Post on 06-Jul-2020
cover
ᨌ§àµ×͹áÅТŒÍá¹Ð¹Ó
â´Â
CYBERTHREAT ALERTS
2012
บทความ CYBER THREAT ALERTS 2012 โดย ThaiCERT
ชอเรอง บทความ CYBER THREAT ALERTS 2012
โดย ThaiCERT
เรยบเรยงโดย ทมไทยเซรต
เลข ISBN 978-974-9765-43-2
พมพครงท 1 มกราคม 2556
พมพจ�ำนวน 500 เลม
รำคำ 150 บาท
สงวนลขสทธตามพระราชบญญตลขสทธ พ.ศ. 2537
จดพมพและเผยแพรโดยศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร
ประเทศไทย (Thailand Computer Emergency Response Team)
ส�านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ. เลข
ท 120 หม 3 ศนยราชการเฉลมพระเกยรต 80 พรรษา 5 ธนวาคม 2550 ถนน
แจงวฒนะ แขวงทงสองหอง เขตหลกส กรงเทพฯ 10210
โทรศพท 0-2142-2483
โทรสาร 0-2143-8071
เวบไซตไทยเซรต www.thaicert.or.th
เวบไซต สพธอ. www.etda.or.th
เวบไซตกระทรวงฯ www.mict.go.th
คำ นำ ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย
หรอไทยเซรต ไดเรมด�าเนนการภายใต ส�านกงานพฒนาธรกรรมทางอเลกทรอนกส
(องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและการสอสาร มาตงแต
วนท 1 กรกฎาคม พ.ศ. 2554 โดยใหบรการรบมอ วเคราะห และด�าเนนการ
ประสานงานเพอแกไขปญหาภยคกคามดานสารสนเทศ
ไทยเซรตมพนธกจเชงรกในการเพมขดความสามารถของทรพยากรบคคล
ดานการรกษาความมนคงปลอดภยสารสนเทศ และมกจกรรมสรางความตระหนก
และพฒนาทกษะความรตางๆ เชน การซกซอมรบมอภยคกคามดานสารสนเทศ
และการแลกเปลยนและเผยแพรขอมลขาวสารเกยวกบภยคกคามดานสารสนเทศ
หนงสอเลมนเปนรวบรวมบทความประเภทแจงเตอนและขอแนะน�าทได
เผยแพรผานเวบไซตของไทยเซรต (www.thaicert.or.th) ในชวงระยะเวลา
วนท 1 ธนวาคม 2554 - 31 ธนวาคม พ.ศ. 2555 ซงทมไทยเซรตไดตดตาม
ขาวสารจากแหลงขาวดานความมนคงปลอดภยระบบคอมพวเตอรตาง ๆ ทว
โลก และกลนกรองเหตการณทอาจสงผลกระทบตอคนไทยมาเผยแพร จงท�าให
บทความประเภทการแจงเตอนและขอแนะน�านนมเนอหาทหลากหลาย เชน
การแจงเตอนชองโหวของโปรแกรมทมการใชงานอยางแพรหลายในประเทศไทย
ไมวาจะเปนโปรแกรมจากบรษท Adobe หรอโปรแกรมตาง ๆ ทตดตงในระบบ
ปฏบตการ Windows การแจงเตอนจากเหตการณทอาจสงผลกระทบตอคน
ไทย เชน เหตการณทเวบไซต Social Media ชอดงอยาง LinkedIn ซงมคน
ไทยเปนสมาชกอยกวา 250,000 คน ถกแฮก ท�าใหรหสผานของบญชผใชหลด
ออกมากวา 6.5 ลานบญช เปนตน ดงนนผจดท�าจงหวงเปนอยางยงวาหนงสอ
เลมน จะมสวนชวยในการสรางภมคมกนใหกบสงคมออนไลนของประเทศไทย
สรางคณา วายภาพ
ผอ�านวยการส�านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
สารบญค�ำน�ำ ................................................................................................................................................................................. 7
สำรบญ.............................................................................................................................................................................. 8
สำรบญรป ....................................................................................................................................................................... 10
บทควำมประเภทแจงเตอนและขอแนะน�ำ ....................................................................................................................... 12
1. ระวงภย ชองโหว 0-day ใน Adobe Reader และ Adobe Acrobat (CVE-2011-2462) ..................................................13
2. ระวงภย ชองโหว Serv-U File Server ท�าใหผใชเขาถงขอมลโดยไมไดรบอนญาต ...............................................................14
3. ระวงภย ชองโหว 0-day ใน Adobe Flash Player (CVE-2011-4693, CVE-2011-4694) ................................................15
4. ระวงภยการโจมตผใช Facebook ผานปลกอนปลอมของ YouTube ...................................................................................17
5. ระวงภย ชองโหวระดบ Kernel ใน Windows 64 bit ท�าใหเกด Memory Corruption ....................................................19
6. ระวงภย ชอง โหวใน Linux Kernel 2.6.39 เปนตนไป ท�าใหผโจมตไดสทธของ root ........................................................20
7. ระวงภย Symantec ถกแฮกเกอรขโมย Source code เตอนลกคาระวงการโจมต 0-day .................................................22
8. Microsoft เตอนผใช Windows ตดตงแพทชแกไขชองโหว CVE-2012-0002 โดยดวน ......................................................23
9. Oracle เผลอปลอยโคดทใชทดสอบการ DoS โปรแกรม MySQL ........................................................................................24
10. FBI เตรยมปดเซรฟเวอร DNS Changer ในวนท 9 ก.ค. 2555 เครองคอมพวเตอรทตดมลแวรจะไมสามารถ
ใชงานอนเทอรเนตได ..................................................................................................................................................................25
11. ชองโหว TNS listener ใน Oracle Database (CVE-2012-1675) ....................................................................................27
12. LinkedIn ถกแฮก รหสผานหลดกวา 6.5 ลานชอ ...............................................................................................................29
13. ระวงภย ชองโหวใน MySQL/MariaDB อนญาตใหลอกอนไดโดยไมตองรรหสผาน ............................................................30
14. ระวงภย ชองโหว OpenType Font อาจท�าเครอง จอฟา.................................................................................................31
15. ระวงภย ชองโหว Remote Code Execution ใน Microsoft XML Core Service (CVE-2012-1889) ..........................32
16. ระวงภย ชองโหว Remote Code Execution ใน Internet Explorer (CVE2012-1875) ...............................................33
17. ระวงภย ชองโหว Remote Code Execution ใน Windows Sidebar/Gadget ..............................................................34
18. ระวงภย โทรจน GetShell.A ท�างานไดทงบน Windows, Mac และ Linux .....................................................................36
19. Yahoo! Contributor Network ถกเจาะ บญชผใช 453,492 รายหลดเปน plaintext .....................................................37
20. ระวงภย ชองโหวในซอฟตแวร Uplay ของ Ubisoft แฮกเกอรสามารถสงเปดโปรแกรมในเครองเหยอได .........................39
21. นกวจยสาธตมลแวรทตดในเฟรมแวร EFI ของเครอง Mac .................................................................................................40
22. ระวงภย ชองโหว CVE-2012-4681 ใน Java 7 ..................................................................................................................42
23. ระวงภย Foxit Reader เวอรชนเกากวา 5.4 มชองโหว DLL hijacking ............................................................................43
24. Blizzard Entertainment ถกเจาะระบบ ผใชงานควรเปลยนรหสผานโดยดวน ....................................................................44
25. ระวงภย ชองโหวใน Internet Explorer ผโจมตสามารถท�า Remote Code Execution ได (CVE-2012-4969) ............46
26. ระวงภย โปรแกรม phpMyAdmin รน 3.5.2.2 อาจม Backdoor ฝงอย (CVE-2012-5159) ...........................................47
27. ระวงภย ชองโหวในระบบปฏบตการ Android ผไมหวงดสามารถท�า Remote Factory Reset ได .................................48
28. Adobe ปลอย CRL ยกเลก Certificate ทถกใช Sign มลแวร ...........................................................................................50
29. ระวงภย มลแวรใน Skype ลอคไฟลในเครอง .....................................................................................................................52
30. ระวงภย Windows 8 เกบขอมลการ Login ดวย Picture Password เปน Plain Text ...................................................53
31. ระวงภย โปรแกรม Atomymaxsite รน 2.5 หรอต�ากวา มชองโหวอพโหลดไฟลใดๆ ไดโดยไมมการตรวจสอบ ..................54
32. ระวงภย ชป Wifi ของ Broadcom รน BCM4325 และ BCM4329 มชองโหว DoS .........................................................55
33. ระวงภย ชองโหว Use-after-free ใน Mozilla Firefox/Thunderbird เวอรชนต�ากวา 17.0 ...........................................57
34. ระวงภย ไดรเวอรเครองพมพของ Samsung และ Dell ม Backdoor Administrator Account ....................................58
35. ระวงภย Instagram 3.1.2 ใน iOS มชองโหวสวมรอยบญชผใช .........................................................................................59
36. ระวงภย แฮกเกอรเผย 5 ชองโหว 0-Day ใน MySQL ........................................................................................................60
38. ระวงภย ชองโหวใน Samsung Galaxy (S2, S3, Note, Note2) สามารถ root หรอท�าเครอง Brick ได ...............................62
8 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 9
สารบญรปรปท 1. (1-1) ตวอยางการโพสตลงกของเวบไซตอนตราย ........................................................................................................17
รปท 2. (1-2) ตวอยางเวบไซตหลอกลวงของ YouTube เปดโดย Google Chrome ..............................................................17
รปท 3. (1-3) ตวอยางเวบไซตหลอกลวงของ YouTube เปดโดย Mozilla ............................................................................17
รปท 4. (1-4) หนาจอการตดตงปลกอน Youtube Speed UP ...............................................................................................17
รปท 5. (1-5) หนาจอลอกอนของ Facebook ผาน Application ชอ Texas HoldEm Poker ..............................................17
รปท 6. (1-6) ตวอยาง Source Code จากหนาเวบไซต ..........................................................................................................18
รปท 7. (1-7) ตวอยางการลบปลกอน YouTube Speed UP! ออกจากเบราวเซอร Mozilla Firefox ...................................18
รปท 8. (8-1) ตวอยางการตรวจสอบเวอรชนของ Kernel ของระบบปฏบตการ Fedora .......................................................21
รปท 9.รปท 12 (8-2) ตวอยางการตรวจสอบเวอรชนของ Kernel ของระบบปฏบตการ Ubuntu ..........................................21
รปท 10.รปท 13 (10-1) แสดงการเปดการท�างานของระบบ NLA ใน Windows 7 ................................................................24
รปท 11.รปท 14 (12-1) แสดงผลการตรวจสอบ DNS โดยใชเวบไซต www.dns-ok.us.........................................................26
รปท 12.รปท 15 (12-2) การแจงเตอนผใชทตดมลแวร DNS Changer ของ Google .............................................................26
รปท 13.รปท 16 (12-3) การแจงเตอนผใชทตดมลแวร DNS Changer ของ Facebook ........................................................26
รปท 14.รปท 17 (14-1) ตวอยางรหสผานทถกแกะไดแลว (ทมา Ars Technica) ...................................................................29
รปท 15.รปท 18 (16-1) BSoD ทเกดจากชองโหว ATMFD.DLL [16-2] .................................................................................31
รปท 16.รปท 19 (19-1) Windows Sidebar ใน Windows Vista [19-1] .............................................................................35
รปท 17.รปท 20 (19-2) Windows Gadgets ใน Windows 7 [19-2] ...................................................................................35
รปท 18.รปท 21 (20-1) หนาตางขอยนยนการท�างานของ Java applet ไมพงประสงคบนระบบปฏบตการ Windows .......36
รปท 19.รปท 22 (20-2) หนาตางขอยนยนการท�างานของ Java applet ไมพงประสงคบนระบบปฏบตการ Mac OS X ......36
รปท 20.รปท 23 (20-3) ขอมลในไฟล Java applet ...............................................................................................................36
รปท 21.รปท 24 (20-4) หนาจอการแจงเตอนวาตองรนโทรจนผานโปรแกรม Rosetta..........................................................37
รปท 22.รปท 25 (21-1) ตวอยางขอมลบญชผใชบรการของ Yahoo! ทถกโพสต ....................................................................37
