [22-1]

Uplay เปนซอฟตแวร DRM ของบรษท Ubisoft ซงใชในการ

Activate เกมทผใชซอมาผานทางเวบไซต Uplay ระบบดง

กลาวถกน�ามาใชครงแรกในเกม Assassin’s Creed 2 ซงวาง

จ�าหนายเมอป พ.ศ. 2552 เมอผใชตดตงเกมของ Ubisoft

โปรแกรม Uplay จะถกตดตงมาเปนปลกอนของเบราวเซอร

ดวย [22-2] ตวอยางโปรแกรม Uplay เปนดงรปท 27 (22-1)

รปท 24.รปท 27 (22-1) โปรแกรม Uplay (ทมา http://uplay.ubi.com)

นาย Tavis Ormandy ผเชยวชาญดานความมนคงปลอดภย

จาก Google ไดรายงานการคนพบชองโหวของโปรแกรม

Uplay ทถกตดตงมาพรอมกบเกม Assassin’s Creed Reve-

lation ใน Full Disclosure Mailing List พรอมเผยแพรตวอยาง

โคดทใชทดสอบการท�างานของชองโหวดงกลาว [22-3]

ผลกระทบโปรแกรม Uplay สามารถเรยกใชงานโปรแกรมใดๆ ในเครอง

ไดผานทางเวบเบราวเซอร ผไมหวงดสามารถสรางหนาเวบไซต

ทมโคด JavaScript เพอสงรนไฟลใดๆ กไดในเครองของเหยอ

[22-4]

ระบบทไดรบผลกระทบเครองทใชงานระบบปฏบตการ Windows ทตดตงเกมของ

Ubisoft ทใชงานระบบ Uplay ดงน [22-5]

• Anno 2070

• Assassin’s Creed II

• Assassin’s Creed: Brotherhood

• Assassin’s Creed: Project Legacy

• Assassin’s Creed Revelations

• Assassin’s Creed III

• Beowulf: The Game

• Brothers in Arms: Furious 4

• Call of Juarez: The Cartel

• Driver: San Francisco

• Heroes of Might and Magic VI

• Just Dance 3

• Prince of Persia: The Forgotten Sands

• Pure Football

• R.U.S.E.

• Shaun White Skateboarding

• Silent Hunter 5: Battle of the Atlantic

• The Settlers 7: Paths to a Kingdom

• Tom Clancy’s H.A.W.X. 2

• Tom Clancy’s Ghost Recon: Future Soldier

• Tom Clancy’s Splinter Cell: Conviction

• Your Shape: Fitness Evolved


ขอแนะนำ ในการปองกนและแกไขบรษท Ubisoft ไดเผยแพรโปรแกรม Uplay เวอรชน 2.04 ท

ไดแกไขชองโหวนแลว โดยจะอนญาตใหปลกอน Uplay ในเวบ

เบราวเซอรเรยกใชงานไดแคโปรแกรมของ Uplay เทานน

[22-6] ซงสามารถดาวนโหลดไดจากเวบไซต http://uplay.

ubi.com ผใชสามารถตรวจสอบเวอรชนของโปรแกรม Uplay

ทถกตดตงในเครองไดโดยการคลกปมรปตว i ทมมขวาบนของ

หนาตางโปรแกรม

โปรแกรม Mozilla Firefox ไดจดใหปลกอน Uplay อยใน

Blocker List แลว เพอปองกนการโจมตจากชองโหวดงกลาว

[22-7]

ส�าหรบผทตองการตรวจสอบวาเครองคอมพวเตอรทใชงานอย

นนปลอดภยหรอไม สามารถตรวจสอบไดจากเวบไซต Proof-

of-concept code ท http://pastehtml.com/view/

c6gxl1a79.html หากปรากฏหนาตางโปรแกรม Calculator

แสดงวาระบบมชองโหว ควรอพเดทโปรแกรม Uplay โดยทนท

อางอง[22-1] http://computer.howstuffworks.com/drm1.htm

[22-2] http://www.kotaku.com.au/2009/11/ubisoft-

all-our-games-will-do-this-uplay-thing/

[22-3] http://seclists.org/fulldisclosure/2012/Jul/375

[22-4] http://www.h-online.com/security/news/item/

Ubisoft-DRM-opens-backdoor-1655653.html

[22-5] http://en.wikipedia.org/wiki/Ubisoft#Uplay

[22-6] http://forums.ubi.com/showthread.php/699756-Ub-

i s o f t -DRM- roo t k i t -may - a l l ow - a c -

cess-to-PC-files?s=14dfb48e3f481a0a8c6aab-

c8da7fbc0b&p=8510888&viewfull=1#post8510888

[22-7] https://addons-dev.allizom.org/en-US/firefox/

blocked/p103

21. นกวจยสาธตมลแวรทตด

ในเฟรมแวร EFI ของเครอง Macวนทประกำศ: 1 สงหาคม 2555

ปรบปรงลำสด: 1 สงหาคม 2555

เรอง: นกวจยสาธตมลแวรทตดในเฟรมแวร EFI ของเครอง

Mac

ประเภทภยคกคำม: Malicious Code, Intrusion

ขอมลทวไปEFI หรอ Extensible Firmware Interface เปนเฟรมแวรท

ถกออกแบบมาเพอใชแทน BIOS เนองจากเทคโนโลยใน BIOS

นนมขอจ�ากดและไมสามารถรองรบกบอปกรณใหมๆ ทออกมา

ได เชน ไมสามารถบตจากฮารดดสกทมขนาดใหญกวา 2 TB

ได เปนตน

EFI ถกคดคนและพฒนาขนโดยบรษท Intel ในป พ.ศ. 2541

และไดออกมาตรฐาน EFI เวอรชน 1.10 ในป พ.ศ. 2548 จาก

นนไดเปลยนใหองคกร Unified EFI Consortium เปนผดแล

จงไดเปลยนชอใหมเปน Unified Extensible Firmware In-

terface (UEFI) [23-1] ในป พ.ศ. 2549 บรษท Apple Inc.

ไดผลตเครองคอมพวเตอร Macintosh ทใช CPU ของ Intel

และไดเรมใชเทคโนโลย EFI ในคอมพวเตอรตระกล Macintosh

ตงแตนนเปนตนมา โดยเทคโนโลย EFI ท Apple น�ามาใชนน

อางองตามมาตรฐาน EFI เวอรชน 1.10 [23-2]

ในงาน Black Hat USA 2012 นกวจยดานความมนคงปลอดภย

ไดสาธตมลแวรประเภท Rootkit ทสามารถแทรกตวเองลงใน

เฟรมแวร EFI ของเครอง Mac Book Air และสามารถขามการ

ท�างาน (Bypass) ของระบบ FileVault ซงเปนระบบเขารหส

ลบขอมลในฮารดดสกได

ผลกระทบมลแวรทนกวจยน�ามาสาธตนสามารถแกไข Kernel ของระบบ

ปฏบตการ รวมถงท�างานเปน Keylogger เพอดกรหสผานทใช

ในการถอดรหสลบดสกทถกเขารหสลบดวยระบบ FileVault

ได นอกจากนนกวจยยงไดใหขอมลเพมเตมวามลแวรดงกลาว

นสามารถดดแปลงใหมความสามารถอนๆ เพมเตมไดดวย เชน

เปด Reverse Shell เพอใหผไมหวงดเขามาควบคมเครองจาก

ระยะไกลได เปนตน [23-3]

การแพรกระจายของมลแวรดงกลาวน อาจท�าไดดวยการเสยบ

USB Drive ทมโคดของมลแวรเขาไปในเครองของเหยอ หรอ

เสยบอปกรณ Thunderbolt-to-Ethernet ทถกดดแปลงโดย

ใสไดรเวอรพเศษเขาไป จากนนเมอเปดเครองคอมพวเตอร

เครองของเหยอกจะน�าโคดอนตรายดงกลาวไปประมวลผลโดย

อตโนมต

ระบบทไดรบผลกระทบเครองคอมพวเตอรตระกล Macintosh ทใชระบบ EFI (เครอง

ทวางจ�าหนายตงแตป พ.ศ. 2549 เปนตนไป)

ขอแนะนำ ในการปองกนและแกไขมลแวรทนกวจยน�ามาสาธตนถกสรางขนมาเพอแสดงใหเหนถง

ชองโหว และไมไดน�าไปแพรกระจายในสาธารณะ แตอยางไร

กตาม อาจมผไมหวงดน�าชองโหวดงกลาวนไปสรางมลแวรเพอ

โจมตผใชงานทวไปได

การปองกนตวจากการโจมตผานชองโหวดงกลาว อาจท�าได

หลายวธ เชน การตงรหสผานในขนตอน BDS (Boot Device

Selection) ซงเปนขนตอนทใหผใชเลอกวาจะบตจากอปกรณ

อะไร ซงวธการดงกลาวสามารถปองกนการโจมตจากอปกรณ

เชอมตอภายนอก เชน USB Drive, Firewire หรอ Network

Interface ไดเทานน แตไมสามารถปองกนการโจมตโดยการ

เสยบอปกรณเขากบ PCI Bus ของเครองโดยตรงได เชน Ex-

pressCard หรอ Thunderbolt [23-4]

เนองจากมลแวรดงกลาวนจะท�างานไดกตอเมอผโจมตสามารถ

เชอมตออปกรณ เชน USB Drive เขากบเครองคอมพวเตอร

ของเหยอ ดงนนหากผใชตรวจสอบพอรตของเครองกอนท�าการ

เปดเครอง กอาจชวยปองกนการโจมตจากผไมหวงดได

อางอง[23-1] http://h30565.www3.hp.com/t5/Feature-Articles/

The-30-year-long-Reign-of-BIOS-is-Over-Why-

UEFI-Will-Rock-Your/ba-p/198

[23-2] http://www.everymac.com/mac-answers/

macintel-faq/intel-macs-openfirmware-bios-al-

tivec-firewire-powerpc.html#bios

[23-3] http://www.h-online.com/security/news/item/

EFI-rootkit-for-Macs-demonstrated-1655108.