รปท 23.รปท 26 (21-2) หนาเวบไซตของ Yahoo! Contributor Network ...........................................................................38
รปท 24.รปท 27 (22-1) โปรแกรม Uplay (ทมา http://uplay.ubi.com) ............................................................................39
รปท 25.รปท 28 (24-1) โปรแกรมไมพงประสงคทถกดาวนโหลดมาตดตง (ทมา FireEye) .....................................................42
รปท 26.รปท 29 (24-2) ตวอยางการใช Metasploit โจมต Windows 7 ผานชองโหว CVE-2012-4681 (ทมา Rapid7) ....42
รปท 27.รปท 8 (2-1) ตวอยางเกมของ Blizzard Entertainment ..........................................................................................44
รปท 28.รปท 9 (3-1) หนาจอการเลอกโปรแกรมส�าหรบใชโทรออก (ทมา Dylan Reeve) .....................................................49
รปท 29.รปท 10 (3-2) Opera Mobile ไมแสดงผลขอมลใน <iframe> .................................................................................49
รปท 30.รปท 30 (28-1) การตดตง CRL ...................................................................................................................................51
รปท 31.รปท 31 (29-1) ขอความและลงกส�าหรบดาวนโหลดมลแวร .......................................................................................52
รปท 32.รปท 32 (29-2) ไฟลของมลแวร ..................................................................................................................................52
รปท 33.รปท 33 (29-3) หนาจอการปลดลอครหสผาน ............................................................................................................52
รปท 36.รปท 36 (30-3) โปรแกรม Windows Password Recovery ของบรษท Passcape (ทมา Passcape) ...................53
รปท 34.รปท 34 (30-1) ระบบ Picture Password (ทมา Microsoft) ...................................................................................53
รปท 35.รปท 35 (30-2) ระบบ Windows Vault ใน Windows 7 .........................................................................................53
รปท 37.รปท 37 (35-1) ตวอยางการดกรบขอมล Cookie ของ Instagram (ทมา reventlov.com) ....................................59
รปท 38.รปท 38 (37-1) หนาจอ Joomla Content Editor [37-4] .......................................................................................62
รปท 39.รปท 39 (38-1) กลองถายรปไมสามารถใชงานไดหลงการแกไข Permission ของไฟล ..............................................63
10 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 11
1. ระวงภย ชองโหว 0-day ใน
Adobe Reader และ Adobe Acrobat (CVE-2011-2462)วนทประกำศ : 7 ธนวาคม 2554
ปรบปรงลำสด : 8 ธนวาคม 2554
เรอง : ระวงภยชองโหว 0-day ใน Adobe Reader และ
Adobe Acrobat (CVE-2011-2462)
ประเภทภยคกคำม : Intrusion
ขอมลทวไป Adobe แจงเตอนเมอวนท 6 ธนวาคม 2554 เรองชองโหว
0-day รหส CVE-2011-2462 โดยชองโหวดงกลาวมผลกบ
ซอฟตแวร Adobe Reader 9.x, Adobe Reader X, Adobe
Acrobat 9.x และ Adobe Acrobat X ซงทาง Adobe แจง
วามการโจมตผใชโปรแกรม Adobe Reader เวอรชน 9.x บน
Windows ผานชองโหวดงกลาวแลว
ผลกระทบ Adobe รายงานวา ชองโหวทเกดขนคอ U3D memory
corruption โดย U3D ยอมาจาก Universal 3D ซงเปนไฟล
บบอด (Compressed file) ของไฟลภาพกราฟก 3 มต ท
นยมใชในหลายบรษท เชน Adobe, Intel หรอ Hewl-
ett-Packard ผโจมตจะสงอเมลโดยแนบไฟล PDF ท
ใสโคดอนตรายลงไปในสวน U3D หลงจากผรบเปด
ไฟลดงกลาว โคดอนตรายทฝงอยในไฟล PDF จะ
เรมท�างาน หลงจากนนโปรแกรมจะ Crash
และเปดโอกาสใหผโจมตสามารถสง
ค�าสงเขามาควบคมเครอง
คอมพวเตอรของ เหยอ
ได
ระบบทไดรบผลกระทบ • Adobe Reader X (10.1.1) และเวอรชนตำกวา 10.x
ส�าหรบ Windows และ Macintosh
• Adobe Reader 9.4.6 และเวอรชนตำกวา 9.x ส�าหรบ
Windows, Macintosh และ UNIX
• Adobe Acrobat X (10.1.1) และเวอรชนตำกวา 10.x
ส�าหรบ Windows และ Macintosh
• Adobe Acrobat 9.4.6 และเวอรชนตำกวา 9.x ส�าหรบ
Windows และ Macintosh
หมายเหต : ชองโหวนไมมผลกระทบตอ Adobe Reader ใน
Android และ Adobe Flash Player
วธแกไข ปจจบนยงไมมแพทชส�าหรบแกปญหา
ชองโหวดงกลาว โดยทาง Adobe แจง
วา จะออกแพทชชวคราวส�าหรบ Adobe
Reader 9.x และ Acrobat 9.x ส�าหรบ
Windows ภายในชวงสปดาหของวนท 12
ธนวาคม 2554 เนองจากโปรแกรม Adobe
Reader X มระบบ Protected Mode และ
Adobe Acrobat X มระบบ Protected
View ซงชวยปองกนการโจมตโดยใชชอง
โหวดงกลาวไดอยแลว และทาง Adobe
จะปลอยซอฟตแวร Adobe Read-
er 9.x, Adobe Reader X,
Adobe Acrobat 9.x และ
Adobe Acrobat X เวอรชน
ใหม ภายในวนท 10 มกราคม 2555
ส�าหรบผทใชงานโปรแกรม Adobe Reader X จะเปดการ
ท�างานของระบบ Protected Mode เพอปองกนปญหานอย
แลว ผใชสามารถตรวจสอบการท�างานของระบบนไดดวยการ
1. คลกทเมน Edit > Preferences > General
2. ตรวจสอบวาหวขอ “Enable Protected Mode at
startup” ไดถกเลอกอย
12 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 13
ส�าหรบผทใชงานโปรแกรม Adobe Acrobat X จะเปดการ
ท�างานของระบบ Protected View เพอปองกนปญหานอย
แลว ผใชสามารถตรวจสอบการท�างานของระบบนไดดวยการ
1. คลกทเมน Edit > Preferences > Security (Enhanced)
2. ตรวจสอบวาหวขอ “Files from potentially unsafe
locations” หรอ “All files” ถกก�าหนดไวเปน “En-
able Enhanced Security”
อยางไรกตาม ระหวางทยงไมมการแกไขปญหาอยางเปนทางการ
จาก Adobe ผทใชซอฟตแวร Adobe Reader 9.x หรอ
Adobe Acrobat 9.x ควรเปลยนมาใชซอฟตแวร Adobe
Reader X และ Adobe Acrobat X โดยเรวทสด
อางอง [4-1] http://www.adobe.com/support/security/ad-
visories/apsa11-04.html
[4-2] http://blogs.adobe.com/asset/2011/12/back-
ground-on-cve-2011-2462.html
[4-3] http://osvdb.org/show/osvdb/77529
[4-4] http://www.computerworld.com/s/article/9222454/
Hackers_exploit_Adobe_Reader_zero_day_may_be_
targeting_defense_contractors
ผลกระทบผโจมตสามารถโจรกรรมหรอดาวนโหลดขอมลตางๆ ทอยบน
ระบบออกมายงเครองคอมพวเตอรของผโจมต นอกจากนยง
อาจเปลยนแปลง ลบ หรออปโหลดไวรส, มาโทรจน หรอขอมล
ทเปนอนตรายอนๆ เขาไปยงเครองทใหบรการ FTP ได
ระบบทไดรบผลกระทบServ-U File Server เวอรชนตำกวา 11.1.0.5
วธแกไขตดตงโปรแกรม Serv-U File Server เวอรชน 11.1.0.5 ขนไป
อางอง[5-1] http://www.exploit-db.com/exploits/18182/
[5-2] http://www.serv-u.com/releasenotes/
2. ระวงภย ชองโหว Serv-U File
Server ทำ ใหผใชเขาถงขอมลโดยไมไดรบอนญาตวนทประกำศ : 7 ธนวาคม 2554
ปรบปรงลำสด : 7 ธนวาคม 2554
เรอง : ระวงภย ชองโหว Serv-U File Server ท�าใหผใชเขา
ถงขอมลโดยไมไดรบอนญาต
ประเภทภยคกคำม : Intrusion
ขอมลทวไปโปรแกรม Serv-U
File Server เปน
โปรแกรมทให
บรการ FTP
Server ซง
ร อ ง ร บ
ร ะ บ บ
ปฏบตการ
Windows
และ Linux ทง
เวอรชน 32 bit และ 64
bit โดยเมอวนท 1 ธนวาคม 2554 มรายงานวาม การคน
พบชองโหวของโปรแกรม Serv-U File Server ทอนญาตใหผ
ใชสามารถเขาถงไดเรกทอรทปกตแลวจะไมสามารถเขาถงได
โดยลกษณะของการโจมต ผโจมตจะลอกอนดวยบญชผใช
(Account) ของระบบ หรอ บญชผใชทเปดใหใชงานไดโดยไม
ตองกรอกรหสผาน เชน anonymous หรอ ftp จากนนจะ
อาศยชองโหวของการระบทอยของไดเรกทอร โดยใสคาอกขระ
ทเปนขอยกเวน ซงไมไดมการปองกน ท�าใหผโจมตสามารถสง
ค�าสงไปยงต�าแหนงไดเรกทอรอนๆ นอกเหนอสวนทถกจ�ากด
สทธในการเขาถงได
3. ระวงภย ชองโหว 0-day
ใน Adobe Flash Player (CVE-2011-4693, CVE-2011-4694)วนทประกำศ: 16 ธนวาคม 2554
ปรบปรงลำสด: 16 ธนวาคม 2554
เรอง: ระวงภย ชองโหว 0-day ใน Adobe Flash Player
(CVE-2011-4693, CVE-2011-4694)
ประเภทภยคกคำม: Intrusion
ขอมลทวไปบรษทวจยดานความมนคงปลอดภยซอฟตแวรคอมพวเตอรชอ
Intevydis ไดเผยแพรวดโอสาธตวธการโจมตเครองคอมพวเตอร
ทตดตง ซอฟตแวร Adobe Flash Player บน
ระบบปฏบตการ Windows [6-1] ซง
การโจมตดงกลาวใชชองโหวทไมเคย
คนพบและยงไมมวธแกไข (0-day)
แตเนองจากความนาเชอถอของ
ชองโหวทคนพบ ท�าใหมการออก
เปนหมายเลข CVE ขนมาเพอ
การตดตามชองโหวดงกลาว
คอ CVE-2011-4693
[6-2] และ CVE-2011-
4694 [6-3] โดยระบ
ถงลกษณะการโจมต
ผานการเรยกไฟล
SWF (Shock-
wave Flash)
เพอเขาควบคมเครอง
คอมพวเตอรจากระยะไกล มผลกบ
ซอฟตแวร Adobe Flash Player เวอรชน
11.1.102.55 หรอต�ากวา บนระบบปฏบตการ Windows
และ OS X [6-4] ปจจบน Adobe ยงไมมแถลงการณเกยวกบ
ชองโหวน [6-5]
14 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 15
ผลกระทบระบบทเปดไฟล SWF ทโจมตผานชองโหวดงกลาว จะเปด
โอกาสใหผโจมตสามารถสงใหเครองคอมพวเตอรประมวลผล
ค�าสงไม พงประสงค และสามารถควบคมเครองคอมพวเตอร
จากระยะไกลได [6-4]
ระบบทไดรบผลกระทบAdobe Flash Player เวอรชน 11.1.102.55 หรอต�ากวา ทง
บนระบบปฏบตการ Windows และ Mac OS X [6-4]
วธแกไขเนองจากปจจบนยงไมมค�าชแจงอยางเปนทางการจาก Adobe
ในเรองของชองโหวดงกลาว ดงนนผใชงานควรระวงในการเปด
เวบไซตทไมนาเชอถอ รวมถงไมเปดไฟล SWF ทนาสงสย และ
หากเปนไปไดควรปดการใชงานปลกอน Abobe Flash Player
ในเบราวเซอรกอนชวคราว จนกวาจะมการปรบปรงแกไขชอง
โหวน [6-1]
ส�าหรบผใช Internet Explorer สามารถปดการใชงาน Adobe
Flash Player ไดดงน
1. คลกทเมน Tools จากนนคลก Manage Add-ons
2. คลกเลอก Shockwave Flash Object ในสวนของ
Adobe Systems Incorporated จากนนคลกปม
Disable
ส�าหรบผใช Google Chrome สามารถปดการใชงาน Adobe
Flash Player ไดดงน
1. ในชอง Address Bar พมพขอความ about:plugins
2. ทรายชอปลกอน Shockwave Flash คลก Disable
ส�าหรบผใช Mozilla Firefox สามารถปดการใชงาน Adobe
Flash Player ไดดงน
1. คลกทเมน Tools จากนนคลก Add-ons
2. คลกทแทบ Plugins
3. ทรายชอปลกอน Shockwave Flash คลกปม Disable
อางอง[6-1] http://www.computerworld.com/s/article/9222546/
Two_zero_day_vulnerabilities_found_in_Flash_
Player
[6-2] http://web.nvd.nist.gov/view/vuln/detail?vul-
nId=CVE-2011-4693
[6-3] http://web.nvd.nist.gov/view/vuln/detail?vul-
nId=CVE-2011-4694
[6-4] http://www.securitytracker.com/id/1026392
[6-5] http://reviews.cnet.com/8301-13727_7-57340665-
263/new-zero-day-vulnerabilities-found-in-ado-
be-flash-player/
4. ระวงภยการโจมตผใช Facebook
ผานปลกอนปลอมของ YouTubeวนทประกำศ: 9 ม.ค. 2555
ปรบปรงลำสด: 9 ม.ค. 2555
เรอง: ระวงภย การโจมตผใช Facebook ผานปลกอนปลอม
ของ YouTube
ประเภทภยคกคำม: Malicious Code
ขอมลทวไปหลงจากวนท 1 มกราคม 2555 ผใช Facebook หลายรายไดแจงเตอนวามการโจมตรปแบบใหม ดวยการหลอกใหคลกเขาไปยงลงกของเวบไซตอนตราย เพอท�าการตดตงสวนเสรมของโปรแกรมเวบเบราวเซอร (ปลกอน) เมอผใชหลงกลตดตงปลกอนดงกลาว จะถกสวมรอยโพสตลงกของเวบไซตอนตรายลงในหนากระดานขาว Facebook ของตนเอง รวมถงหนากระดานขาวอนๆ ทผใชคนนนเปนสมาชกอยดวย รปแบบลงกและขอความ
ทโพสตจะมลกษณะคลายกบรปท 1 (1-1)
รปท 1. (1-1) ตวอยางการโพสตลงกของเวบไซตอนตราย
เวบไซตทอยในลงกนน มหนาตาคลายกบเวบไซต YouTube
ดงรปท 2 (1-2) และ 3 (1-3) พรอมกบมขอความเชญชวนให
ตดตงปลกอนของ YouTube เชน Youtube HD หรอ YouTube
Speed UP! เพอดคลปวดโอในเวบไซตนน
รปท 2. (1-2) ตวอยางเวบไซตหลอกลวงของ YouTube เปดโดย Google Chrome
รปท 3. (1-3) ตวอยางเวบไซตหลอกลวงของ YouTube เปดโดย Mozilla
Firefoxซงหากผใชตรวจสอบรายละเอยดของปลกอนดงกลาว
จะพบวาปลกอนทจะตดตงไมไดมาจาก YouTube แตอยางใด
โดยสงเกตไดจากขอความ “Author not verified” ซงเปนการ
บอกวา ไมสามารถตรวจสอบผพฒนาปลกอนนได รวมถง URL
ของปลกอนกมาจากเวบไซตทไมใชเวบไซตทางการของผพฒนา
เบราวเซอร ดงรปท 4 (1-4)
รปท 4. (1-4) หนาจอการตดตงปลกอน Youtube Speed UP
ผลกระทบหากผใชหลงกลตดตงปลกอนจากเวบไซตดงกลาวแลว จะถก
สงไปยงหนาลอกอนของ Facebook ดงรปท 5 (1-5) ซงหนา
ลอกอนทพบน ไมใชการลอกอนจากหนาหลกของ Facebook
แตเปนการลอกอนผาน Application อกทหนง
รปท 5. (1-5) หนาจอลอกอนของ Facebook ผาน
Application ชอ Texas HoldEm Poker
แตหากผใชมการลอกอนเวบไซต Facebook อยแลว ตวปลก
16 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 17
อนของเบราวเซอร ซงจรงๆ แลวเปนโปรแกรมไมพงประสงค
จะท�าการโพสตลงกของเวบไซตอนตรายดงกลาวลงในหนา
Facebook ของผใช เพอเผยแพรปลกอนอนตรายนใหกบบคคล
อนตอไป
ระบบทไดรบผลกระทบจากการตรวจสอบ Source Code ของเวบไซต พบวาปลกอน
ดงกลาวมผลกระทบกบเบราวเซอร Google Chrome และ
Mozilla Firefox ทกเวอรชน ดงรปท 6 (1-6)
รปท 6. (1-6) ตวอยาง Source Code จากหนาเวบไซต
ขอแนะน�าในการปองกนและแกไขหากผใชถกโจมตดวยวธดงกลาว สามารถแกไขไดดงน
1. ลบปลกอน YouTube HD หรอ YouTube Speed UP!
ออกจากเบราวเซอร ดงรปท 7
o วธการลบปลกอนใน Google Chrome https://
support.google.com/chrome/bin/answer.
py?hl=th&answer=142064&p=cpn_plugins
o วธการลบปลกอนใน Mozilla Firefox http://support.
mozilla.org/en-US/kb/Uninstalling%20add-ons
รปท 7.(1-7) ตวอยางการลบปลกอน YouTube Speed UP! ออกจากเบราวเซอร
Mozilla Firefox
2. เปลยนรหสผานในการเขาสระบบของเวบไซต Facebook
3. ท�าการสแกนไวรสในระบบ เพอก�าจดโปรแกรมไมพง
ประสงคอนๆ ทอาจตดมาดวย
จะเหนไดวา การโจมตผานทาง Social Media ดวยการหลอก
ใหตดตงปลกอนในเบราวเซอรนนเปนตวอยางของภยคกคาม
รปแบบใหม ทมแนวโนมจะเพมสงขนในอนาคต ไทยเซรตมขอ
แนะน�าในการใชงาน Social Media ใหมความมนคงปลอดภย
เพอปองกนความเสยหายทอาจจะเกดขนในอนาคตได ดงน
1. ไมคลกลงกทไมนาไววางใจ โดยเฉพาะลงกของเวบไซต
ทใหบรการยอ URL
2. ไมตดตงโปรแกรม หรอปลกอนของเบราวเซอรจาก
แหลงทมาทไมนาเชอถอ ถาเปนไปไดควรตดตงเฉพาะ
ปลกอนทมจากแหลงดาวนโหลดของผผลต เบราวเซอร
เทานน เชน Chrome Web Store (https://chrome.
google.com/webstore) ของ Google Chrome หรอ
Mozilla Addon (https://addons.mozilla.org) ของ
Mozilla Firefox
3. ในการเขาสระบบของบรการ Social Media ควรเขา
สระบบดวยการพมพ URL ของเวบไซตในชอง Address
bar ดวยตนเองเทานน
5. ระวงภย ชองโหวระดบ Kernel ใน
Windows 64 bit ทำ ใหเกด Memory Corruptionวนทประกำศ: 9 มกราคม 2554
ปรบปรงลำสด: 9 มกราคม 2554
เรอง: ระวงภย ชองโหวระดบ Kernel ใน Windows 64 bit
ท�าใหเกด Memory Corruption
ประเภทภยคกคำม: Intrusion, DoS (Denial of Service)
ขอมลทวไปบรษท Secunia ซงวจยเกยวกบความมนคงปลอดภยทางระบบ
คอมพวเตอร ไดแจงเตอนภยคกคามใหมทพบในระบบปฏบต
การ Windows 64 bit โจมตผานชองโหวในไฟล Kernel ของ
Windows (win32k.sys) ท�าใหเกดการเรยกใชหนวยความจ�า
ผดพลาด (Memory Corruption) สงผลใหผโจมตสามารถสง
ประมวลผลโคดอนตรายโดยไดระดบสทธของผดแลระบบ
(Administrator) หรอท�าใหเกด Blue Screen of Death ได
[7-1]
ชองโหวดงกลาวเกดจากระบบทใชในการวาดสวนตดตอผใช
(User Interface) ของ Windows ไมสามารถรองรบการวาด
สวนตดตอทมขนาดความสงมากๆ ได [7-2] นกวจยทดลองการ
โจมตผานชองโหวนดวยการสรางหนาเวบทมสวนควบคม ท
สามารถก�าหนดคา “height” ได เชน iframe แลวก�าหนดคา
“height” เปนตวเลขจ�านวนมาก ท�าใหเมอใชเบราวเซอรเปด
เวบไซตดงกลาว ระบบจะไมสามารถท�างานตอได [7-3] [7-4]
ชองโหวทพบนมผลกบทกเบราวเซอรทใชฟงกชนของ Windows
ในการวาดสวนตดตอผใช [7-5] [7-6]
ผลกระทบหากผใช Windows 64 bit เปดเวบไซตทมโคดดงกลาวอย จะ
ท�าใหผโจมตสามารถสงประมวลผลโคดอนตรายหรอท�าใหเครอง
ของผใชไมสามารถท�างานตอได
ระบบทไดรบผลกระทบทกเบราวเซอรบนระบบปฏบตการ Windows XP/Vista/7/8
เวอรชน 64 bit ทใชฟงกชนของระบบในการวาดสวนประกอบ
บนหนาเวบ เชน
• Microsoft Internet Explorer เวอรชนต�ากวา 9.0
• Apple Safari ทกเวอรชน
• Google Chrome ทกเวอรชน
• Mozilla Firefox ทกเวอรชน
ขอแนะนำ ในการปองกนและแกไขMicrosoft ยงไมมการประกาศขอมลเพมเตมเกยวกบชองโหว
น อยางไรกตาม จากขอมลของผวจยชองโหวดงกลาว พบวาไม
สามารถโจมต Internet Explorer 9.0 ได เนองจากม Engine
ในการแสดงผลเปนของตวเอง ไมไดใชฟงกชนของระบบในการ
วาดสวนประกอบบนหนาเวบ นอกจากนยงมขอมลเพมเตมวา
ชองโหวดงกลาวนไมมผลกระทบตอผใชทปรบแตงรปแบบ
Theme ของ Windows เปน Windows Classic [7-7]
อางอง[7-1] http://secunia.com/advisories/47237
[7-2] http://pastebin.com/XTWnLF3p
[7-3] https://twitter.com/#!/w3bd3vil/sta-
tus/148454992989261824
[7-4] http://www.youtube.com/watch?v=u-62ZqrhD2k
[7-5] http://blog.romidar.com/2011/12/windows-7-x64-sa-
fari-0-day-vulnerability/
[7-6] http://thehackernews.com/2011/12/win-
dows-7-64-bit-memory-corruption.html
[7-7] https://twitter.com/#!/aionescu/sta-
tus/149773613426425856
18 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 19
6. ระวงภย ชอง โหวใน Linux
Kernel 2.6.39 เปนตนไป ทำ ใหผโจมตไดสทธของ root วนทประกำศ: 30 มกราคม 2555
ปรบปรงลำสด: 30 มกราคม 2555
เรอง: ระวงภย ชองโหวใน Linux Kernel 2.6.39 เปนตนไป
ท�าใหผโจมตไดสทธของ root
ประเภทภยคกคำม: Intrusion
ขอมลทวไปผเชยวชาญไดแจงเตอนชองโหวของ Linux Kernel
ซงอนญาตใหผโจมตสามารถแกไขขอมล
ในหนวยความจ�าของ Process เพอ
ใหไดรบสทธของ root ได (CVE-
2012-0056) [8-1] โดยปกต
แลวระบบปฏบตการ Linux
จะใชไฟล /proc/<pid>/
mem เพออางองถง
ขอมลทอยในหนวยความ
จ�าของแตละ Process
ซงไฟลดงกลาวนระบบ
จะอนญาตใหเฉพาะ
Process ทเกยวของ
มสทธในการแกไข แต
หลงจาก Linux Ker-
nel เวอรชน 2.6.39
เปนตนมา (เผยแพร
เมอวนท 18 พฤษภาคม
2554) [8-2] ฟงกชนท
ใชส�าหรบการปองกนไม
ให Process ใดๆ เขาไป
แกไขขอมล
ใ น
หนวยความจ�าของ Process อนไดถกน�าออกไป [8-3] นกวจย
ทคนพบชองโหวนไดพฒนาซอฟตแวรเพอใชในการทดสอบ
สมมตฐาน (Proof of Concept) วาชองโหวดงกลาวสามารถ
ท�างานไดจรง โดยไดพฒนาโปรแกรมเพอเขาไปแกไขขอมลใน
หนวยความจ�าของ Process su (Super User) เพอใหผใช
ทวไปไดรบสทธของ root [8-4] นอกจากนยงพบวาชองโหวดง
กลาวมผลกบอปกรณทตดตงระบบปฏบตการ Android เวอรชน
4.0 อกดวย [8-5]
ผลกระทบผใชงานระบบปฏบตการ Linux ทตดตง Kernel เวอรชน 2.6.39
ถง 3.2.1 มความเสยงทจะถกโจมตจากผไมหวงดเพอครอบ
ครองสทธการเปน root ของระบบได ตวอยางวดโอการโจมต
สามารถดไดจาก http://www.youtube.com/watch?v=OKn-
th3R9nI4
เนองจากระบบปฏบตการ Android ถกพฒนาโดยใชพนฐาน
จากระบบปฏบตการ Linux ท�าใหระบบปฏบตการ
Android เวอรชน 4.0 ซงใช Linux Kernel
เวอรชน 3 ไดรบผลกระทบไปดวย โดยอาจมผ
พฒนาซอฟตแวรเพอใหไดรบสทธเปนของ root
ของระบบได
ระบบทไดรบผลกระทบ• ระบบปฏบตการ Linux ทตดตง Kernel ตงแต
เวอรชน 2.6.39 ถง 3.2.1 เชน
o Ubuntu 11.10
o Red Hat Enterprise Linux 6
o Fedora 16
o openSUSE 12.1
o Debian wheezy (รนทดสอบของเวอรชน 7)
• อปกรณทตดตงระบบปฏบตการ Android เวอรชน 4.0
เชน Galaxy Nexus, Galaxy S และ Transformer
Prime เปนตน
วธการตรวจสอบเวอรชนของ Kernel1. หากผใชงานระบบปฏบตการ Linux ตองการตรวจสอบ
เวอรชนของ Kernel ทมากบ Distribution ทตนเองใชอยวา
ไดรบผลกระทบหรอไม สามารถตรวจสอบไดดวยการเขาไปท
เวบไซต http://www.distrowatch.com เลอก Distribution
ทตองการตรวจสอบ จากนนดในสวนของ Package ทชอ linux
ตวอยางการตรวจสอบเวอรชนของ Kernel ของระบบปฏบต
การ Fedora 16 พบวาใช Kernel เวอรชน 3.1 ดงรปท 11
(8-1)
รปท 8.ตวอยางการตรวจสอบเวอรชนของ Kernel ของระบบปฏบตการ Fedo
2. ส�าหรบการตรวจสอบเวอรชนของ Kernel ทใชงานอยใน
ปจจบน เนองจากวธการตรวจสอบเวอรชนของ Kernel ของ
ระบบปฏบตการ Linux นนอาจแตกตางกนไปตามแตละ
Distribution ผใชงานระบบปฏบตการ Linux สามารถตรวจ
สอบเวอรชนของ Kernel ทตนเองใชอยไดตามวธในเวบไซต
CyberCiti.biz ตวอยางการตรวจสอบเวอรชนของ Kernel ของ
ระบบปฏบตการ Ubuntu เปนดงรปท
รปท 9. (8-2) ตวอยางการตรวจสอบเวอรชนของ Kernel ของ
ระบบปฏบตการ Ubuntu
ขอแนะน�าในการปองกนและแกไขทาง Kernel.org ไดปรบปรงแกไขชองโหวดงกลาวเมอวนท 17
มกราคม 2555 [8-6] และการแกไขนจะมผลตงแต Linux
Kernel 3.2.2 เปนตนไป [8-7] ทางผพฒนาระบบปฏบตการ
Linux Distribution ตางๆ เชน Ubuntu, Debian หรอ Red
Hat ไดน�า Patch จาก Kernel.org ไปปรบปรงใน Kernel ของ
ตนเอง และไดท�าการเผยแพร Kernel เวอรชนใหมทแกไขปญหา
ดงกลาว ผานชองทางการอพเดทของแตละ Distribution แลว
[8-8] [8-9] ซงเวอรชนของ Kernel ทถกปรบปรงชองโหวดง
กลาวอาจแตกตางกนไปตามแตละ Distribution ผใชงานควร
ตรวจสอบการอพเดทและปรบปรงระบบใหเปน Kernel เวอรชน
ทถกปรบปรงหลงจากวนท 17 มกราคม 2555 โดยเรวทสด
อางอง[8-1] http://www.h-online.com/security/news/item/
Linux-root-exploit-due-to-memory-access-Up-
date-2-1419834.html