html

[23-4] http://ho.ax/De_Mysteriis_Dom_Jobsivs_Black_

Hat_Paper.pdf


22. ระวงภย ชองโหว

CVE-2012-4681 ใน Java 7วนทประกำศ: 28 สงหาคม 2555

ปรบปรงลำสด: 24 ตลาคม 2555

เรอง: ระวงภย ชองโหว CVE-2012-4681 ใน Java 7

ประเภทภยคกคำม: Malicious Code, Intrusion

ขอมลทวไปบรษท FireEye ซงเปนบรษททวเคราะหและพฒนาเครองมอ

ทเกยวของกบระบบ Security ไดคนพบการโจมตผานชองโหว

ของโปรแกรม Java Runtime เวอรชน 7 Update 6 (build

1.7.0_06) โดยโจมตผานการฝง Java Applet ไวในเวบไซต

[24-1] ชองโหวดงกลาวนถกก�าหนดหมายเลขเปน CVE-2012-

4681 [24-2]

ผลกระทบเมอผใชเขาไปยงเวบไซตทม Java Applet อนตรายอย จะถก

Applet ดงกลาวนดาวนโหลดโปรแกรมไมพงประสงคมาตดตง

ลงในเครอง ดงรปท 28 (24-1) ซงโปรแกรมดงกลาวนเปดโอกาส

ใหผไมหวงดสงประมวลผลค�าสงอนตรายจากระยะไกลได

(Remote Code Execution) [24-3]

รปท 25.รปท 28 (24-1) โปรแกรมไมพงประสงคทถกดาวนโหลดมาตดตง (ทมา

FireEye)

ระบบทไดรบผลกระทบทมพฒนา Metasploit ซงเปนซอฟตแวรทใชส�าหรบทดสอบ

ชองโหวของระบบ (Penetration Testing) ไดทดลองสรางชด

ค�าสงทโจมตผานชองโหวดงกลาว และพบวาค�าสงนสามารถ

ท�างานไดบนระบบทตดตง Java Runtime เวอรชน 7 ตงแต

Update 0 จนถง Update 6 ผานทางเบราวเซอรบนระบบ

ปฏบตการดงตอไปน [24-4]

• Mozilla Firefox บน Ubuntu 10.04

• Internet Explorer, Mozilla Firefox และ Google

Chrome บน Windows XP

• Internet Explorer และ Mozilla Firefox บน

Windows Vista

• Internet Explorer และ Mozilla Firefox บน

Windows 7

• Safari บน OS X 10.7.4

อยางไรกตาม ชองโหวดงกลาวนอาจท�างานไดบนระบบปฏบต

การใดๆ ทใชเบราวเซอรอนๆ ไดอก หากมความคบหนาเพม

เตมทางไทยเซรตจะแจงใหทราบตอไป

ตวอยาง การโจมตโดยใชซอฟตแวร Metasploit เปนดงรปท

29 (24-2)

รปท 26.รปท 29 (24-2) ตวอยางการใช Metasploit โจมต Windows 7 ผานชองโหว

CVE-2012-4681 (ทมา Rapid7)

ขอแนะน�าในการปองกนและแกไขในวนท 31 สงหาคม 2555 บรษท Oracle ผผลตซอฟตแวร

Java Runtime ไดปลอยโปรแกรม Java 7 Update 7 (build

1.7.0_07) ซงแกไขชองโหวนแลว ผใชสามารถดาวนโหลดได

จากเวบไซตของ Oracle [24-6]

หากไมสามารถอพเดทได ผเชยวชาญจากสถาบน SANS แนะน�า

ใหผใชปดการท�างานของ Java ในเบราวเซอร หรอใชปลกอน

เชน No-Script เพอเลอกอนญาตให Java ท�างานไดเฉพาะใน

เวบไซตทก�าหนด และหากไมจ�าเปนตองใชความสามารถของ

Java Runtime เวอรชน 7 อาจดาวนเกรดไปใช Java Runtime

เวอรชน 6 ทอพเดทลาสดแทนไปกอนได [24-7]

บรษท Apple ไดปลอยแพทชเพอแกไขชองโหวของ Java ใน

Mac OS X เมอวนท 16 ตลาคม 2555 [24-8] โดยแพทชดง

กลาวนจะอพเดทโปรแกรม Java SE 6 เปนเวอรชน 1.6.0_37

พรอมทงตดการสนบสนน Java ในเบราวเซอร Safari ท�าใหผ

ใชทตองการใชงาน Java ใน Safari จ�าเปนตองตดตงปลกอน

Java เวอรชนทพฒนาโดยบรษท Oracle เอง [24-9]

อางอง[24-1] http://blog.fireeye.com/research/2012/08/zero-

day-season-is-not-over-yet.html


nId=CVE-2012-4681

[24-3] http://labs.alienvault.com/labs/index.php/2012/

new-java-0day-exploited-in-the-wild/

[24-4] https://community.rapid7.com/community/

metasploit/blog/2012/08/27/lets-start-the-

week-with-a-new-java-0day


security/alerts-086861.html

[24-6] http://www.oracle.com/technetwork/java/ja-

vase/downloads/index-jsp-138363.html

[24-7] https://isc.sans.edu/diary.html?storyid=13984

[24-8] http://support.apple.com/kb/DL1572

[24-9] http://thehackernews.com/2012/10/apple-up-

date-removes-java-plugin-from.html

23. ระวงภย Foxit Reader

เวอรชนเกากวา 5.4 มชองโหว DLL hijackingวนทประกำศ: 12 กนยายน 2555

ปรบปรงลำสด: 12 กนยายน 2555

เรอง: ระวงภย Foxit Reader เวอรชนเกากวา 5.4 มชองโหว

DLL hijacking


ขอมลทวไปFoxit Software ผพฒนาโปรแกรม Foxit Reader ซงใชใน

การอานไฟล PDF ไดแจงวาในโปรแกรม Foxit Reader เวอรชน

เกากวา 5.4 มชองโหว DLL hijacking ซงอนญาตใหผไมหวงด

โจมตผานไฟล DLL ทเปนอนตรายได และแนะน�าใหผใชอพเดท

เปนเวอรชนลาสด [25-1]

ผลกระทบเมอโปรแกรม Foxit Reader เรมท�างาน จะมการโหลดไฟล

DLL เขามาประมวลผล แตหากโปรแกรมพบวามไฟล DLL ท

มชอเดยวกนกบไฟล DLL ทตองการโหลดอยในไดเรกทอรท

ไฟล PDF อย โปรแกรมกจะโหลดไฟล DLL นนเขามาประมวล

ผลแทนไฟลจรง

ในการโจมต ผไมหวงดสามารถใชวธการวางไฟล PDF และไฟล

DLL อนตรายไวในทเดยวกน เชน วางไฟลไวใน Shared Di-

rectory แลวใหเครองของเหยอเขามาเปดไฟลนน [25-2] เมอ

เหยอเปดไฟลดงกลาว ค�าสงอนตรายทอยในไฟล DLL กจะถก

น�าไปประมวลผลทนท

ระบบทไดรบผลกระทบFoxit Reader for Windows เวอรชนเกากวา 5.4

ขอแนะนำ ในการปองกนและแกไขFoxit Software ไดออกโปรแกรม Foxit Reader เวอรชน 5.4


ซงแกไขปญหาดงกลาวแลว [25-3] ผใชสามารถดาวนโหลดได

จากเวบไซตของ Foxit Reader หรอหากผใชตดตงโปรแกรม

Foxit Reader ไวในเครองอยแลว สามารถอพเดทใหเปนเวอรชน

ลาสดไดดวยการคลกทเมน Help เลอก Check for Updates

Now


Foxit-Reader-5-4-fixes-DLL-hijacking-vulnerabil-

ity-1703878.html

[25-2] http://www.foxitsoftware.com/Secure_PDF_Read-

er/security_bulletins.php#malicious

[25-3] https://www.foxitsoftware.com/company/press.

php?action=view&page=201209052316.html

24. Blizzard

Entertainment ถกเจาะระบบ ผใชงานควรเปลยนรหสผานโดยดวนวนทประกำศ: 10 สงหาคม 2555

ปรบปรงลำสด: 10 สงหาคม 2555

เรอง: Blizzard Entertainment ถกเจาะระบบ ผใชงานควร

เปลยนรหสผานโดยดวน


ขอมลทวไปBlizzard Entertainment เปนบรษททพฒนาเกมคอมพวเตอร

โดยมเกมทไดรบความนยม เชน WarCraft, StarCraft, Diablo

เปนตน ดงรปท 8 (2-1) ซงหลายเกมสามารถเลนออนไลนได

ผานระบบ Battle.Net

รปท 27.รปท 8 (2-1) ตวอยางเกมของ Blizzard Entertainment

เมอวนท 9 สงหาคม 2555 Blizzard Entertainment ไดแจง

วาระบบภายในของ Net ถกเขาถงโดยไมไดรบอนญาต จาก

การตรวจสอบพบวา ผไมหวงดไดขอมลอเมลทใชในการเขาส

ระบบ Battle.Net ในทกภมภาคของโลก ยกเวนประเทศจน

นอกจากนยงไดขอมลบญชผใชในเซรฟเวอร North America

ซงมขอมลของผเลนในภมภาคตางๆ เชน North America,

Latin America, Australia, New Zealand และ Southeast

Asia รวมอยดวย โดยขอมลทหลดออกไปนนประกอบดวยรหส

ผานทถกเขารหสลบไว ค�าตอบของค�าถามทใชในการกคนรหส

ผาน และขอมลการยนยนตวตนผานโทรศพทมอถอ เปนตน

[2-1]

ทาง Blizzard Entertainment

ใหขอมลเพมเตมวา ไดตรวจ

สอบพบวามการการ

เจาะระบบไดตงแต

วนท 4 สงหาคม

2555 แลว แต

ตองการตรวจสอบ

ขอมลใหชดเจนกอน

จงไดประกาศแจงเตอนใน

วนท 9 สงหาคม [2-2] อยางไร

กตาม ทาง Blizzard Entertainment

ไดแจงวา ขอมลบตรเครดตและขอมลการ

ซอสนคานนไมไดรบผลกระทบจากการถก

เจาะระบบครงน

ผลกระทบเนองจากรหสผานทหลดออกไปนนเปนรหสผานทถกเขารหส

ลบไว แตผไมหวงดไดขอมลค�าตอบของค�าถามทใชในการกคน

รหสผานไปดวย ดงนนผใชงานระบบ Battle.Net มโอกาสท

จะถกขโมยบญชผใช จากการตอบค�าถามทใชในการกคนรหส

ผานได

ระบบทไดรบผลกระทบระบบ Battle.Net

ขอแนะนำ ในการปองกนและแกไขบรษท Blizzard Entertainment ไดแนะน�าใหผทใชงานระบบ

Battle.Net เปลยนรหสผานโดยดวน พรอมกนน ไดใหขอมล

เพมเตมวา จะพฒนาระบบเพออ�านวยความสะดวกในการ

เปลยนรหสผานและค�าถามทใชในการกคนรหสผาน รวมถงจะ

อพเดทซอฟตแวรทใชในการยนยนตวตนผานโทรศพทมอถอ

ในเรวๆ น อยางไรกตาม ทางบรษทยงคงเปดใชงานระบบการ

ยนยนตวตนผานโทรศพทมอถอ และระบบกคนรหสผานโดย

วธการตอบค�าถามทใชในการกคนรหสผานตามปกต ถงแม

ขอมลดงกลาวจะถกผไมหวงดเขาถงไดแลวกตาม

อางอง[1-1] http://us.blizzard.com/en-us/company/press/

pressreleases.html?id=6940026

[1-2] http://us.battle.net/support/en/article/impor-

tant-security-update-faq



Internet Explorer ผโจมตสามารถทำ Remote Code Execution ได (CVE-2012-4969)วนทประกำศ: 18 กนยายน 2555


เรอง: ระวงภย ชองโหวใน Internet Explorer ผโจมตสามารถ

ท�า Remote Code Execution ได (CVE-2012-4969)


ขอมลทวไป วนท 14 กนยายน 2555 ทผานมา Eric Romang ทปรกษา

ดานความมนคงปลอดภยระบบคอมพวเตอร ไดคนพบชองโหว

ของโปรแกรม Internet Explorer ซงชองโหวนเกดจาก Object

หนงทใชในขณะแสดงผลของโคดภาษา HTML ถกลบออกจาก

หนวยความจ�า และในเวลาตอมา Object นนถกเรยกใชอก

ครง ท�าใหเกดสภาวะ use-after-free ซงท�าใหโปรแกรมเกด

การท�างานผดพลาด หลงจากการคนพบ Romang ไดสงขอมล

ใหผเชยวชาญอน ๆ ชวยยนยนวาขอมลทพบเปนชองโหวจรง

[26-1]

ตอมาในวนท 16 กนยายน 2555 ชองโหวนได

รบการยนยนจาก @binjo ผ

เชยวชาญดานความ

มนคงปลอดภยระบบ

คอมพวเตอร ดง

นน Romang จง

ไดเปดเผยขอมล

ชองโหวดงกลาว

ตอสาธารณะ

ผาน Blog ของ

ตนเอง [26-2]

วนท 17 กนยายน 2555 ทมพฒนา Metasploit ซงเปนเครอง

มอทใชในการทดสอบความมนคงปลอดภยของระบบคอมพวเตอร

ไดอพเดทเครองมอทใชโจมตชองโหวนเขาเปนสวนหนงของ

Metasploit

ผลกระทบ ผโจมตสามารถสรางเวบไซตอนตรายแลวหลอกใหเหยอเขาไป

ยงเวบไซตดงกลาวผานโปรแกรม Internet Explorer ซงอาจ

ท�าใหถกผโจมตสามารถสงประมวลผลค�าสงอนตรายจากระยะ

ไกล (Remote Code Execution) ดวยสทธในการท�างานของ

ผใชทลอกอนได

ระบบทไดรบผลกระทบ Internet Explorer เวอรชน 6, 7, 8 และ 9 ทตดตงบนระบบ

ปฏบตการ WindowsXP, Vista และ 7

ขอแนะนำ ในการปองกนและแกไข Microsoft ไดเผยแพรแพทช KB2744842 เมอวนศกรท 21

กนยายน 2555 ผใชงานสามารถตดตงไดผานทาง Windows

Update หรอดาวนโหลดไดจากเวบไซตของ Microsoft [26-3]

อางอง[26-1] http://eromang.zataz.com/2012/09/17/micro-

soft-internet-explorer-execcommand-vulner-

ability-metasploit-demo/

[26-2] http://eromang.zataz.com/2012/09/16/zero-

day-season-is-really-not-over-yet/

[26-3] http://technet.microsoft.com/en-us/secu-

rity/bulletin/ms12-063

26. ระวงภย โปรแกรม

phpMyAdmin รน 3.5.2.2 อาจม Backdoor ฝงอย (CVE-2012-5159)วนทประกำศ: 27 กนยายน 2555


เรอง: ระวงภย โปรแกรม phpMyAdmin รน 3.5.2.2 อาจม

Backdoor ฝงอย (CVE-2012-5159)


ขอมลทวไป โปรแกรม phpMyAdmin เปนโปรแกรมส�าหรบจดการฐาน

ขอมล MySQL ทนยมใชกนมาก ตวโปรแกรมเขยนขนดวยภาษา

php และใชตดตงในเครองแมขายเวบทสามารถเชอมตอกบ

ฐานขอมล MySQL ทตองการจดการได ผพฒนา phpMyAdmin

ไดใชระบบของ Sourceforge เปนสอกลางในการเผยแพร

โปรแกรม [27-1] ภายใตลขสทธแบบ GPLv2 [27-2]

ในวนท 25 กนยายน 2555 มการประกาศจาก Sourceforge

วา พบ Backdoor ในส�าเนาของ phpMyAdmin รน 3.5.2.2

ในเครองแมขายเครองหนงของ Sourceforge ทตงอยในประเทศ

เกาหล ซงหลงจากพบเหตดงกลาว เครองแมขายทมปญหากได

ถกระงบการใหบรการทนท แตจากการตรวจสอบของ Source-

forge เอง พบวามผดาวนโหลด phpMyAdmin ส�าเนาทม

Backdoor นออกไปจากเครองแมขายดงกลาวไมนอยกวา 400

ครง กอนท Sourceforge จะปดการใหบรการของเครองแม

ขายนไป [27-3]

Backdoor ดงกลาวพบในไฟลชอ server_sync.php ซงไมม

อยในส�าเนาของ phpMyAdmin ทถกตอง โดยไฟลดงกลาวจะ

รบคาใดๆ ผาน POST Method แลวน�ามาประมวลผลในระดบ

ระบบปฏบตการ ซงเปนการเปดชองใหผไมประสงคดสามารถ

โจมตเครองแมขายทตดตง phpMyAdmin ทม Backdoor น

ในรปแบบ Remote Command Execution ได โดยไมตอง

ยนยนตวตนกอน [27-4]

ผลกระทบ ผไมประสงคดสามารถประมวลผลค�าสงใดๆ ทเปนค�าสงในระบบ

ปฏบตการของเครองแมขายเปาหมาย ในสทธระดบเดยวกบ

สทธของ Web Server Process ได

ระบบทไดรบผลกระทบ เครองแมขายทตดตง phpMyAdmin ส�าเนาทม Backdoor

ตดตงอย

ขอแนะนำ ในการปองกนและแกไข ปจจบนน เครองแมขายของ Sourceforge ในประเทศเกาหล

ทมปญหาไดถกระงบการใหบรการไปแลว และ Sourceforge

เองไดระบวา โปรแกรม phpMyAdmin รน 3.5.2.2 ทเผยแพร

ผานเครองแมขายเครองอนของ Sourceforge มความมนคง

ปลอดภย สวนผพฒนาโปรแกรม phpMyAdmin กไดระบวา

ส�าหรบผทใชงาน phpMyAdmin รนดงกลาวอย ใหตรวจหา

วามไฟล server_sync.php อยหรอไม หากพบวามไฟลดงกลาว

แสดงวา phpMyAdmin ทใชงานอยเปนส�าเนาทม Backdoor

อย ควรท�าการดาวนโหลดโปรแกรม phpMyAdmin มาตดตง

ใหมโดยดวน [27-5]

อางอง [27-1] http://sourceforge.net/projects/phpmyadmin/

files/

[27-2] http://www.phpmyadmin.net/home_page/li-

cense.php

[27-3] http://sourceforge.net/blog/phpmyadmin-back-door

[27-4] http://arstechnica.com/security/2012/09/

questions-abound-as-malicious-phpmyadmin-

backdoor-found-on-sourceforge-site/

[27-5] http://www.phpmyadmin.net/home_page/

security/PMASA-2012-5.php



ระบบปฏบตการ Android ผไมหวงดสามารถทำ Remote Factory Reset ไดวนทประกำศ: 26 กนยายน 2555