[8-2] https://lkml.org/lkml/2011/5/19/16
[8-3] http://git.kernel.org/?p=linux/kernel/git/torvalds/
linux-2.6.git;a=commitdiff;h=198214a7
[8-4] http://blog.zx2c4.com/749
[8-5] https://github.com/saurik/mempodroid
[8-6] http://git.kernel.org/?p=linux/kernel/git/torvalds/
linux-2.6.git;a=commitdiff;h=e268337dfe26df-
c7efd422a804dbb27977a3cccc
[8-7] http://www.kernel.org/pub/linux/kernel/v3.0/
ChangeLog-3.2.2
[8-8] https://lists.ubuntu.com/archives/ubuntu-se-
curity-announce/2012-January/001557.html
[8-9] https://www.redhat.com/security/data/cve/
CVE-2012-0056.html
20 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 21
7. ระวงภย Symantec
ถกแฮกเกอรขโมย Source code เตอนลกคาระวงการโจมต 0-dayวนทประกำศ: 30 มกราคม 2555
ปรบปรงลำสด: 30 มกราคม 2555
เรอง: ระวงภย Symantec ถกแฮกเกอรขโมย Source code
เตอนลกคาระวงการโจมต 0-day
ประเภทภยคกคำม: Intrusion
ขอมลทวไปเมอวนท 24 มกราคม 2555 บรษท Symantec ผผลตซอฟตแวร
ดานความมนคงปลอดภย ไดประกาศผานหนาเวบไซตของตน
วา กลมแฮกเกอรทใชชอ Anonymous สามารถเจาะเขาระบบ
ของ Symantec ไดส�าเรจและไดท�าการคดลอกขอมล Source
code ของโปรแกรมทถกพฒนาในป พ.ศ. 2549 [9-1]
ผลกระทบในเบองตน Symantec ยงไมได
ประกาศขอมลเวอรชนของ
ซอฟตแวรทถกขโมย
Source code
ไป แตอยางไร
กตาม Syman-
tec ไดแนะน�า
วาควรอพเกรดซอฟตแวร
ใหเปนเวอรชนลาสด เนองจาก
ผใชงานซอฟตแวรดงกลาว
อาจถกโจมตจากชองโหว
0-day ได
ส�าหรบผ ทใชโปรแกรม
pcAnywhere ซงเปน
โปรแกรมทใชส�าหรบเขาถง
และควบคมเครองคอมพวเตอรจากระยะไกล Symantec แจง
วามความเสยงทจะถกผไมหวงดโจมตดวยวธ Man-in-the-
middle รวมไปถงการสงประมวลผลค�าสงอนตรายจากระยะ
ไกล (Remote execution) ได
ระบบทไดรบผลกระทบซอฟตแวรของ Symantec ทถกพฒนาในป พ.ศ. 2549
(ค.ศ. 2006) ไดแก
• Norton Antivirus Corporate Edition
• Norton Internet Security
• Norton SystemWorks (เฉพาะ Norton Utilities
และ Norton GoBack)
• Symantec Endpoint Protection (SEP) 11.0
• Symantec Antivirus 10.2
• pcAnywhere
ขอแนะนำ ในการปองกนและแกไขบรษท Symantec ไดแนะน�าใหผทใชงานซอฟตแวรทไดรบ
ผลกระทบ อพเกรดซอฟตแวรใหเปนเวอรชนลาสด เนองจาก
บางซอฟตแวรทถกขโมย Source code ไปนนไดสนสดการ
สนบสนนทางเทคนคแลว
ส�าหรบ ผทใชซอฟตแวร pcAnywhere ทาง Symantec ได
ออกโปรแกรม Hot fix เพอปรบปรงแกไขชองโหวบางสวนใน
เวอรชน 12.5 (เวอรชนปจจบน) แลว [9-2] อยางไรกตาม ผท
ได Source code ไป อาจพฒนาเครองมอเพอใชในการโจมต
รปแบบใหมได ดงนนจงควรปดการท�างานของโปรแกรม
pcAnywhere และเปดใชงานในกรณทจ�าเปนจรงๆ เทานน
[9-3]
อางอง[9-1] http://www.symantec.com/theme.
jsp?themeid=anonymous-code-claims&inid=us_
ghp_banner1_anonymous
[9-2] http://www.symantec.com/connect/
blogs/important-information-pcanywhere
[9-3] http://www.symantec.com/connect/
sites/default/files/pcAnywhere%20Security%20
Recommendations%20WP_01_23_Final.pdf
8. Microsoft เตอนผใช Windows
ตดตงแพทชแกไขชองโหว CVE-2012-0002 โดยดวนวนทประกำศ: 15 มนาคม 2555
ปรบปรงลำสด: 15 มนาคม 2555
เรอง: Microsoft เตอนผใช Windows ตดตงแพทชแกไขชอง
โหว CVE-2012-0002 โดยดวน
ประเภทภยคกคำม: Intrusion
ขอมลทวไปMicrosoft ไดประกาศ Security Bulletin MS12-020 เพอ
แจงเตอนผใชงานระบบปฏบตการ Windows ทกเวอรชน ให
ท�าการตดตงแพทช KB2621440 เพอแกไขปญหาชองโหว
CVE-2012-0002 ซงอนญาตใหผไมหวงดสงแพกเกจ RDP
(Remote Desktop Protocol) เขามายงระบบ เพอสงให
ประมวลผลค�าสงทไมพงประสงคจากระยะไกลได (Remote
Code Execution) [10-1]
อยางไรกตาม ถงแมวาชองโหวดงกลาวไดถกแจงมายง Micro-
soft โดยตรง และเชอวา
ไมไดมการเปดเผยราย
ละเอยดของชองโหวนออกสสาธารณะ แตทาง Microsoft ได
คาดการณวา ไฟลแพทช KB2621440 ทเผยแพรออกไป สามารถ
ถกผไมหวงดท�าการ Reverse engineering และเขยนโปรแกรม
เพอใชในการโจมตผานชองโหวนไดภายในเวลา 30 วน ดงนน
ผใชงานระบบปฏบตการ Windows จงควรตดตงแพทชเพอ
แกไขปญหาดงกลาวนโดยเรวทสด [10-2]
ผลกระทบผใชงานระบบปฏบตการ Windows ทกเวอรชน ทเปดใชงาน
ฟงกชน RDP (TCP Port 3389) มโอกาสทจะถกโจมตโดยผไม
หวงดได
ระบบทไดรบผลกระทบ
• Windows XP Service Pack 3
• Windows Server 2003 Service Pack 2
• Windows Vista Service Pack 2
• Windows Server 2008 Service Pack 2
• Windows 7 Service Pack 1
• Windows Server 2008 R2 Service Pack 1
ขอแนะนำ ในการปองกนและแกไขMicrosoft ไดเผยแพรแพทช KB2621440 เมอวนองคารท 13
มนาคม 2555 ผใชงานสามารถตดตงไดผานทาง Windows
Update หรอดาวนโหลดไดจาก เวบไซตของ Microsoft
หากผใชยงไมไดตดตงแพทชดงกลาว Micro-
soft ไดแนะน�าใหยาย RDP listeners port
ไปไวท Non-standard port เปนการชวคราว
[10-3] และส�าหรบผทใชงาน Windows
Vista หรอใหมกวา สามารถเปดการท�างาน
ของระบบ Network Level Authentication
(NLA) [10-4] เพอชวยลดผลกระทบจากปญหา
ดงกลาวได ดงรปท เพราะในระบบทเปดการใช
งาน NLA ถงแมวาค�าสงอนตรายจะยงสามารถถก
สงเขามายงระบบได แตอยางนอยผโจมตกจ�าเปนท
จะตอง Authenticate เขาส Server เพอสงให
ประมวลผลค�าสงดงกลาว
22 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 23
รปท 10. (10-1) แสดงการเปดการท�างานของระบบ NLA ใน Windows 7
อางอง[10-1] http://technet.microsoft.com/en-us/security/
bulletin/ms12-020
[10-2] http://blogs.technet.com/b/srd/archive/2012/03/13/
cve-2012-0002-a-closer-look-at-ms12-020-s-
critical-issue.aspx
[10-3] http://isc.sans.edu/diary.html?storyid=12781&rss
[10-4] http://technet.microsoft.com/en-us/library/
cc732713.aspx
9. Oracle เผลอปลอยโคดทใช
ทดสอบการ DoS โปรแกรม MySQLวนทประกำศ: 18 เมษายน 2555
ปรบปรงลำสด: 18 เมษายน 2555
เรอง: Oracle เผลอปลอยโคดทใชทดสอบการ DoS โปรแกรม
MySQL
ประเภทภยคกคำม: Denial of Service
ขอมลทวไปหลงจากทบรษท Oracle ไดเผยแพรโปรแกรม MySQL เวอรชน
5.5.22 และ 5.1.62 เมอวนท 21 มนาคม 2555 ผเชยวชาญ
ดานความมนคงปลอดภยไดคนพบไฟลทนกพฒนาใชในการ
ทดสอบ ชองโหวของระบบ (Proof of concept) ซงไฟลดง
กลาวไดหลดออกมาพรอมกบโปรแกรมอพเดท [11-1] [11-2]
ผลกระทบไฟลสครปต mysql-test/suite/innodb/t/innodb_bug13510739.
test เปนไฟลทนกพฒนาใชในการทดสอบชองโหวของระบบ ผ
โจมตทมสทธเขาถงระบบของ MySQL จะสามารถสง import
ไฟลสครปตดงกลาวเพอท�าใหระบบ MySQL ไมสามารถท�างาน
ตอได (DoS) ตวอยางการโจมตสามารถดไดจาก http://youtu.
be/RHgdUoXIDro
ระบบทไดรบผลกระทบชองโหวดงกลาวเปนการโจมตผาน Bug หมายเลข #13510739
และ #63775 ซงถกแกไขแลวในโปรแกรม MySQL เวอรชน
5.5.22 และ 5.1.62 [11-3] [11-4] ถงแมวาปจจบนยงไมมการ
เผยแพรรายละเอยดของ Bug ดงกลาว แตผไมหวงดกสามารถ
โจมตผานชองโหวนในระบบทตดตงโปรแกรม MySQL เวอรชน
ต�ากวา 5.5.22 หรอ 5.1.62 ได
ขอแนะนำ ในการปองกนและแกไขปจจบนบรษท Oracle ยงไมมค�าชแจงเกยวกบกรณดงกลาว
ผดแลระบบทตดตงโปรแกรม MySQL เวอรชนต�ากวา 5.5.22
หรอ 5.1.62 ควรท�าการอพเดทใหเปนเวอรชนลาสด
อางอง[11-1] http://www.h-online.com/security/news/item/
Orac le -acc identa l ly - re lease-MyS -
QL-DoS-proof-of-concept-1526146.html
[11-2] http://eromang.zataz.com/2012/04/10/oracle-
mysql-innodb-bugs-13510739-and-63775-dos-
demo/
[11-3] http://dev.mysql.com/doc/refman/5.5/en/
news-5-5-22.html
[11-4] http://dev.mysql.com/doc/refman/5.1/en/
news-5-1-62.html
10. FBI เตรยมปดเซรฟเวอร
DNS Changer ในวนท 9 ก.ค. 2555 เครองคอมพวเตอรทตดมลแวรจะไมสามารถใชงานอนเทอรเนตไดวนทประกำศ: 27 เมษายน 2555
ปรบปรงลำสด: 4 กรกฎาคม 2555
เรอง: FBI เตรยมปดเซรฟเวอร DNS Changer ในวนท 9 ก.ค.