เรอง: ระวงภย ชองโหวในระบบปฏบตการ Android ผไมหวง

ดสามารถท�า Remote Factory Reset ได


ขอมลทวไป USSD หรอ Unstructured Supplementary Service Data

เปนโพรโทคอลทโทรศพทมอถอใชในการสงขอมลเพอตดตอกบ

ผใหบรการในเครอขาย GSM เชน สมครใชบรการเสรม หรอ

ตรวจสอบยอดเงนคงเหลอ เปนตน รปแบบของ USSD โดย

ทวไปจะประกอบดวยเครองหมาย * # และตวเลขผสมกน เชน

*123# เปนตน ในโทรศพทมอถอบางรนจะม USSD เพอใชใน

การเขาถงฟงกชนพเศษของโทรศพท เชน กด *#06# เพอตรวจ

สอบหมายเลข IMEI ของเครอง หรอลบขอมลทงหมดในเครอง

ใหอยในสภาพทออกมาจากโรงงาน (Factory Reset) เปนตน

ซงในบางค�าสง จะท�างานทนททกดตวอกษรสดทายเสรจ โดย

ไมจ�าเปนตองกดปมโทรออกแตอยางใด [3-1]

ในงาน Ekoparty Security Conference นกวจยจาก Tech-

nical University Berlin ไดสาธตชองโหวของ USSD ใน

Galaxy S3 ซงอนญาตใหผไมหวงดสามารถลบขอมลของเครอง

จากระยะไกลได (Remote Factory Reset) สาเหตของชอง

โหวดงกลาวนเกดจาก

1. แอปพลเคชน Dialer (Phone.apk) ของระบบปฏบต

การ Android ซงใชในการโทรศพท จะท�าการเปด URI

ทขนตนดวย tel: โดยอตโนมต แตโดยปกตแลวจะยง

ไมประมวลผลค�าสงดงกลาว

2. โปรแกรม Dialer ของผผลตบางราย (เชน Samsung)

ถกตงคาใหประมวลผล USSD โดยอตโนมต ซงน�าไปส

การประมวลผลค�าสงอนตรายได

3. ค�าสง USSD ทเปนอนตรายตอระบบ เชน การท�า

Factory Reset นนสามารถ

ท�างานไดโดยไมตองมการ

ยนยนจากผใช และผผลต

บางรายมการเปดเผย

ค�าสงดงกลาวนส

สาธารณะ

นกวจยไดสาธต

การเปดเวบไซตท

มแทก <iframe>

ซงภายในบรรจ

โคด USSD ส�าหรบ

ท�า Factory Reset

ของเครอง Galaxy S3

ไว เมอผใชเขาไปยงเวบไซตดงกลาว

เครองกจะท�าการลบขอมลทงหมด

เพอกลบไปสสภาพเดมทออกมาจากโรงงานทนท วดโอสาธต

การโจมตดงกลาวสามารถดไดจาก YouTube [3-2]

ผลกระทบ ผไมหวงดสามารถสงลบขอมลในเครองของเหยอ ดวยการหลอก

ใหเขาไปยงเวบไซตทมค�าสงอนตราย หรอสงค�าสงดงกลาวผาน

ทาง QR Code, NFC หรอ Push Message ได [3-3]

ระบบทไดรบผลกระทบ ปจจบนมรายงานวามเพยงอปกรณทใชงานระบบปฏบตการ

Android ของ Samsung ทใช TouchWiz UI เทานนทมชอง

โหว Remote Factory Reset โดยนอกจาก Galaxy S3 แลว

ผใช Galaxy Beam, Galaxy S Advance, Galaxy Ace, และ

Galaxy S II ไดแจงวามชองโหวดงกลาวดวย และจากขอมลใน

XDA-Developers พบวา โทรศพทมอถอของ HTC กมชอง

โหวดงกลาวนดวยเชนกน แตยงไมมขอมลวาสามารถท�า Fac-

tory Reset ได [3-4]

ส�าหรบเครองทใชระบบปฏบตการ Android ทมาจาก Goog-

le โดยตรง เชน Galaxy Nexus เมอเขาไปยงหนาเวบไซตทม

โคดอนตรายอย จะแสดง USSD ในโปรแกรม Dialer แตจะไม

ประมวลผลค�าสง USSD นนโดยอตโนมต อกทงมผใชงานบาง

รายใหขอมลเพมเตมวา โทรศพทมอถอทถกตดตง TouchWiz

UI มาจากโรงงาน แตน�ามาตดตง Custom Rom ทพฒนามา

จาก Rom ของ Google โดยตรง เชน CyanogenMod นน

ไมมปญหาดงกลาว [3-5]

นอกจากน ยงมรายงานเพมเตมวา แอปพลเคชนประเภท Di-

aler บางตวใน Play Store เชน exDialer มชองโหวประมวล

ผล USSD โดยอตโนมตดวยเชนกน

ขอแนะนำ ในการปองกนและแกไข ยงไมมแถลงการณจาก Samsung เกยวกบชองโหวน แตม

รายงานจากผใช Galaxy S3 ใน Forum ของ XDA-Develop-

ers วา Firmware ลาสดของ Galaxy S3 ไดแกไขปญหานแลว

[3-6] อยางไรกตาม ส�าหรบผใชโทรศพทรนอน ควรตรวจสอบ

ขอมลกบศนยบรการอกครงเพอความมนคงปลอดภย

นาย Dylan Reeve ไดวเคราะหชองโหวดงกลาว และไดท�า หนา

เวบไซตส�าหรบทดสอบชองโหวดงกลาวน โดย หากผใชโทรศพท

มอถอเขาไปยงลงกดงกลาว แลวพบวาแอปพลเคชน Dialer

แสดงหมายเลข IMEI ของเครองขนมา แสดงวาเครองทใชงาน

อยนนมชองโหว

อยางไรกตาม เนองจากสาเหตหลกของชองโหวดงกลาวนเกด

จากแอปพลเคชน Dialer ท�าการประมวลผลค�าสง USSD โดย

อตโนมต วธแกปญหาแบบชวคราวในขณะทยงไมมแพทชมดงน

1. ตดตงแอปพลชน Dialer เพมเตม เพอใชงานแทนแอป

พลเคชนทมากบ Firmware อยางไรกตาม การแกปญหา

ดวยวธน ผใชตองแนใจวาแอปพลเคชนนนจะไมประมวล

ผลค�าสง USSD โดยอตโนมต

2. ตดตงแอปพลชน Dialer เพมเตม แตไมตองตงคาใหใช

โปรแกรมใดเปนคา Default ของเครอง ซงวธการดง

กลาวนจะท�าใหเมอผใชเปดเวบทมโคด tel: อย แลว

โปรแกรมตองการโทรออกหรอประมวลผล USSD จะ

ปรากฎหนาจอใหผใชเลอกวาตองการโทรออกโดยใช

แอปพลเคชนใด ซงผใชสามารถกดยกเลกการโทรออก

ได อยางไรกตาม การใชงานวธนมขอเสยคอจ�าเปนตอง

เลอกโปรแกรมส�าหรบใชโทรออกทกครง [3-7] ดงรปท

รปท 28.รปท 9 (3-1) หนาจอการเลอกโปรแกรมส�าหรบใชโทรออก (ทมา Dylan Reeve)

3. ตดตง Opera Mobile และใชเปนเบราวเซอรหลก

ของเครอง เนองจากจะไมแสดงขอมลใน <iframe>

โดยอตโนมต ดงรปท

รปท 29.รปท 10 (3-2) Opera Mobile ไมแสดงผลขอมลใน <iframe>


อางอง[3-1] http://www.etsi.org/deliver/etsi_gts/02/0290

/05.01.00_60/gsmts_0290v050100p.pdf

[3-2] http://www.youtube.com/watch?v=Q2-0B04HPhs

[3-3] http://www.zdnet.com/samsung-galaxy-s3-vul-

nerable-to-remote-malicious-reset-7000004771/

[3-4] http://forum.xda-developers.com/showthread.

php?t=1904629

[3-5] http://techcrunch.com/2012/09/25/got-touch-

wiz-some-samsung-smartphones-can-be-total-

ly-wiped-by-clicking-a-link/

[3-6] http://forum.xda-developers.com/showpost.

php?p=31998672&postcount=33

[3-7] http://dylanreeve.posterous.com/remote-ussd-at-

tack

28. Adobe ปลอย CRL

ยกเลก Certificate ทถกใช Sign มลแวรวนทประกำศ: 5 ตลาคม 2555


เรอง: Adobe ปลอย CRL ยกเลก Certificate ทถกใช Sign

มลแวร


ขอมลทวไปเมอวนท 27 กนยายน 2555 Adobe ไดประกาศแจงเตอนใน

Blog ของบรษทวาไดคนพบมลแวรทถก Sign โดยใช Digital

Certificate ของ Adobe จากการตรวจสอบพบวามลแวรดง

กลาวนถก Sign โดยเซรฟเวอรทใชส�าหรบ Sign โคดของ

โปรแกรม ซงถกผไมหวงดเขาไปควบคม (Compromised)

[28-1]

ผลกระทบMicrosoft ไดตรวจสอบมลแวรทถก Sign โดยใช Certificate

ของ Adobe โดยระบชอของมลแวรดงกลาวนวา Win32/

Adbposer พรอมใหขอมลเพมเตมวา จดประสงคหลกของผ

สรางมลแวรดงกลาวนคอการหลบเลยงการตรวจจบของ โปรแกรม

แอนตไวรส เนองจากโปรแกรมแอนตไวรสโดยสวนใหญจะถก

ออกแบบมาเพอใหละเวนการ ตรวจสอบโปรแกรมทถก Sign

โดยใช Certificate ของผพฒนาทเชอถอได (Trusted) เชน

Certificate ของ Adobe

ขอมลของมลแวรทพบ มดงน [28-2]PwDump7.exe

SHA1: c615a284e5f3f41cf829bbb939f2503b39349c8d

Signature timestamp: Thursday, July 26, 2012 8:44:40

PM PDT (GMT -7:00)

Detected as PWS:Win32/Adbposer.A

libeay.dll

SHA1: 934543f9ecc28ebefbd202c8e98833c36831ea75

Signature timestamp: Thursday, July 26, 2012 8:44:13

PM PDT (GMT -7:00)