2555 เครองคอมพวเตอรทตดมลแวรจะไมสามารถใชงาน
อนเทอรเนตได
ประเภทภยคกคำม: Denial of Service
ขอมลทวไปมลแวร DNS Changer ถกคนพบครงแรกเมอป 2550 โดย
สามารถท�างานไดทงบนระบบปฏบตการ Windows และ Mac
OS X มลแวรดงกลาวนจะเขาไปเปลยนแปลงการตงคา DNS
Server ในเครองทตกเปนเหยอ เพอสงผใชไปยงเวบไซตหลอก
ลวงทแฮกเกอรสรางขน หรอตดตามการใชงานอนเทอรเนต
แ ล ะ ขโมยขอมลส�าคญของผใช จาก
การตรวจสอบในตอนนนพบวา
มเครองคอมพวเตอรทตดมลแวร
นกวา 4 ลานเครองทวโลก
[12-1]
ใ น เ ด อ น
พฤศจกายน 2554
หนวยงาน FBI ไดปฏบต
ภารกจ Operation Ghost
Click และไดท�าการจบกมผพฒนาและ
เผยแพรมลแวร DNS Changer พรอมทงยดเครองเซรฟเวอร
ทเปน DNS Server ปลอมมาไวในการควบคมเพอใชในการ
วเคราะหสอบสวน อยางไรกตาม ทาง FBI ไมสามารถทจะปด
เซรฟเวอรดงกลาวได เนองจากเครองคอมพวเตอรทตดมลแวร
DNS Changer จ�าเปนตองตดตอกบเครองเซรฟเวอรทเปน
24 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 25
DNS Server ปลอมในทกครงทเชอมตอกบอนเทอรเนต หาก
ปดเซรฟเวอรดงกลาว จะท�าใหเครองคอมพวเตอรเหลานนถก
ตดขาดจากอนเทอรเนตโดยทนท [12-2] [12-3]
FBI มความพยายามทจะปดเครองเซรฟเวอรดงกลาวอยหลาย
ครง แตยงไมสามารถท�าไดเนองจากพบวามคอมพวเตอรจ�านวน
มากทยงคงตดมลแวร DNS Changer อย โดยจากการตรวจ
สอบในเดอนมนาคม 2555 พบวาทวโลกยงมเครองทตดมลแวร
อยประมาณ 450,000 เครอง และในจ�านวนนนมคอมพวเตอร
ทใชในหนวยงานส�าคญของทางราชการอยดวย จนกระทงวนท
23 เมษายน 2555 ทาง FBI ไดประกาศวา จะท�าการปดเครอง
DNS Server ปลอมลงชวคราวในวนท 9 กรกฎาคม 2555 เพอ
ท�าความสะอาด การปดเครองเซรฟเวอรดงกลาวอาจสงผลให
เครองคอมพวเตอรทยงตดมลแวรอยจะไมสามารถเขาใชงาน
อนเทอรเนตได [12-4] [12-5]
ผลกระทบเครองคอมพวเตอรทตดมลแวร DNS Changer และไมไดท�าการ
แกไข จะไมสามารถเขาใชงานอนเทอรเนตไดในวนท 9 กรกฎาคม 2555
ระบบทไดรบผลกระทบเครองคอมพวเตอรทใชงานระบบปฏบตการ Windows หรอ
Mac OS X ทตดมลแวร DNS Changer
ขอแนะนำ ในการปองกนและแกไขFBI ไดประสานงานกบหนวยงานตางๆ ในการจดท�าเวบไซต
DNS Changer Working Group (DCWG) เพอชวยตรวจสอบ
และก�าจดมลแวร DNS Changer ออกจากระบบ ผใชสามารถ
เขาไปใชงานไดท http://www.dcwg.org/
ในการตรวจสอบวาเครองคอมพวเตอรตดมลแวรหรอไม สามารถ
ท�าไดโดยการเขาไปทหนา http://www.dcwg.org/detect/
แลวคลกทลงกของเวบไซต dns-ok จากนนเมอระบบท�าการ
ตรวจสอบเสรจสนกจะแสดงขอความเพอบอกวาเครอง คอมพวเตอร
ทใชงานอยนนตดมลแวรหรอไม ถาหากไมตดกจะแสดงขอความ
DNS Resolution = Green แตหากตดมลแวรจะแสดงขอความ
DNS Resolution = Red ดงรปท 14 (12-1)
รปท 11. 12-1) แสดงผลการตรวจสอบ DNS โดยใชเวบไซต www.dns-ok.us
นอกจากน ทาง Google และ Facebook กไดชวยแจงเตอนผ
ใชทตดมลแวร DSN Changer โดยหากทางเวบไซตตรวจสอบ
ไดวาผใชตดมลแวร กจะแสดงแถบขอความแจงเตอนพรอมทง
แนะน�าวธแกไขปญหา ตวอยางการแจงเตอนเปนดงรปท และ
[12-6] [12-7]
รปท 12. (12-2) การแจงเตอนผใชทตดมลแวร DNS Changer ของ Google
รปท 13. (12-3) การแจงเตอนผใชทตดมลแวร DNS Changer ของ Facebook
ซงหากผใชตรวจสอบแลวพบวาเครองตดมลแวร DNS Chang-
er ควรท�าการก�าจดมลแวรออกจากระบบโดยเรวทสด ส�าหรบ
ผทใชงานระบบปฏบตการ Windows ทาง Microsoft ไดแนะน�า
ใหดาวนโหลดโปรแกรม Microsoft Malicious Software
Removal Tool (MSRT) หรอ Microsoft Security Essentials
มาใชในการก�าจดมลแวร สวนผทใชงานระบบปฏบตการ Mac
OS X สามารถดาวนโหลดซอฟตแวร DNSChanger Remov-
al Tool จากเวบไซต http://www.dnschanger.com/ มาใช
งานไดฟร
หลงจากก�าจดมลแวรแลว การตงคา DNS Server ทเกดจา
กมลแวรอาจยงคงตดคางอยในระบบซงอาจกอใหเกดปญหา
ตามมาภายหลงได [12-8] ทาง Avira ไดพฒนาเครองมอส�าหรบ
ซอมแซมระบบ Windows ทไดรบผลกระทบจากมลแวร DNS
Server โดยผใชสามารถดาวนโหลดไดจากเวบไซตของ Avira
[12-9]
อยางไรกตาม ผใชควรตดตงซอฟตแวรแอนตไวรสและหมน
อพเดทฐานขอมลใหเปนเวอร ชนลาสดอยเสมอ เพอชวยในการ
ตรวจจบและปองกนปญหาการตดมลแวรทอาจจะเกดขนไดใน
อนาคต
อางอง[12-1] http://www.fbi.gov/news/stories/2011/novem-
ber/malware_110911/DNS-changer-malware.
[12-2] http://reviews.cnet.com/8301-13727_7-57322316-
263/fbi-tackles-dnschanger-malware-scam/
[12-3] http://www.fbi.gov/news/stories/2011/novem-
ber/malware_110911
[12-4] http://www.theage.com.au/digital-life/consum-
er-security/internet-users-warned-of-big-black-
out-in-july-20120329-1w172.html#ixzz1qW2sY-
Ey8
[12-5] http://reviews.cnet.com/8301-13727_7-57421311-
263/renewed-efforts-to-revert-dnschanger-in-ef-
fect
[12-6] http://nakedsecurity.sophos.com/2012/05/23/
google-malware/
[12-7] https://www.facebook.com/notes/facebook-se-
cu r i t y /no t i f y i n g -dn s change r - v i c -
tims/10150833689760766
[12-8] https://www.hkcert.org/my_url/en/blog/12062701
[12-9] http://www.avira.com/en/support-for-home-knowl-
edgebase-detail/kbid/1199
11. ชองโหว TNS listener ใน
Oracle Database (CVE-2012-1675)วนทประกำศ: 3 พฤษภาคม 2555
ปรบปรงลำสด: 3 พฤษภาคม 2555
เรอง: ชองโหว TNS listener ใน Oracle Database (CVE-
2012-1675)
ประเภทภยคกคำม: Intrusion
ขอมลทวไปTNS (Transparent Network Substrate) เปนเทคโนโลยท
Oracle พฒนาขนมาเพอใหเครองคอมพวเตอรสามารถเชอม
ตอเขาสระบบฐานขอมล ดวยวธ Peer-to-Peer โดยจะม
Service ชอ TNS listener เปดพอรตทฝง Database Server
เพอรอรบการเชอมตอจาก Client [13-1] [13-2] เทคโนโลย
TNS เรมมใน Oracle Database Server ตงแตเวอรชน 8i ซง
ถกเผยแพรในป 2542
ชองโหวของ TNS Listener ถกคนพบและแจงไปยง Oracle
ตงแตป 2551 [13-3] จนกระทงวนท 30 เมษายน 2555 Or-
acle ไดออกประกาศแจงเตอนเรองความมนคงปลอดภย
(Security Alert) ของชองโหว CVE-2012-1675 โดยไดเรยก
ชองโหวดงกลาวนวา “TNS Listener Poison Attack” [13-4]
ผลกระทบชองโหวดงกลาวอนญาตใหผโจมตสงค�าสงเขามายง Service
ของ TNS listener เพอ Hijack Connection ของผใชทลอกอน
อยในระบบแลว โดยทผโจมตไมจ�าเปนตองใส Username หรอ
Password แตอยางใด [13-5] [13-6] ตวอยางวดโอการโจมต
ผานชองโหวนดไดจาก http://youtu.be/hE3-AkxSX3w
ระบบทไดรบผลกระทบOracle แจงในรายงาน Security Alert วามระบบทไดรบผลก
ระทบดงน [13-4]
26 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 27
• Oracle Database 11g Release 2 เวอรชน 11.2.0.2
และ 11.2.0.3
• Oracle Database 11g Release 1 เวอรชน 11.1.0.7
• Oracle Database 10g Release 2 เวอรชน 10.2.0.3,
10.2.0.4 และ 10.2.0.5
• เนองจาก Oracle Fusion Middleware, Oracle
Enterprise Manager และ Oracle E-Business Suite
มสวนการท�างานของ Oracle Database อยในระบบ
ท�าใหไดรบผลกระทบจากชองโหวดงกลาวดวย
ขอแนะนำ ในการปองกนและแกไขOracle ไดปลอยแพทชทใชแกไขชองโหวนผาน Critical Patch
Update (CPU) ประจ�าเดอนเมษายน 2555 ซงสามารถ
ดาวนโหลดไดจากเวบไซตของ Oracle [13-7] อยางไรกตาม
แพทชดงกลาวนแกไขชองโหวในซอฟตแวร Oracle Database
Server เฉพาะเวอรชน 10 และ 11 เทานน เนองจากทาง
Oracle ไดใหเหตผลวา การปรบแตงโคดเพอใหใชงานไดกบ
ซอฟตแวรเวอรชนเกานนเปนเรองยากล�าบากเพราะมผกระทบ
กบหลายสวนของระบบ [13-8]
ผทใชงานซอฟตแวร Oracle Database Server เวอรชนเกา
ทไมไดรบการแพทช หากเปนไปไดควรอพเกรดซอฟตแวรให
เปนเวอรชนลาสด หรออาจตงคา Database Server ไมให
เครองทไมเกยวของเขาใชงาน TNS Service ได [13-9]
อางอง[13-1] http://www.csee.umbc.edu/portal/help/oracle8/
network.815/a67440/ch2.htm
[13-2] http://docs.oracle.com/cd/B10501_01/net-
work.920/a96580/architec.htm
[13-3] http://seclists.org/fulldisclosure/2012/Apr/204
[13-4] http://www.oracle.com/technetwork/topics/
security/alert-cve-2012-1675-1608180.html
[13-5] http://thehackernews.com/2012/05/oracle-da-
tabase-new-zero-day-exploit.html
[13-6] http://www.joxeankoret.com/download/tn-
spoison.pdf
[13-7] http://www.oracle.com/technetwork/topics/
security/cpuapr2012-366314.html
[13-8] http://itknowledgeexchange.techtarget.com/
security-bytes/oracle-trips-on-tns-zero-day-
workaround/
[13-9] http://searchsecurity.techtarget.com/
news/2240149475/Oracle-wont-patch-four-
year-old-zero-day-in-TNS-listener
12. LinkedIn ถกแฮก รหสผาน
หลดกวา 6.5 ลานชอวนทประกำศ: 8 มถนายน 2555
ปรบปรงลำสด: 8 มถนายน 2555
เรอง: LinkedIn ถกแฮก รหสผานหลดกวา 6.5 ลานชอ
ประเภทภยคกคำม: Intrusion
ขอมลทวไปLinkedIn เปนเวบไซต Social Media ทไดรบความนยมในกลม
คนท�างาน เพราะนอกจากจะสามารถแสดงประวตการท�างาน
(Resume) ไดแลว ยงสามารถใชเปนแหลงแลกเปลยนความคด
เหนระหวางกลมคนทท�างานสายอาชพเดยวกนไดดวย [14-1]
เมอวนท 6 มถนายน 2555 เวบไซต Dagens IT ของประเทศ
นอรเวย ไดรายงานวา มรหสผานของผใชเวบไซต LinkedIn
เผยแพรอยบนเวบไซตใตดนของประเทศรสเซยกวา 6.5 ลาน
ชอ โดยรหสผานทถกโพสตนนเปนรหสผานทถกเขารหสลบไว
(Encrypted) ซงผทโพสตนนมจดประสงคเพอใหเหลาแฮกเกอร
ชวยกนแกะรหสผาน ดงกลาว (Crack) [14-2]
หนวยงาน CERT-FI ของประเทศฟนแลนด แจงวา ขอมลทปราก
ฎบนเวบไซตใตดนนนมเพยงรหสผานเพยงอยางเดยว ไมมชอ
ผใช แตเชอวา แฮกเกอรทเจาะเขาระบบไดคงจะไดชอผใชไป
ดวยแลว [14-3]
ผใชงาน LinkedIn หลายราย ไดตรวจสอบรหสผานทปรากฎ
บนเวบไซตแลวพบวารหสผานทเกบอยในระบบ ของ LinkedIn
นนถกเขารหสลบดวยฟงกชน SHA-1 โดยไมมการใส Salt ท�าให
สามารถถกแกะรหสผานไดงายโดยการใช Rainbow Table
หรอใชวธการ Hash Collision [14-4] [14-5]
ผลกระทบรหสผานบางสวนถกแกะไดแลว ดงตวอยางในรปท 17 (14-1)
ผใชทตงรหสผานตรงกบรหสผานทถกโพสตไวในเวบไซต ม
โอกาสสงทจะถกขโมยหรอสวมรอยบญชผใช
รปท 14.รปท 17 (14-1) ตวอยางรหสผานทถกแกะไดแลว (ทมา Ars Technica)
ปจจบน LinkedIn มผใชงานอยประมาณ 147 ลานคน ใน
จ�านวนนนคนไทยทใชงานอยประมาณ 3 แสนคน [14-6]
เนองจากขอมลใน LinkedIn เปนขอมลสวนบคคลทใสไวเพอ
ผลประโยชนในการสมครงานหรอท�างาน ซงขอมลบางสวนอาจ
เปนขอมลส�าคญทเปนความลบ เชน งานทเคยท�า เพอนรวม
งาน หรอขอมลอนๆ ทจะสามารถเหนไดเฉพาะผทม Connec-
tion ดวยเทานน การทขอมลบางอยางถกเผยแพรออกไป ก
อาจสงผลตอหนาทหรอการท�างานในปจจบนได นอกจากน ผ
ทไดขอมลสวนตวไป อาจน�าขอมลเหลานนไปปลอมตวเปนผใช
งานเพอสรางความเสยหายตอผใชงานตวจรงได
ขอแนะนำ ในการปองกนและแกไขLinkedIn ไดอพเดท Blog เพอชแจงเหตการณทเกดขนแลว
โดยแจงวาก�าลงตรวจสอบวาเหตการณนเกดขนไดอยางไร และ
ไดมค�าแนะน�าส�าหรบผใช LinkedIn ทไดรบผลกระทบดงน
[14-7]
ผใชงานทตงรหสผานตรงกบรหสผานทถกเผยแพรออกไป จะ
ไดรบการแจงเตอนวารหสผานดงกลาวนนไมสามารถใชงานตอ
ได (no longer valid)
28 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 29
ผใชงานทไดรบผลกระทบจะไดรบอเมลจาก LinkedIn เพอแจง
ขนตอนวธการรเซตรหสผาน โดยอเมลฉบบดงกลาวจะไมมลงก
อะไรใหผใชคลก มเพยงขนตอนวธการปฏบตเทานน หลงจาก
ผใชท�าตามขนตอนดงกลาวแลวจะไดรบอเมลอกฉบบทมลงก
ส�าหรบใหเขาไปรเซตรหสผาน
ผใชงานทไดรบผลกระทบ จะไดรบอเมลจากฝาย Customer
Support เพอแจงสถานการณและชแจงเหตผลวาท�าไมจงถก
ขอรองใหเปลยนรหสผาน
โปรแกรมเมอรชอ Fictive Kin และ Chris Shiflett ไดรวบรวม
Hash ของรหสผานทถกเผยแพร และไดเปดเวบไซต http://
leakedin.org/ เพอใหผใช LinkedIn ปอนรหสผานของตนเอง
เขามาตรวจสอบวารหสผานทใชไดหลดออกไปเผยแพร หรอไม
โดยเวบไซตดงกลาวจะน�า SHA-1 ของรหสผานนนไปตรวจสอบ
กบรหสผานทถกเผยแพรในเวบไซตของแฮกเกอร หากผใชทาน
ใดทพบวารหสผานของตนเองหลดออกไปแลว ควรรบเปลยน
รหสผานโดยทนท
อางอง [14-1] http://www.linkedin.com/static?key=what_is_
linkedin&trk=hb_what
[14-2] http://translate.google.com/trans -
late?hl=en&sl=no&tl=en&u=http://www.da-
gensit.no/article2411857.ece
[14-3] https://www.cert.fi/tietoturvanyt/2012/06/
ttn201206061430.html
[14-4] http://thenextweb.com/socialmedia/2012/06/06/
bad-day-for-linkedin-6-5-million-hashed-pass-
words-reportedly-leaked-change-yours-now/
[14-5] http://shiflett.org/blog/2012/jun/leakedin
[14-6] http://www.slideshare.net/amover/linkedin-de-
mographics-statistics-jan-2012
[14-7] http://blog.linkedin.com/2012/06/06/linke-
din-member-passwords-compromised/
13. ระวงภย ชองโหวใน
MySQL/MariaDB อนญาตใหลอกอนไดโดยไมตองรรหสผานวนทประกำศ: 11 มถนายน 2555
ปรบปรงลำสด: 11 มถนายน 2555
เรอง: ระวงภย ชองโหวใน MySQL/MariaDB อนญาตใหลอกอน
ไดโดยไมตองรรหสผาน
ประเภทภยคกคำม: Intrusion
ขอมลทวไปนกพฒนาจาก MariaDB ไดคนพบชองโหวในโปรแกรม MySQL
และ MariaDB (MySQL เวอรชนทถกแยกออกไปพฒนาตอโดย
นกพฒนาภายนอก) ซงท�าใหผใชสามารถลอกอนโดยใชรหส
ผานทไมถกตองได (CVE2012-2122) [15-1]
ชองโหวดงกลาวเกดจากขอผดพลาดของฟงกชน memcmp()
ทใชในการตรวจสอบรหสผานทรบเขามา ซงมบางกรณทผลลพธ
ของฟงกชนไดคาทไมคาดคด ท�าใหโปรแกรม MySQL/MariaDB
มองวารหสผานทรบเขามานนถกตอง ถงแมทจรงแลวรหสผาน
นนจะไมถกตองกตาม
ผลกระทบหากมผใชทเชอมตอเขามาในระบบโดยปอนชอผใชและรหส
ผานอะไรกได เขามาซ�าๆ กนหลายๆ ครง กมโอกาสทจะผาน
เขามาในระบบได โดยสวนใหญแลว ระบบทตดตง MySQL/
MariaDB จะใชชอผใชวา root เปนคาเรมตน ซงชอผใชดงกลาว
มสทธสงสดในระบบ ท�าใหใครกตามทสามารถลอกอนโดยใช
ชอผใชดงกลาวได กจะไดรบสทธทงหมดของระบบฐานขอมล
นนโดยทนท
ระบบทไดรบผลกระทบ• MySQL และ MariaDB เวอรชน 5.1.61, 5.2.11, 5.3.5,
5.5.22 และต�ากวา
• MySQL เวอรชนตงแต 5.1.63, 5.5.24, 5.6.6 เปนตน
ไปไมไดรบผลกระทบ
• MariaDB เวอรชนตงแต 5.1.62, 5.2.12, 5.3.6, 5.5.23
เปนตนไปไมไดรบผลกระทบ
อยางไรกตาม ขอผดพลาดดงกลาวเกดไดเฉพาะ MySQL และ
MariaDB ทคอมไพลโดยใช glibc บนระบบปฏบตการ Linux
เทานน ไฟลไบนารของ MySQL และ MariaDB ทมใหดาวนโหลด
ในเวบไซตของผพฒนาจะไมมชองโหวดงกลาวน
ขอแนะนำ ในการปองกนและแกไขผใชงานโปรแกรม MySQL/MariaDB เวอรชนทมชองโหว หาก
เปนไปได ควรท�าการอพเดทโปรแกรมใหเปนเวอรชนปจจบน
โดยเรวทสด
หากไมสามารถอพเดทได ผใชควรตงคาการเชอมตอใหเขามา
ไดเฉพาะ localhost เพยงอยางเดยว ดวยการแกไขไฟล my.cnf
ในสวน [mysqld] ก�าหนดคา “bind-address” ใหเปน
“127.0.0.1” จากนน Restart เซอรวสของ MySQL เพอใหการ
ตงคาใหมมผล [15-2]
อางอง[15-1] http://seclists.org/oss-sec/2012/q2/493
[15-2] http://thehackernews.com/2012/06/cve-2012-
2122-serious-mysql.html
14. ระวงภย ชองโหว OpenType
Font อาจทำ เครองจอฟาวนทประกำศ: 13 มถนายน 2555
ปรบปรงลำสด: 13 มถนายน 2555
เรอง: ระวงภย ชองโหว OpenType Font อาจท�าเครองจอฟา
ประเภทภยคกคำม: DoS (Denial of Service)
ขอมลทวไปนกวจยแจงเตอนชองโหว 0-day ในไฟล ATMFD.DLL ซงใชใน
การท�างานรวมกบไฟลประเภท PostScript-based OpenType
Font (.OTF) [16-1] ผไมหวงดอาจโจมตผานชองโหวนผานไฟล
เอกสารทสามารถฝง (Embedded) Font ได เชน
ไฟลเอกสาร Microsoft Office หรอฝง Font ไวในเวบไซตแลว
หลอกใหผใชเปดเขาไปด
รปท 15.รปท 18 (16-1) BSoD ทเกดจากชองโหว ATMFD.DLL [16-2]
ผลกระทบระบบจะไมสามารถท�างานตอไดหาก Windows พยายามทจะ
แสดงผลขอมลในไฟล Font เชน เปดไฟลเอกสารหรอเขาหนา
เวบไซตทมการฝง Font อนตรายดงกลาว
• ใน Windows XP และ Server 2003 จะเกด BSoD
(Blue Screen of Death)
• ใน Windows Vista, 7 และ Server 2008 จะมการ
ใชงาน CPU 100%
ตวอยาง BSoD ในเครองทถกโจมตผานชองโหวน เปนดงรปท
18 (16-1)
30 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 31
ระบบทไดรบผลกระทบระบบปฏบตการ Windows ทงเวอรชน 32 บตและ 64 บต
ขอแนะนำ ในการปองกนและแกไขปจจบนชองโหวนยงไมมหมายเลข CVE และยงไมมขอมลเพม
เตมจาก Microsoft ผใชควรระวงในการเปดไฟลเอกสารท
สามารถฝง Font ได เชน ไฟลเอกสาร Microsoft Office และ
ควรระวงการเปดเวบไซตทไมนาเชอถอ
อางอง[16-1] http://www.exploit-db.com/exploits/19089/
[16-2] http://blog.cr4.sh/2012/06/0day-windows.html
15. ระวงภย ชองโหว Remote
Code Execution ใน Microsoft XML Core Service (CVE-2012-1889)วนทประกำศ: 14 มถนายน 2555
ปรบปรงลำสด: 14 มถนายน 2555
เรอง: ระวงภย ชองโหว Remote Code Execution ใน Mi-
crosoft XML Core Service (CVE-2012-1889)
ประเภทภยคกคำม: Intrusion
ขอมลทวไปMicrosoft ประกาศ Security Advisory หมายเลข 2719615
[17-1] [17-2] แจงเตอนการโจมตระบบปฏบตการ Windows
ผานชองโหวของ Microsoft XML Core Service ซงเปนระบบ
ทใชในการอานและแสดงผลขอมลในไฟล XML [17-3] ชองโหว
ดงกลาวเกดจากความผดพลาดในการเรยกใช Object ทยงไม
ได Initialize ท�าใหเกดเหตการณ Memory corruption ผใช
อาจถกโจมตจากชองโหวนผานเวบไซตทมไฟล XML อนตราย
และผานไฟลเอกสาร Microsoft Office
ผลกระทบผใชทใชโปรแกรม Internet Explorer เขาเวบไซตทมไฟล XML
ทสรางขนมาเพอโจมตผานชองโหวน อาจถกผไมหวงดสงประมวล
ผลค�าสงอนตรายจากระยะไกล (Remote Code Execution)
โดยค�าสงอนตรายดงกลาวจะไดรบสทธเทยบเทากบสทธของผ
ใชทก�าลงลอกอน นอกจากน ผใชทเปดไฟลเอกสาร Microsoft
Office ทมโคดอนตรายแฝงอยกจะไดรบผลกระทบเชนเดยวกน
ระบบทไดรบผลกระทบ• Windows XP, Vista, 7, Server 2003, Server 2008
ทง 32 บตและ 64 บต ทตดตง Microsoft XML Core
Services 3.0, 4.0, 5.0, และ 6.0
• Microsoft Office 2003 และ 2007
ขอแนะนำ ในการปองกนและแกไขMicrosoft ไดออกซอฟตแวรส�าหรบแกปญหานเปนการชวคราว
แลว ผใชสามารถตดตงไดจาก Microsoft Fix it [17-4] หาก
ไมสามารถตดตงซอฟตแวรดงกลาวได ควรระมดระวงในการ
เปดเวบไซตดวยโปรแกรม Internet Explorer หรอระมดระวง
การเปดไฟลเอกสาร Microsoft Office ทนาสงสย
โดยปกตแลวโปรแกรม Internet Explorer บน Windows
Server 2003, 2008 และ 2008 R2 จะท�างานในโหมด En-
hanced Security Configuration [17-5] ซงสามารถลดผลก
ระทบทเกดจากชองโหวนได อยางไรกตาม Microsoft ไดแนะน�า
ใหผใชตงคา EMET [17-6] ใหกบโปรแกรม Internet Explor-
er เพมเตมดวย
อางอง[17-1] https://technet.microsoft.com/en-us/security/
advisory/2719615
[17-2] http://cve.mitre.org/cgi-bin/cvename.