Detected as PWS:Win32/Adbposer.A.dll

myGeeksmail.dll

SHA1: fecb579abfbc74f7ded61169214349d203a34378

Signature timestamp: Wednesday, July 25, 2012 8:48:59

PM (GMT -7:00)

Detected as Trojan:Win32/Adbposer.B

ผใชงานมโอกาสเสยงทจะถกโจมตจากมลแวรทถก Sign โดย

ใช Certificate ดงกลาว เนองจากโปรแกรมโปรแกรมแอนต

ไวรสจะไมตรวจสอบโปรแกรมดงกลาวเพราะเชอ ถอวาไมใช

โปรแกรมทเปนอนตราย

ระบบทไดรบผลกระทบระบบปฏบตการ Windows

ขอแนะนำ ในการปองกนและแกไขเมอวนท 4 ตลาคม 2555 Adobe ไดปลอย Certificate

Revocation List เพอเพกถอน (Revoke) Certificate ของ

ซอฟตแวรทถก Sign หลงจากวนท 10 กรกฎาคม 2555 (00:00

GMT) [28-3] โดยผใชสามารถดาวนโหลด CRL ดงกลาวไดจาก

http://csc3-2010-crl.verisign.com/CSC3-2010.crl

ขอมลของ Certificate ดงกลาวมดงน

• sha1RSA certificate

• Issued to Adobe Systems Incorporated

• Issued by VeriSign Class 3 Code Signing 2010 CA

• Serial Number: 15 e5 ac 0a 48 70 63 71 8e 39

da 52 30 1a 04 88

• sha1 Thumbprint: fd f0 1d d3 f3 7c 66 ac 4c

77 9d 92 62 3c 77 81 4a 07 fe 4c

• Valid from December 14, 2010 5:00 PM PST

(GMT -8:00) to December 14, 2012 4:59:59 PM

PST (GMT -8:00)

การตดตง CRL เขาไปในระบบ ท�าไดโดยการคลกขวาทไฟล

CSC3-2010.crl แลวเลอก Install CRL ดงรปท 30 (28-1)

รปท 30.รปท 30 (28-1) การตดตง CRL

อยางไรกตาม หลงจากการตดตง Certificate ดงกลาวน ระบบ

ปฏบตการจะแจงวาโปรแกรมของ Adobe ทถก Sign โดยใช

Certificate ดงกลาวเปนโปรแกรมทไมนาเชอถอ แตยงสามารถ

ตดตงและใชงานไดตามปกต ซงทาง Adobe จะปลอยอพเดท

ของโปรแกรมดงกลาวทถก Sign โดยใช Certificate ใหมออก

มาในภายหลง

อางอง[28-1] http://blogs.adobe.com/asset/2012/09/inap-

propriate-use-of-adobe-code-signing-certificate.

html

[28-2] http://blogs.technet.com/b/mmpc/ar-

chive/2012/10/03/malware-signed-with-the-

adobe-code-signing-certificate.aspx

[28-3] http://www.adobe.com/support/security/ad-

visories/apsa12-01.html


29. ระวงภย มลแวรใน

Skype ลอคไฟลในเครองวนทประกำศ: 13 ตลาคม 2555


เรอง: ระวงภย มลแวรใน Skype ลอคไฟลในเครอง


ขอมลทวไปGFI Labs หนวยงานทวจยเรองภยคกคามทางคอมพวเตอร ได

รายงานการคนพบมลแวรทเผยแพรผานโปรแกรม Skype

[29-1] โดยผใชจะไดรบขอความพรอมลงกส�าหรบดาวนโหลด

ไฟล ดงรปท 31 (29-1)

รปท 31.รปท 31 (29-1) ขอความและลงกส�าหรบดาวนโหลดมลแวร

เมอผใชคลกทลงกดงกลาว จะน�าไปสการดาวนโหลดไฟล .zip

ซงภายในบรรจไฟล .exe ทมไอคอนของโปรแกรม Skype ดง

รปท 32 (29-2) ซงเปนไฟลของมลแวร

รปท 32.รปท 32 (29-2) ไฟลของมลแวร

ผลกระทบหากผใชสงรนไฟล .exe ดงกลาว มลแวรจะเขารหสลบ (Encrypt)

ไฟลในเครองของผใช และแสดงหนาจอใหผใชจายเงน $200

เพอปลดลอครหสผานของไฟลนนๆ ดงรปท 33 (29-3)

รปท 33.รปท 33 (29-3) หนาจอการปลดลอครหสผาน

ระบบทไดรบผลกระทบระบบปฏบตการ Windows ทตดตงโปรแกรม Skype

ขอแนะนำ ในการปองกนและแกไขหนวยงาน CERT ของประเทศโปแลนด ไดรายงานวามลแวรดง

กลาวเปน Worm ชอ Dorkbot ซงโปรแกรมแอนตไวรสสวน

ใหญสามารถตรวจจบและก�าจดมลแวรนได [29-2]

วธการปองกนตวจากการโจมตดวยวธดงกลาว ผใชไมควรคลก

ลงกทนาสงสย และควรอพเดทฐานขอมลของโปรแกรมแอนต

ไวรสใหเปนเวอรชนลาสดอยเสมอ

หมายเหต: รปประกอบทงหมดจาก GFI Labs

อางอง[29-1] http://www.gfi.com/blog/skype-users-targeted-

with-ransomware-and-click-fraud/

[29-2] http://www.cert.pl/news/6434/langswitch

_lang/en

30. ระวงภย Windows

8 เกบขอมลการ Login ดวย Picture Password เปน Plain Textวนทประกำศ: 13 ตลาคม 2555


เรอง: ระวงภย Windows 8 เกบขอมลการ Login ดวย Picture

Password เปน Plain Text


ขอมลทวไปWindows 8 มความสามารถใหมทเรยกวา Picture Password

ซงเปนการ Login โดยการแตะรปภาพในต�าแหนงทก�าหนด

[30-1] ดงรปท 34 (30-1) ซงผใชสามารถศกษาขอมลเพมเตม

ไดจาก วดโอของ Microsoft

รปท 34.รปท 34 (30-1) ระบบ Picture Password (ทมา Microsoft)

บรษท Passcape ซงพฒนาโปรแกรมรกษาความมนคงปลอดภย

ไดคนพบชองโหวของระบบการ Login ดวยวธดงกลาว [30-2]

โดยสาเหตของชองโหว เกดจากเมอผใชตองการใชงานการ

Login แบบ Picture Password จ�าเปนตองสราง User Account

พรอมตงรหสผานเปนแบบขอความธรรมดากอน จากนนจงจะ

สามารถตงคาการ Login ดวย Picture Password ได แตหลง

จากทผใชตงคาการ Login ดวย Picture Password แลว ระบบ

จะเกบรหสผานทเปนขอความธรรมดานนโดยใชการเขารหสลบ

(Encrypt) แบบ AES ไวใน Windows Vault

Windows Vault เปนความสามารถทถกพฒนาขนมาใน

Windows 7 มจดประสงคเพอใชส�าหรบเกบชอผใชและรหส

ผานเพอใชในการเขาใชงานเซรฟเวอร เวบไซต หรอโปรแกรม

อนๆ โดยอตโนมต [30-3] ดงรปท 35 (30-2)

รปท 35.รปท 35 (30-2) ระบบ Windows Vault ใน Windows 7

ผลกระทบถงแมรหสผานจะถก Encrypt ไว แตผใชในเครองทมสทธของ

ผดแลระบบ (Administrator) กยงสามารถเปดดรหสผานแบบ

Plain Text ของผใชในระบบได ดงรปท 36 (30-3) ซงเปน

โปรแกรม Windows Password Recovery ของบรษท

Passcape

รปท 36.รปท 36 (30-3) โปรแกรม Windows Password Recovery ของบรษท

Passcape (ทมา Passcape)

ระบบทไดรบผลกระทบระบบปฏบตการ Windows 8 ทใชการ Login แบบ Picture

Passwords

ขอแนะนำ ในการปองกนและแกไขบรษท Passcape แนะน�าวา ผใชงาน Windows 8 ไมควรตง

คาการ Login ดวย Picture Password จนกวา Microsoft จะ

ออกแพทชเพอแกไขชองโหวดงกลาว


อางอง[30-1] http://blogs.msdn.com/b/b8/archive/2011/12/16/

signing-in-with-a-picture-password.aspx

[30-2] http://www.passcape.com/index.php?section=

blog&cmd=details&id=27&setLang=2

[30-3] http://www.neowin.net/news/main/09/03/07/

windows-7-exploring-credential-manager-and-win-

dows-vault

31. ระวงภย โปรแกรม

Atomymaxsite รน 2.5 หรอตำ กวา มชองโหวอพโหลดไฟลใดๆ ไดโดยไมมการตรวจสอบวนทประกำศ: 17 ตลาคม 2555


เรอง: ระวงภย โปรแกรม Atomymaxsite รน 2.5 หรอต�ากวา

มชองโหวอพโหลดไฟลใดๆ ไดโดยไมมการตรวจสอบ


ขอมลทวไปโปรแกรม Atomymaxsite เปนโปรแกรมสรางเวบไซตส�าเรจรป

ในรปแบบ CMS ทพฒนาโดยนกพฒนาชาวไทย ปจจบนมผ

พฒนาอย 2 คาย คอ ในเวบไซต Atomymaxsite [31-1] ระบ

วาพฒนาโดยนายชดสกร พกลทอง ผอ�านวยการโรงเรยนบาน

ผอ อ�าเภอชนชม จงหวดมหาสารคาม และผทจะน�าไปใชงาน

จะตองบรจาคเงนจ�านวนหนงผานบญชธนาคารทระบใน เวบไซต

ดงกลาวกอน จงจะไดสทธในการดาวนโหลด โดยมรนลาสดคอ

รน 2.5 และในเวบไซต Maxsite-board [31-2] ระบวาซอฟทแวร

Atomymaxsite เปนซอฟตแวรทแจกจายโดยไมคดมลคา (ตาม

ขอก�าหนด GPL v3) ผาน Google Code [31-3] และมรนของ

ซอฟตแวรทแตกตางกนคอ 2.5.0, 2.5.1 และรนลาสดคอ 2.5.2

ซงคาดวาทงหมด เปนการปรบปรงจากรน 2.5 เดมนนเอง

ในวนท 1 ตลาคม 2555 ไดมผโพสตวดโอในเวบไซต Youtube

โดยใชภาษาตางประเทศทคาดวาจะเปนภาษาอาหรบ แสดงวธ

การโจมตเวบไซตทใชซอฟตแวร Atomymaxsite รน 2.5 โดย

อาศยชองโหว Arbitrary file upload ของโมดลทใชเผยแพร

ผลงานวชาการ ซงชองโหวนท�าใหผไมประสงคดสามารถอพโหลด

ไฟลใดๆ เขาสเครองแมขายไดโดยไมมการตรวจสอบชนดของ

แฟมทอพโหลดแตอยาง ใด และไมตองท�าการยนยนตวตนกอน

ผลกระทบผไมประสงคดสามารถอพโหลดแฟมขอมลประเภท PHP Shell

หรอแฟม PHP ทมค�าสงไมพงประสงคเขาไปในเครองแมขาย

เปาหมาย และสามารถเรยกใชงานค�าสงดงกลาว ในสทธระดบ

เดยวกบสทธของ Web Server Process ได

ระบบทไดรบผลกระทบเครองแมขายทตดตง Atomymaxsite รน 2.5 หรอต�ากวา

ขอแนะนำ ในการปองกนและแกไขจากการตรวจสอบขอมลเบองตนจาก Source Code ของซอฟตแวร Atomymaxsite รน 2.5.0 และ 2.5.2 ทดาวนโหลดมาจาก Google code พบวามการเพมการตรวจสอบชนดของแฟมขอมลทผใชงานอพโหลดในโมดลท เปนปญหาดงกลาวแลว โดยก�าหนดใหแฟมขอมลทสามารถอพโหลดไดเปนชนด pdf, zip, doc, docx, ppt, pptx, xls, และ xlsx เทานน ตงแตรน 2.5.0 และมการเพมการปองกนการเรยกใชแฟมทไมใชรปภาพจากโฟลเดอร /data ซงใชเกบแฟมทอพโหลดเขาเวบไซต โดยใชวธการเพมแฟม .htaccess ในโฟลเดอรดงกลาว ท�าให At-omymaxsite รนทมการแจกจายผาน Google code ไมมผลกระทบจากชองโหวดงกลาว ผใชงาน Atomymaxsite รน 2.5 หรอต�ากวา จงควรเปลยนไปใชงานรนทไมไดรบผลกระทบตามทไดกลาวขางตน

ในวนท 18 ตลาคม 2555 ผพฒนาโปรแกรม Atomymaxsite รน 2.5 [31-4] ไดมการแจงขอมลการอพเดทซอฟตแวรเพอแกไขชองโหวดงกลาว [31-5][31-6] ซงผใชงานควรรบด�าเนนการตรวจสอบการปรบปรงซอฟตแวรดงกลาวเพอปองกนการถกโจมต หรอหากยงไมแนใจวาเวบไซตของทานใชงานซอฟตแวรรนทมชองโหวดงกลาวหรอไม รวมถงในกรณททานตองการสอบถามขอมลเพมเตม ทางไทยเซรตแนะน�าใหทานปรกษากบเวบไซตผพฒนาซอฟตแวรททานดาวโหลดมาตดตงโดยตรง เพอปองกนความผดพลาดจากการอพเดทซอฟตแวรทผดวธ ซงอาจ

ท�าใหเวบไซตของทานไมสามารถเรยกใชงานได

อางอง[31-1] http://maxtom.sytes.net

[31-2] http://board.maxsitepro.com/

[31-3] http://code.google.com/p/atommy-maxsite-2-5/

[31-4] http://maxtom.sytes.net

[31-5] http://maxtom.sytes.net/?name=webboard&

file=read&id=798

[31-6] http://maxtom.sytes.net/?name=webboard&

file=read&id=764

32. ระวงภย ชป Wifi

ของ Broadcom รน BCM4325 และ BCM4329 มชองโหว DoSวนทประกำศ: 25 ตลาคม 2555


เรอง: ระวงภย ชป Wifi ของ Broadcom รน BCM4325 และ

BCM4329 มชองโหว DoS


ขอมลทวไปศนยวจยดานความมนคงปลอดภยของ Core Security Tech-

nologies ไดคนพบชองโหวในชป Wifi ของ Broadcom รน

BCM4325 และ BCM4329 ซงชปทง 2 รนนถกน�าไปใชโทรศพท

มอถอ แทบเลต หรอแมกระทงรถยนต สาเหตของชองโหวดง

กลาวเกดจากเฟรมแวรของตวชปไมมการตรวจสอบขอมลทได

รบเขามา

ผลกระทบผไมหวงดสามารถสงขอมลบางอยางมาทเครองของเหยอเพอ

สงใหชป Wifi หยดท�างาน (Denial of Service) หรออาจสง

ใหชปไปอานขอมลในสวนทการท�างานปกตไมสามารถอานได

(Information Disclosure) ปจจบนม Proof of Concept

Code ส�าหรบโจมตผานชองโหวดงกลาวเผยแพรสสาธารณะ

แลว [32-1]

ระบบทไดรบผลกระทบโทรศพทมอถอ, แทบเลต และอปกรณทใชชป Wifi ของ

Broadcom รน BCM4325 หรอ BCM4329 ดงน

• BCM4325

o Apple iPhone 3GS

o Apple iPod 2G


o HTC Touch Pro 2

o HTC Droid Incredible

o Samsung Spica

o Acer Liquid

o Motorola Devour

o รถยนต Ford Edge

• BCM4329

o Apple iPhone 4

o Apple iPhone 4 Verizon

o Apple iPod 3G

o Apple iPad Wi-Fi

o Apple iPad 3G

o Apple iPad 2

o Apple TV 2G

o Motorola Xoom

o Motorola Droid X2

o Motorola Atrix

o Samsung Galaxy Tab

o Samsung Galaxy S 4G

o Samsung Nexus S

o Samsung Stratosphere

o Samsung Fascinate

o HTC Nexus One

o HTC Evo 4G

o HTC ThunderBolt

o HTC Droid Incredible 2

o LG Revolution

o Sony Ericsson Xperia Play

o Pantech Breakout

o Nokia Lumina 800

o Kyocera Echo

o Asus Transformer Prime

o Malata ZPad

ขอแนะนำ ในการปองกนและแกไขบรษท Broadcom ไดทราบถงปญหานแลว และไดชแจงวาชป

จะหยดการท�างานในระหวางทผโจมตสงค�าสงอนตรายมา ยง

ตวชป และจะกลบมาท�างานไดตามปกตเมอผโจมตยกเลกค�า

สงนน อยางไรกตาม ในระหวางทตวชปถกขดขวางการท�างาน

นน ระบบอนๆ ของโทรศพทมอถอหรอแทบเลตยงสามารถ

ท�างานไดตามปกต และการขดขวางการท�างานของชป Wifi

ไมมผลตอความมนคงปลอดภยของขอมลของผใชงาน [32-2]

ทาง Broadcom ไดเผยแพรแพทชส�าหรบแกไขชองโหวของ

ปญหานแลว อยางไรกตาม ผใชงานโทรศพทมอถอ แทบเลต

หรออปกรณทใชชป Wifi ดงกลาวอาจตองรอซอฟตแวรอพเดท

จากผผลตอปกรณนนๆ

อางอง[32-1] http://www.coresecurity.com/content/broad-

com-input-validation-BCM4325-BCM4329

[32-2] http://www.zdnet.com/wi-fi-chips-in-phones-

tablets-vulnerable-to-dos-attack-7000006352/

33. ระวงภย ชองโหว

Use-after-free ใน Mozilla Firefox/Thunderbird เวอรชนตำ กวา 17.0วนทประกำศ: 28 พฤศจกายน 2555

ปรบปรงลำสด: 28 พฤศจกายน 2555

เรอง: ระวงภย ชองโหว Use-after-free ใน Mozilla Firefox/

Thunderbird เวอรชนต�ากวา 17.0

ประเภทภยคกคำม: Malicious Code, Denial-of-Service

ขอมลทวไปบรษท VUPEN Secu-

rity ไดรายงานชอง

โหวในโปรแกรม

Mozilla Firefox,

Mozilla Thun-

derbird และ

Mozilla Sea-

Monkey [33-1]

โดยชองโหวดงกลาว

นเกดจากขอผดพลาด

Use-after-free (เรยก

ใชงานขอมลทถกลบออกจาก

หนวยความจ�าไปแลว) ในฟงกชน DocumentViewerImpl::-

Show()

ผลกระทบผไมหวงดสามารถสงประมวลผลค�าสงอนตรายจากระยะไกลท

เครองของเหยอ หลงจากทเหยอเขาไปยงเวบไซตอนตรายทม

โคดการโจมตผานชองโหวดงกลาวอย

ระบบทไดรบผลกระทบ

• Mozilla Firefox เวอรชนตำกวา 17.0

• Mozilla Firefox ESR เวอรชนต�ากวา 10.0.11

• Mozilla Thunderbird เวอรชนต�ากวา 17.0

• Mozilla Thunderbird ESR เวอรชนต�ากวา 10.0.11

• Mozilla SeaMonkey เวอรชนต�ากวา to 2.14

หมายเหต: Mozilla Firefox ESR และ Mozilla Thunderbird

ESR เปนเวอรชนทจะไดรบการสนบสนนทางเทคนคยาวนาน

กวาเวอรชนปกต (Extended Support Release) ส�าหรบใช

ในหนวยงานหรอองคกรทตองมการดแลระบบจ�านวนมาก

[33-2]