cgi?name=CVE-2012-1889
[17-3] http://msdn.microsoft.com/en-us/data/bb291077.
aspx
[17-4] http://support.microsoft.com/kb/2719615
[17-5] http://technet.microsoft.com/en-us/library/
dd883248(WS.10).aspx
[17-6] http://www.thaicert.or.th/papers/technical/2012/
pp2012te0004.html
16. ระวงภย ชองโหว Remote
Code Execution ใน Internet Explorer (CVE2012-1875)วนทประกำศ: 19 มถนายน 2555
ปรบปรงลำสด: 19 มถนายน 2555
เรอง: ระวงภย ชองโหว Remote Code Execution ใน In-
ternet Explorer (CVE2012-1875)
ประเภทภยคกคำม: Intrusion
ขอมลทวไปMicrosoft ประกาศ Security Bulletin รหส MS12-037
[18-1] เพอแจงเตอนการโจมตผานชองโหว Same ID Prop-
erty Remote Code Execution ใน Internet Explorer
(CVE2012-1875) [18-2] ชองโหวดงกลาวเกดขนเมอหนา
เวบไซตนนม Object ทถกประกาศชอ ID ซ�ากน แลวมการลบ
Object ตวใดตวหนงออก (เชน ถกลบโดย JavaScript) เมอม
การเรยกใช Object ทมชอ ID ดงกลาว Internet Explorer
จะไปอานขอมลจากหนวยความจ�าในต�าแหนงทไมไดใชงานแลว
(Use after free) ท�าใหโปรแกรมท�างานผดพลาด ปจจบนม
โคดเพอใชโจมตผานชองโหวดงกลาวเผยแพรในอนเทอรเนต
แลว [18-3] [18-4] [18-5]
ผลกระทบผโจมตสามารถสรางเวบไซตอนตรายแลวหลอกใหเหยอเขาไป
เมอเหยอเปดเวบไซตโดยใชโปรแกรม Internet Explorer อาจ
ถกผไมหวงดสงประมวลผลค�าสงอนตรายจากระยะไกลได
(Remote Code Execution) โดยผโจมตจะไดรบสทธในการ
ท�างานเทากบสทธของผใชทลอกอน
ระบบทไดรบผลกระทบInternet Explorer เวอรชน 6, 7, 8 และ 9 บนระบบปฏบต
การ Windows ทง 32 บตและ 64 บต
32 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 33
ขอแนะนำ ในการปองกนและแกไขMicrosoft ไดออกแพทชหมายเลข 2699988 เพอแกไขปญหา
ดงกลาวแลว ผใชสามารถดาวนโหลดไดจาก http://support.
microsoft.com/kb/2699988
อางอง[18-1] http://technet.microsoft.com/en-us/security/
bulletin/ms12-037
[18-2] http://www.cve.mitre.org/cgi-bin/cvename.
cgi?name=CVE-2012-1875
[18-3] http://pastebin.com/sFqxs4qx
[18-4] http://www.youtube.com/watch?v=b2_SEx6aBCI
[18-9] http://nakedsecurity.sophos.com/2012/06/19/
ie-remote-code-execution-vulnerability-be-
ing-actively-exploited-in-the-wild/
17. ระวงภย ชองโหว Remote
Code Execution ใน Windows Sidebar/Gadgetวนทประกำศ: 12 กรกฎาคม 2555
ปรบปรงลำสด: 12 กรกฎาคม 2555
เรอง: ระวงภย ชองโหว Remote Code Execution ใน
Windows Sidebar/Gadgets
ประเภทภยคกคำม: Intrusion
ขอมลทวไปWindows Sidebar เปนคณสมบตทมใน Windows Vista โดย
จะปรากฏเปนแถบยาวแนวตงอยทางขวาของ Desktop ภายใน
สามารถบรรจ Gadgets ซงเปนโปรแกรมยอยทชวยอ�านวย
ความสะดวกในการท�างานหรอตดตามขอมล เชน แสดงนาฬกา
แสดงเปอรเซนตการใช CPU แสดง RSS Feed เปนตน [19-1]
ใน Windows Vista นน Gadgets จะถกจ�ากดไวใน Sidebar
แตใน Windows 7 ทาง Microsoft ไดตด Windows Sidebar
ออกไป และปรบปรงให Gadgets สามารถอยบนหนา Desktop
ไดอยางอสระ พรอมทงเรยกชอคณสมบตใหมนวา Windows
Gadgets [19-2] ตวอยาง Windows Sidebar เปนดงรปท 19
(19-1) และตวอยาง Windows Gadgets เปนดงรปท 20
(19-2)
รปท 20 (19-2) Windows Gadgets ใน Windows 7 [19-2]
เมอวนท 10 กรกฎาคม 2555 Microsoft ประกาศ Security
Advisory รหส KB2719662 เพอแจงเตอนการโจมตผานชอง
โหวใน Windows Sidebar และ Windows Gadgets พรอม
ปลอยซอฟตแวร Fix it เพอแกไขปญหาดงกลาว [19-3]
รปท 16.รปท 19 (19-1) Windows Sidebar ใน Windows Vista [19-1]
รปท 17.รปท 20 (19-2) Windows Gadgets ใน Windows 7 [19-2]
ผลกระทบผไมประสงคดสามารถสรางไฟล Gadgets (.gadget) ทมค�าสง
โจมตผานชองโหวดงกลาวอย หากผใชตดตง Gadgets นนลง
ในระบบโดยไมตงใจ อาจถกผไมประสงคดสงประมวลผลค�าสง
อนตรายจากระยะไกลได (Remote Code Execution) โดยผ
ไมประสงคดจะไดรบสทธในการท�างานเทากบสทธของผใชท
ลอกอน
ระบบทไดรบผลกระทบWindows Vista และ Windows 7 ทงเวอรชน 32 บตและ
64 บต
ขอแนะนำ ในการปองกนและแกไขMicrosoft ไดออกซอฟตแวร Fix it 50907 เพอปดการท�างาน
ของ Windows Sidebar/Gadgets โดยซอฟตแวรดงกลาวน
เปนการปดการท�างานเพอแกปญหาแบบชวคราวระหวาง รอ
แพทชแกไขชองโหวตอไป ผใชสามารถดาวนโหลดซอฟตแวร
Fix it ไดจาก เวบไซตของ Microsoft [19-4]
ปจจบน Microsoft ไดยกเลกบรการดาวนโหลด Gadgets จาก
หนาเวบไซตของ Microsoft แลว [19-5] แตผใชยงสามารถ
ดาวนโหลดและตดตง Gadgets จากเวบไซตอนๆ ไดตามปกต
อยางไรกตาม การตดตง Gadgets จากแหลงทมาทไมนาเชอ
ถออาจเปนอนตรายตอระบบได ผใชควรพจารณาใหรอบคอบ
กอนท�าการตดตง Gadget ใดๆ ลงในเครอง โดยอาจตดตง
เฉพาะ Gadgets จากบรษททมความนาเชอถอ และหลกเลยง
การตดตง Gadgets จากนกพฒนาภายนอก
อางอง[19-1] http://windows.microsoft.com/en-US/win-
dows-vista/Windows-Sidebar-and-gadgets-
overview
[19-2] http://windows.microsoft.com/en-us/windows7/
products/features/gadgets
[19-3] http://technet.microsoft.com/en-us/security/
advisory/2719662
[19-4] http://support.microsoft.com/kb/2719662
[19-5] http://windows.microsoft.com/th-TH/windows/
downloads/personalize/gadgets
34 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 35
18. ระวงภย โทรจน GetShell.A
ทำ งานไดทงบน Windows, Mac และ Linuxวนทประกำศ: 12 กรกฎาคม 2555
ปรบปรงลำสด: 12 กรกฎาคม 2555
เรอง: ระวงภย โทรจน GetShell.A ท�างานไดทงบน Windows,
Mac และ Linux
ประเภทภยคกคำม: Malicious Code
ขอมลทวไปบรษท F-Secure ผพฒนาโปรแกรมแอนตไวรส ไดคนพบวธ
การเผยแพร โปรแกรมไมพงประสงคบน
หนาเวบไซตท ถกแฮก [20-1] [20-2]
ผไมประสงคดฝง Java
applet ไวในเวบไซต
เมอผ ใชเขามายง
เวบไซตดงกลาวกจะพบกบ
หนาตางขอยนยนการท�างาน
ของ Java applet ทถก Sign
โดย CA ทไมนาเชอถอ
(Untrusted) ดงรปท 21
(20-1) และ 22 (20-2)
รปท 18.รปท 21 (20-1) หนาตางขอยนยนการท�างานของ Java applet ไมพง
ประสงคบนระบบปฏบตการ Windows
รปท 19.รปท 22 (20-2) หนาตางขอยนยนการท�างานของ Java applet ไมพง
ประสงคบนระบบปฏบตการ Mac OS X
ผลกระทบหากผใชอนญาตให Java applet ดงกลาวท�างาน applet นน
จะตรวจสอบเครองของผใชวาเปนระบบปฏบตการอะไร จาก
นนจะเชอมตอไปยงเครอง C&C เพอดาวนโหลดโทรจน Get-
Shell.A มาตดตงลงในเครองของผใช
โทรจน GetShell.A เปน Backdoor ทจะเปดพอรตไวเพอรอ
ใหผไมประสงคดเชอมตอเขามาสงงานเครอง คอมพวเตอรทตก
เปนเหยอใหประมวลผลค�าสงไมพงประสงค [20-3]
ระบบทไดรบผลกระทบจากขอมลในไฟล Java applet ดงรปท 23 (20-3) แสดงให
เหนวา โปรแกรมไมพงประสงคดงกลาวสามารถท�างานไดทง
บนระบบปฏบตการ Windows เวอรชน 32 บตและ 64 บต
รวมทงระบบปฏบตการ Mac OS X และ Linux ดวย
รปท 20.รปท 23 (20-3) ขอมลในไฟล Java applet
อยางไรกตาม โทรจน GetShell.A บนระบบปฏบตการ Mac
OS X นนจะท�างานไดบนเครองทใช CPU PowerPC เทานน
หากน�าไฟลนมารนบนเครองทเปน CPU Intel ระบบจะแสดง
หนาจอแจงเตอนวาตองรนผานโปรแกรม Rosetta ดงรปท 24
(20-4)
รปท 21.รปท 24 (20-4) หนาจอการแจงเตอนวาตองรนโทรจนผานโปรแกรม Rosetta
ขอแนะนำ ในการปองกนและแกไขหากผใชตกเปนเหยอของโทรจน GetShell.A สามารถก�าจด
โทรจนนออกจากระบบไดโดยใชโปรแกรมแอนตไวรสทไดรบ
การอพเดทฐานขอมลเปนเวอรชนลาสด
อยางไรกตาม เพอเปนการปองกนความเสยหายทอาจจะเกด
ขนไดในอนาคต ผใชไมควรเขาชมเวบไซตทไมรจก เชน ไมควร
คลกลงกทมากบอเมล เปนตน รวมทงกอนการคลกอนญาตให
รน Java applet บนเวบไซตใดๆ ผใชควรตรวจสอบใหแนใจ
วาตองการรน applet นนจรงๆ หากไมแนใจควรปดเวบไซต
นนทนท เพราะ applet ดงกลาวอาจน�ามาซงโปรแกรมไมพง
ประสงคกได
อางอง[20-1] https://www.f-secure.com/weblog/ar-
chives/00002397.html
[20-2] http://www.computerworld.com/s/article/9228972/
Java_based_Web_attack_installs_backdoors_on_Win-
dows_Linux_Mac_computers
[20-3] http://www.microsoft.com/security/portalh-
rEnEntaspx?Name=TrojanDownloader
%3AJava%2FGetShell.A&ThreatID=-2147308694
19. Yahoo! Contributor
Network ถกเจาะ บญชผใช 453,492 รายหลดเปน plaintextวนทประกำศ: 12 กรกฎาคม 2555
ปรบปรงลำสด: 13 กรกฎาคม 2555
เรอง: Yahoo! Contributor Network ถกเจาะ บญชผใช
453,492 รายหลดเปน plaintext
ประเภทภยคกคำม: Intrusion
ขอมลทวไปแฮกเกอรโพสตขอมลบญชผใชบรการบางอยางของ Yahoo!