ขอแนะน�าในการปองกนและแกไข

ผใชงานโปรแกรมทไดรบผลกระทบจากชองโหวดงกลาว ควร

อพเดตโปรแกรมใหเปนเวอรชนลาสด

อางอง[33-1] http://seclists.org/bugtraq/2012/Nov/93

[33-2] http://www.mozilla.org/en-US/firefox/

organizations/


34. ระวงภย ไดรเวอร

เครองพมพของ Samsung และ Dell ม Backdoor Administrator Accountวนทประกำศ: 28 พฤศจกายน 2555

ปรบปรงลำสด: 28 พฤศจกายน 2555

เรอง: ระวงภย ไดรเวอรเครองพมพของ Samsung และ Dell

ม Backdoor Administrator Account


ขอมลทวไปUS-CERT แจงเตอนวามการ hard-coded รหสผานของผใช

งานทมสทธ Administrator ไวในไดรเวอรเครองพมพของ

Samsung และเครองพมพของ Dell รนทผลตโดย Samsung

ชองโหวดงกลาวนสงผลใหผไมหวงดสามารถเชอมตอเขามาท

เครองพมพผานโพรโทคอล SNMP ได ถงแมจะมการปดการ

ท�างานของ SNMP ใน Printer management utility แลว

กตาม [34-1]

ผลกระทบผไมหวงดสามารถเชอมตอจากระยะไกลเพอเขามาควบคม

เครองพมพเหลาน ไดโดยไดรบสทธของ Administrator ซง

ท�าใหสามารถแกไขคาการท�างาน ดขอมลส�าคญทเปนความลบ

(เชน การตงคาการเชอมตอระบบเครอขาย หรอขอมลตางๆ ท

ถกสงเขามายงเครองพมพ ซงอาจเปนการสงพมพเอกสารทเปน

ความลบ) นอกจากนยงสามารถสงใหเครองพมพดงกลาวประมวล

ผลค�าสงทเปนอนตรายจากระยะไกลได (Remote code ex-

ecution)

ระบบทไดรบผลกระทบเครองพมพของ Samsung และ Dell ทวางจ�าหนายกอนวนท

31 ตลาคม 2555

ขอแนะนำ ในการปองกนและแกไขSamsung แจงวาเครองพมพทจดจ�าหนายหลงจากวนท 31

ตลาคม 2555 ไดแกไขปญหาดงกลาวแลว และจะเผยแพรแพทช

ส�าหรบแกไขปญหาในเครองพมพรนกอนหนาภายในปน

ระหวางทรอแพทช ผใชงานสามารถตงคาการเชอมตอให

เครองพมพสามารถเชอมตอไดจากเครอขายภายในเทานน รวม

ถงบลอกการเชอมตอแบบ SNMP จากเครอขายภายนอก

อางอง [34-1] http://www.kb.cert.org/vuls/id/281284

35. ระวงภย Instagram

3.1.2 ใน iOS มชองโหวสวมรอยบญชผใชวนทประกำศ: 4 ธนวาคม 2555


เรอง: ระวงภย Instagram 3.1.2 ใน iOS มชองโหวสวมรอย

บญชผใช


ขอมลทวไปนกวจยคนพบชองโหวในแอปพลเคชน Instagram เวอรชน

3.1.2 ทเผยแพรเมอวนท 23 ตลาคม 2555 โดยพบวาแอปพล

เคชนดงกลาวสงขอมลการเขาสระบบหรอการแกไขขอมลของ

ผใชผานโพรโทคอล HTTPS แตขอมลในสวนของการใชงานอนๆ

นนสงผานโพรโทคอล HTTP

โดยไมมการปองกน [35-1]

ผลกระทบหากผใชงาน Instagram

เชอมตอเขากบเครอขาย

Wifi สาธารณะ อาจถกผ

ไมหวงดใชโปรแกรม

ประเภท Sniffer ในการ

ดกรบขอมล หรออาจถกผไมหวงดโจมตดวยวธ Man-in-the-

Middle เพอดกจบ Cookie และสวมรอยบญชผใช รวมถงอาจ

ลบภาพของผใชงานได [35-2] ดงรปท 37 (35-1)

รปท 37. รปท 37 (35-1) ตวอยางการดกรบขอมล Cookie ของ

Instagram (ทมา reventlov.com)

ระบบทไดรบผลกระทบInstagram 3.1.2 ใน iOS

ขอแนะนำ ในการปองกนและแกไขนกวจยไดแจงชองโหวนใหทาง Instagram ทราบแลว ในระหวาง

ท Instagram ก�าลงแกไขชองโหวดงกลาว ผใชงาน iOS ไมควร

เปดใชงาน Instagram ในขณะทเชอมตอกบเครอขาย Wifi

สาธารณะเพราะอาจถกสวมรอยบญชผใชได ควรใชการเชอม

ตอผาน Cellular Network เพอความมนคงปลอดภย

อางอง [35-1] http://reventlov.com/advisories/instagram-plain-

text-media-disclosure-issue

[35-2] http://reventlov.com/advisories/instagram-ses-

sion-riding-vulnerability


36. ระวงภย แฮกเกอรเผย

5 ชองโหว 0-Day ใน MySQLวนทประกำศ: 4 ธนวาคม 2555


เรอง: ระวงภย แฮกเกอรเผย 5 ชองโหว 0-Day ใน MySQL

ประเภทภยคกคำม: Intrusion, Denial of Service

ขอมลทวไปแฮกเกอรทใชนามแฝงวา Kingcope ไดเผยแพรชองโหว 0-Day

ของโปรแกรม MySQL ในระบบกระดานขาวของเวบไซต Full

Disclosure โดยมทงหมด 5 ชองโหวดงน [36-1]

1. CVE-2012-5611 — MySQL (Linux) Stack based

buffer overrun PoC Zeroday

o Stack-based buffer overflow อนญาตใหผใชท

ไดรบสทธในการเขาถงระบบ สามารถสงประมวล

ผลค�าสงอนตรายจากระยะไกล (Remote code

execution) เพอไดรบสทธของค�าสง GRANT FILE

2. CVE-2012-5612 — MySQL (Linux) Heap Based

Overrun PoC Zeroday

o Heap-based buffer overflow อนญาตใหผใชท

ไดรบสทธในการเขาถงระบบสามารถท�า Denial of

Service (Memory corruption และ Crash) และ

อาจสงประมวลผลค�าสงอนตรายจากระยะไกลได

เชนค�าสง (1) USE, (2) SHOW TABLES, (3) DE-

SCRIBE, (4) SHOW FIELDS FROM, (5) SHOW

COLUMNS FROM, (6) SHOW INDEX FROM,

(7) CREATE TABLE, (8) DROP TABLE, (9) ALTER

TABLE, (10) DELETE FROM, (11) UPDATE, และ

(12) SET PASSWORD

3. CVE-2012-5613 — MySQL (Linux) Database

Privilege Elevation Zeroday Exploit

o ในกรณทมการตงคาระบบใหสทธของค�าสง FILE

แกผใชงานทไมมสทธของผดแลระบบ ท�าใหผใชงาน

ดงกลาวสามารถยกระดบสทธของตวเองโดยการ

สรางไฟลผานค�าสง FILE โดยไฟลดงกลาวจะมสทธ

เทยบเทากบไฟลทสรางโดย MySQL administra-

tor อยางไรกตาม ผพฒนาไดชแจงวาชองโหวดง

กลาวนเกดจากความผดพลาดของผดแลระบบ ท

ไมปฏบตตามค�าแนะน�าวธการทถกตองในการตด

ตงระบบ ซงอาจพจารณาน�าชองโหวดงกลาวนออก

จากรายการ CVE ในภายหลง

4. CVE-2012-5614 — MySQL Denial of Service

Zeroday PoC

o ผใชทไดรบสทธในการเขาถงระบบสามารถท�า De-

nial of Service (Mysqld crash) โดยการใชค�า

สง SELECT คกบค�าสง UpdateXML ทมขอมล

XML ประกอบดวย element ประเภท unique

และ nested จ�านวนมาก

5. CVE-2012-5615 — MySQL Remote Preauth User

Enumeration Zeroday

o สราง Error message โดยใช Time delay ตาม

Username ทมอยในระบบ ซงท�าใหผไมหวงด

สามารถรรายชอ Username ทมอยในระบบได

ทง 5 ชองโหวนม Proof of Concept Code เผยแพรออก

สสาธารณะแลว

ผลกระทบระบบทใชงาน MySQL เวอรชนทมชองโหวดงกลาวอาจถกผ

ไมหวงดเขาถงขอมลส�าคญ เปลยนแปลงขอมลในฐานขอมล

หรออาจถกโจมตจนระบบไมสามารถใหบรการตอได (Denial

of Service)

ระบบทไดรบผลกระทบ1. CVE-2012-5611

o MySQL 5.5.19, 5.1.53 และอาจจะมในเวอรชน

อนดวย

o MariaDB 5.5.2.x กอน 5.5.28a, 5.3.x กอน 5.3.11,

5.2.x กอน 5.2.13 และ 5.1.x กอน 5.1.66

2. CVE-2012-5612

o MySQL 5.5.19 และอาจจะมในเวอรชนอนดวย

o MariaDB 5.5.28a และอาจจะมในเวอรชนอนดวย

3. CVE-2012-5613



4. CVE-2012-5614



5. CVE-2012-5615


o MariaDB 5.5.28a, 5.3.11, 5.2.13, 5.1.66 และ

อาจจะมในเวอรชนอนดวย

ขอแนะนำ ในการปองกนและแกไขทมพฒนาของ MariaDB ซงเปน MySQL เวอรชนทแยกไป

พฒนาตอ (Fork) โดยนกพฒนาภายนอก ไดแกไขชอง

โหวดงกลาวนในโปรแกรม MariaDB เวอรชน

ลาสดแลว ผใชงาน MariaDB สามารถ

ดาวนโหลดเวอรชน 5.5.28a, 5.3.11, 5.2.13

และ 5.1.66 ไปตดตงได [36-2] พรอมกนน

ทาง MariaDB ไดชแจงวาชองโหว

CVE-2012-5631 นนไมใชขอผดพลาด

ของโปรแกรมแตเปนขอผดพลาดของ

การตงคาระบบ และไดใหขอมลเพมเตมวาชองโหว

CVE-2012-5615 นนมการคนพบมานานกวา 10 ปแลว

อยางไรกตาม ทาง Oracle ผพฒนาโปรแกรม MySQL ยงไมม

แถลงการณใดๆ เกยวกบชองโหวดงกลาว ผใชงาน MySQL

ควรตดตามขาวสารอยางตอเนองเพอหาวธปองกนและแกไข

ปญหาตอไป

อางอง[36-1] http://www.zdnet.com/vulnerabilities-threat-

en-to-crash-mysql-databases-7000008194/

[36-2] http://openquery.com/blog/mariadb-securi-

ty-updates


Joomla Content Editor อาจถกฝงมลแวรในเวบไซตวนทประกำศ: 14 ธนวาคม 2555


เรอง: ระวงภย ชองโหวใน Joomla Content Editor อาจถก

ฝงมลแวรในเวบไซต

ประเภทภยคกคำม: Intrusion, Malicious Code

ขอมลทวไปเมอวนท 12 ธนวาคม 2555 หนวยงาน Internet Storm

Center (ISC) แจงวาไดรบรายงานเวบไซตจ�านวนมากถกเจาะ

ระบบและถกฝงมลแวรลงในหนาเวบไซต ซงโดยสวนใหญ

เวบไซตเหลานนใช Joomla เปนเครองมอในการจดการ

เนอหา (CMS) [37-1] พรอมกนน หนวยงาน CERT-

Bund จากประเทศเยอรมนไดยนยนวาพบการโจมต

ดงกลาวบนเซรฟเวอรทใชงาน Joomla ในประเทศ

เยอรมนดวย

ตวแทนจากหนวยงาน CERT-Bund ไดใหขอมลเพม

เตมวา เวบไซตทถกแฮกนนถกใชเพอเผยแพร

ซอฟตแวรแอนตไวรสปลอม โดยโคดอนตราย

ดงกลาวถกฝงอยในแทก iframe [37-2]

เวบไซต Joomla-Downloads ประเทศ

เยอรมนไดชแจงวา หลายๆ เวบไซตนนถกแฮก

โดยใชสครปตทเรยกวา “Bot/0.1 (Bot for JCE)” ทโจมตผาน

ชองโหวของ Joomla Content Editor ซงสครปตดงกลาวจะ

ใสไฟล .gif เขามาเซรฟเวอร จากนนเปลยนชอไฟลดงกลาวเปน

story.php ซงเปน PHP Shell เพอใชในการแทรกโคด iframe

ลงในไฟล JavaScript สองไฟลคอ /media/system/js/

mootools.js หรอ /media/system/js/caption.js [37-3]

ผลกระทบเวบไซตทถกแฮกอาจถกแทรกโคดอนตรายในแทก iframe เพอ


เผยแพรมลแวร หรออาจถกผไมหวงดควบคบเพอใชในทางทไม

เหมาะสมได

ระบบทไดรบผลกระทบเวบไซตทใชงาน Joomla ทมคอมโพเนนต Joomla Content

Editor เวอรชนเกากวา 2.0.11 ตวอยางหนาจอ Joomla

Content Editor เปนดงรปท 38 (37-1)

รปท 38.รปท 38 (37-1) หนาจอ Joomla Content Editor [37-4]

ขอแนะน�าในการปองกนและแกไขผดแลเวบไซตทใชงาน Joomla ควรตรวจสอบวาไดมการตด

ตง Joomla Content Editor อยในระบบหรอไม หากตดตง

อยควรอพเดทเปนเวอรชนลาสด [37-4] หากพบวาก�าลงใชงาน

JCE เวอรชนเกากวา 2.0.11 อย ควรตรวจสอบไฟล JavaScipt

วาถกฝง iframe หรอไม และควรตรวจสอบไฟล PHP Backdoor

ซงจะอยท /images/stories/story.php หากพบไฟลดงกลาว

ควรลบออกจากระบบโดยเรว

อางอง[37-1] https://isc.sans.edu/diary/Joomla+and+Word-

Press+Bulk+Exploit+Going+on/14677

[37-2] http://www.h-online.com/security/news/item/Joomla-sites-misused-to-deploy-malware-1766841.html

[37-3] http://www.joomla-downloads.de/blick-ueber-den-tellerrand/1998-alte-versionen-des-jce-sind-ziel-von-massenhacks.html

[37-4] http://www.joomlacontenteditor.net/


Samsung Galaxy (S2, S3, Note, Note2) สามารถ root หรอทำ เครอง Brick ไดวนทประกำศ: 17 ธนวาคม 2555


เรอง: ระวงภย ชองโหวใน Samsung Galaxy (S2, S3, Note,

Note2) สามารถ root หรอท�าเครอง Brick ได

ประเภทภยคกคำม: Intrusion, Malicious Code

ขอมลทวไปนกพฒนาชอ alephzain ไดโพสตใน Forum ของเวบไซต

xda-developers วาไดคนพบชองโหวใน Kernel ของโทรศพท

มอถอ Samsung Galaxy S3 และโทรศพทมอถอเครองอนๆ

ทใชชป Exynos ของ Samsung สาเหตของชองโหวดงกลาว

เกดจากไฟล /dev/exynos-mem นนถกตงคา Permission

เปน R/W ท�าใหผใชหรอแอปพลเคชนใดๆ กตามสามารถเขา

ถงหนวยความจ�าไดโดยตรง (Direct memory access) ผาน

ไฟลดงกลาว หรอผานไลบรารทเรยกใชงานไฟลดงกลาว ซง

ประกอบดวย 3 ไฟลคอ

• /system/lib/hw/camera.smdk4x12.so

• /system/lib/hw/gralloc.smdk4x12.so

• /system/lib/libhdmi.so

ซงไฟลไลบรารดงกลาว ใชส�าหรบการควบคมกลอง ควบคมการ

แสดงผลดานกราฟฟก หรอใชส�าหรบแสดงผลผานพอรต HDMI

ซงนกพฒนาพบวาแอปพลเคชนของ Samsung นนมการเรยก

ใชไฟลไลบรารดงกลาว [38-1]

นกพฒนาชอ Chainfire ไดสรางแอปพลเคชนเพอทดสอบการ

โจมตผานชองโหวดงกลาว โดยแอปพลเคชนทพฒนานนชอวา

ExynosAbuse เมอสงใหท�างาน แอปพลเคชนดงกลาวจะได

สทธของ root และตดตงโปรแกรม SuperSU เพอใชมอบสทธ

ของ root ใหกบแอปพลเคชนอนตอไป

ผลกระทบผไมหวงดสามารถสรางแอปพลเคชนทสามารถเขาถงขอมลของ

ผใช ลบขอมลทงหมดในเครอง หรอท�าใหเครอง Brick ได [38-2]

ระบบทไดรบผลกระทบ• Samsung Galaxy S2 GT-I9100

• Samsung Galaxy S3 GT-I9300

• Samsung Galaxy S3 LTE GT-I9305

• Samsung Galaxy Note GT-N7000

• Samsung Galaxy Note 2 GT-N7100

• Verizon Galaxy Note 2 SCH-I605 (with locked

bootloaders)

• Samsung Galaxy Note 10.1 GT-N8000

• Samsung Galaxy Note 10.1 GT-N8010

ขอแนะนำ ในการปองกนและแกไขนกพฒนาพบวา การแกไขคา Permission ของไฟลทเกยวของ

กบ Kernel สามารถปองกนปญหาดงกลาวได โดยแอปพลเคชน

ExynosAbuse เวอรชน 1.10

นนนอกจากจะใช root เครอง

ไดแลวยงสามารถแกไข Permis-

sion ของไฟลเพอปดชองโหวดง

กลาวได อยางไรกตาม การกระ

ท�าดงกลาวสงผลตอการใชงาน

แอปพลเคชนของ Samsung

เชน กลองถายรปจะไมสามารถ

ใชงานได [38-3] ดงรปท 39

(38-1) อยางไรกตามผใชยง

สามารถสลบใหเปดชองโหวไว

เพอใชงานกลองได

รปท 39.รปท 39 (38-1) กลองถายรปไมสามารถใชงานไดหลงการแกไข Permission

ของไฟล

นกพฒนาไดแจงชองโหวดงกลาวนใหทาง Samsung ทราบแลว

แตในขณะนยงไมมประกาศอยางเปนทางการจาก Samsung

ผใชงานโทรศพทมอถอทไดรบผลกระทบจากชองโหวดงกลาว

ไมควรตดตง แอปพลเคชนทไมนาเชอถอ รวมทงตดตามขาวสาร

และการอพเดทระบบปฏบตการอยเสมอ

อางอง[38-1] http://forum.xda-developers.com/showthread.

php?p=35469999

[38-2] http://thenextweb.com/mobile/2012/12/16/

new-exploit-could-give-android-malware-apps-

access-to-user-data-on-samsung-gs-iii-other-

devices/

[38-3] http://forum.xda-developers.com/showthread.

php?t=2050297

62 | Cyber Threat Alerts - 2012

ËÇÑ§Ç‹Ò¨Ðä´Œ¹Ð¤ÃÑº

¤ÇÒÁÃÙŒ¡Ñ¹äÁ‹ÁÒ¡¡ç¹ŒÍÂ

Technology

Cyber threat alerts 2012