จ�านวน 453,492 รายลงในเวบไซตแหงหนง โดยอางวาไดขอมล
ดงกลาวมาดวยวธการท�า SQL Injection แบบ Union ซงขอมล
บญชผใชทงหมดทถกโพสตนนเปน plaintext ไมมการเขารหส
ลบแตอยางใด [21-1] [21-2] ตวอยางขอมลทถกโพสตเปนดง
รปท 25 (21-1)
รปท 22.รปท 25 (21-1) ตวอยางขอมลบญชผใชบรการของ Yahoo! ทถกโพสต
ผทโพสตขอมลบญชผใชไมไดระบวาบรการของ Yahoo! นนคอ
บรการอะไร แตจากการวเคราะหของเวบไซต TrustedSec
คาดวาเปนบรการ Yahoo! Voices เนองจากตรวจสอบพบ
ขอความ dbb1.ac.bf1.yahoo.com อยในไฟลทถกเผยแพร
ซงเปนเซรฟเวอรของบรการ Yahoo! Voices [21-3]
ลาสดทาง Yahoo! ไดออกแถลงการณในเรองดงกลาว โดยชแจง
วาขอมลทหลดออกมานนเปนขอมลเกาของ Yahoo! Contrib-
utor Network (http://contributor.yahoo.com) ซงเปน
บรการรวมรวมขอมลขาวสารทผใชสราง เชน บทความ ภาพถาย
คลปวดโอ เพอน�าขนไปเผยแพรในบรการตางๆ ของ Yahoo!
(เชน Yahoo! Voices หรอ Yahoo! News) ดงแสดงในรปท
36 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 37
26 (21-2) ซงบรการดงกลาวนอนญาตใหผใชสามารถใชอเมล
อนในการสมครได โดยไมจ�าเปนทจะตองใช Yahoo! Mail เพยง
อยางเดยว [21-4]
รปท 23.รปท 26 (21-2) หนาเวบไซตของ Yahoo! Contributor Network
นอกจากน ทาง Yahoo! ไดชแจงเพมเตมวา รหสผานในบญช
ผใชตามรายชอทถกเผยแพรออกไปนนมจ�านวนไมถง 5% ทยง
สามารถใชงานได อยางไรกตาม ทาง Yahoo! แจงวาก�าลง
ปรบปรงแกไขชองโหวทพบ และไดเปลยนรหสผานใหกบผใชท
ไดรบผลกระทบจากเหตการณดงกลาวแลว
ผลกระทบผทใชบรการของ Yahoo! ทมรายชออยในขอมลทถกเผยแพร
อาจถกสวมรอยบญชผใชได
ระบบทไดรบผลกระทบผใชบรการ Yahoo! Contributor Network มความเสยงทจะ
ไดรบผลกระทบโดยตรง แตเนองจากบรการดงกลาวนมความ
เชอมโยงกบบรการอนๆ ของ Yahoo! ดวย ดงนนผทใชงาน
บรการตางๆ ของ Yahoo! ตามรายชอตอไปน อาจไดรบผลก
ระทบตามไปดวย
• Yahoo! Voices (http://voices.yahoo.com/)
• Yahoo! News (http://news.yahoo.com/)
• Yahoo! Local (http://local.yahoo.com/)
• Yahoo! Local (http://sports.yahoo.com/)
• Yahoo! Sports (http://finance.yahoo.com/)
• Yahoo! Finance (http://finance.yahoo.com/)
• Yahoo! TV (http://tv.yahoo.com/)
• Yahoo! Movies (http://movies.yahoo.com/)
• Yahoo! Shopping (http://shopping.yahoo.com/)
• omg! shine (http://omg.yahoo.com/)
ขอแนะนำ ในการปองกนและแกไขบรษท Sucuri ซงเปนบรษททท�าวจยเกยวกบ Malware ได
พฒนาเวบไซตเพอชวยเหลอผใชบรการของ Yahoo! ในการ
ตรวจสอบอเมลของตนเองวาอยในรายชอทถกเผยแพรหรอไม
โดยสามารถตรวจสอบไดทเวบไซต http://labs.sucuri.
net/?yahooleak
อยางไรกตาม เพอเปนการปองกนปญหาทอาจจะเกดขน ผใช
บรการของ Yahoo! ควรรบเปลยนรหสผานทใชงานโดยทนท
อางอง[21-1] http://arstechnica.com/security/2012/07/ya-
hoo-service-hacked/
[21-2] http://thenextweb.com/insider/2012/07/12/
yahoo-gets-hacked-as-400000-plaintext-creden-
tials-are-posted-online/
[21-3] https://www.trustedsec.com/july-2012/yahoo-
voice-website-breached-400000-compromised/
[21-4] http://techcrunch.com/2012/07/12/yahoo-
confirms-apologizes-for-the-email-hack-says-
still-fixing-plus-check-if-you-were-impacted-
non-yahoo-accounts-apply/
20. ระวงภย ชองโหวใน
ซอฟตแวร Uplay ของ Ubisoft แฮกเกอรสามารถสงเปดโปรแกรมในเครองเหยอไดวนทประกำศ: 31 กรกฎาคม 2555
ปรบปรงลำสด: 31 กรกฎาคม 2555
เรอง: ระวงภย ชองโหวในซอฟตแวร Uplay ของ Ubisoft แฮก
เกอรสามารถสงเปดโปรแกรมในเครองเหยอได
ประเภทภยคกคำม: Intrusion
ขอมลทวไปDRM ยอมาจาก Digital Right Management เปนระบบ
ปองกนการละเมดลขสทธ ซงนยมใชในการควบคมการใชงาน
หรอการเผยแพรขอมลดจทล เชน ซอฟตแวร เพลง หรอ
ภาพยนตร เปนตน [22-1]
Uplay เปนซอฟตแวร DRM ของบรษท Ubisoft ซงใชในการ
Activate เกมทผใชซอมาผานทางเวบไซต Uplay ระบบดง
กลาวถกน�ามาใชครงแรกในเกม Assassin’s Creed 2 ซงวาง
จ�าหนายเมอป พ.ศ. 2552 เมอผใชตดตงเกมของ Ubisoft
โปรแกรม Uplay จะถกตดตงมาเปนปลกอนของเบราวเซอร
ดวย [22-2] ตวอยางโปรแกรม Uplay เปนดงรปท 27 (22-1)
รปท 24.รปท 27 (22-1) โปรแกรม Uplay (ทมา http://uplay.ubi.com)
นาย Tavis Ormandy ผเชยวชาญดานความมนคงปลอดภย
จาก Google ไดรายงานการคนพบชองโหวของโปรแกรม
Uplay ทถกตดตงมาพรอมกบเกม Assassin’s Creed Reve-
lation ใน Full Disclosure Mailing List พรอมเผยแพรตวอยาง
โคดทใชทดสอบการท�างานของชองโหวดงกลาว [22-3]
ผลกระทบโปรแกรม Uplay สามารถเรยกใชงานโปรแกรมใดๆ ในเครอง
ไดผานทางเวบเบราวเซอร ผไมหวงดสามารถสรางหนาเวบไซต
ทมโคด JavaScript เพอสงรนไฟลใดๆ กไดในเครองของเหยอ
[22-4]
ระบบทไดรบผลกระทบเครองทใชงานระบบปฏบตการ Windows ทตดตงเกมของ
Ubisoft ทใชงานระบบ Uplay ดงน [22-5]
• Anno 2070
• Assassin’s Creed II
• Assassin’s Creed: Brotherhood
• Assassin’s Creed: Project Legacy
• Assassin’s Creed Revelations
• Assassin’s Creed III
• Beowulf: The Game
• Brothers in Arms: Furious 4
• Call of Juarez: The Cartel
• Driver: San Francisco
• Heroes of Might and Magic VI
• Just Dance 3
• Prince of Persia: The Forgotten Sands
• Pure Football
• R.U.S.E.
• Shaun White Skateboarding
• Silent Hunter 5: Battle of the Atlantic
• The Settlers 7: Paths to a Kingdom
• Tom Clancy’s H.A.W.X. 2
• Tom Clancy’s Ghost Recon: Future Soldier
• Tom Clancy’s Splinter Cell: Conviction
• Your Shape: Fitness Evolved
38 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 39
ขอแนะนำ ในการปองกนและแกไขบรษท Ubisoft ไดเผยแพรโปรแกรม Uplay เวอรชน 2.04 ท
ไดแกไขชองโหวนแลว โดยจะอนญาตใหปลกอน Uplay ในเวบ
เบราวเซอรเรยกใชงานไดแคโปรแกรมของ Uplay เทานน
[22-6] ซงสามารถดาวนโหลดไดจากเวบไซต http://uplay.
ubi.com ผใชสามารถตรวจสอบเวอรชนของโปรแกรม Uplay
ทถกตดตงในเครองไดโดยการคลกปมรปตว i ทมมขวาบนของ
หนาตางโปรแกรม
โปรแกรม Mozilla Firefox ไดจดใหปลกอน Uplay อยใน
Blocker List แลว เพอปองกนการโจมตจากชองโหวดงกลาว
[22-7]
ส�าหรบผทตองการตรวจสอบวาเครองคอมพวเตอรทใชงานอย
นนปลอดภยหรอไม สามารถตรวจสอบไดจากเวบไซต Proof-
of-concept code ท http://pastehtml.com/view/
c6gxl1a79.html หากปรากฏหนาตางโปรแกรม Calculator
แสดงวาระบบมชองโหว ควรอพเดทโปรแกรม Uplay โดยทนท
อางอง[22-1] http://computer.howstuffworks.com/drm1.htm
[22-2] http://www.kotaku.com.au/2009/11/ubisoft-
all-our-games-will-do-this-uplay-thing/
[22-3] http://seclists.org/fulldisclosure/2012/Jul/375
[22-4] http://www.h-online.com/security/news/item/
Ubisoft-DRM-opens-backdoor-1655653.html
[22-5] http://en.wikipedia.org/wiki/Ubisoft#Uplay
[22-6] http://forums.ubi.com/showthread.php/699756-Ub-
i s o f t -DRM- roo t k i t -may - a l l ow - a c -
cess-to-PC-files?s=14dfb48e3f481a0a8c6aab-
c8da7fbc0b&p=8510888&viewfull=1#post8510888
[22-7] https://addons-dev.allizom.org/en-US/firefox/
blocked/p103
21. นกวจยสาธตมลแวรทตด
ในเฟรมแวร EFI ของเครอง Macวนทประกำศ: 1 สงหาคม 2555
ปรบปรงลำสด: 1 สงหาคม 2555
เรอง: นกวจยสาธตมลแวรทตดในเฟรมแวร EFI ของเครอง
Mac
ประเภทภยคกคำม: Malicious Code, Intrusion
ขอมลทวไปEFI หรอ Extensible Firmware Interface เปนเฟรมแวรท
ถกออกแบบมาเพอใชแทน BIOS เนองจากเทคโนโลยใน BIOS
นนมขอจ�ากดและไมสามารถรองรบกบอปกรณใหมๆ ทออกมา
ได เชน ไมสามารถบตจากฮารดดสกทมขนาดใหญกวา 2 TB
ได เปนตน
EFI ถกคดคนและพฒนาขนโดยบรษท Intel ในป พ.ศ. 2541
และไดออกมาตรฐาน EFI เวอรชน 1.10 ในป พ.ศ. 2548 จาก
นนไดเปลยนใหองคกร Unified EFI Consortium เปนผดแล
จงไดเปลยนชอใหมเปน Unified Extensible Firmware In-
terface (UEFI) [23-1] ในป พ.ศ. 2549 บรษท Apple Inc.
ไดผลตเครองคอมพวเตอร Macintosh ทใช CPU ของ Intel
และไดเรมใชเทคโนโลย EFI ในคอมพวเตอรตระกล Macintosh
ตงแตนนเปนตนมา โดยเทคโนโลย EFI ท Apple น�ามาใชนน
อางองตามมาตรฐาน EFI เวอรชน 1.10 [23-2]
ในงาน Black Hat USA 2012 นกวจยดานความมนคงปลอดภย
ไดสาธตมลแวรประเภท Rootkit ทสามารถแทรกตวเองลงใน
เฟรมแวร EFI ของเครอง Mac Book Air และสามารถขามการ
ท�างาน (Bypass) ของระบบ FileVault ซงเปนระบบเขารหส
ลบขอมลในฮารดดสกได
ผลกระทบมลแวรทนกวจยน�ามาสาธตนสามารถแกไข Kernel ของระบบ
ปฏบตการ รวมถงท�างานเปน Keylogger เพอดกรหสผานทใช
ในการถอดรหสลบดสกทถกเขารหสลบดวยระบบ FileVault
ได นอกจากนนกวจยยงไดใหขอมลเพมเตมวามลแวรดงกลาว
นสามารถดดแปลงใหมความสามารถอนๆ เพมเตมไดดวย เชน
เปด Reverse Shell เพอใหผไมหวงดเขามาควบคมเครองจาก
ระยะไกลได เปนตน [23-3]
การแพรกระจายของมลแวรดงกลาวน อาจท�าไดดวยการเสยบ
USB Drive ทมโคดของมลแวรเขาไปในเครองของเหยอ หรอ
เสยบอปกรณ Thunderbolt-to-Ethernet ทถกดดแปลงโดย
ใสไดรเวอรพเศษเขาไป จากนนเมอเปดเครองคอมพวเตอร
เครองของเหยอกจะน�าโคดอนตรายดงกลาวไปประมวลผลโดย
อตโนมต
ระบบทไดรบผลกระทบเครองคอมพวเตอรตระกล Macintosh ทใชระบบ EFI (เครอง
ทวางจ�าหนายตงแตป พ.ศ. 2549 เปนตนไป)
ขอแนะนำ ในการปองกนและแกไขมลแวรทนกวจยน�ามาสาธตนถกสรางขนมาเพอแสดงใหเหนถง
ชองโหว และไมไดน�าไปแพรกระจายในสาธารณะ แตอยางไร
กตาม อาจมผไมหวงดน�าชองโหวดงกลาวนไปสรางมลแวรเพอ
โจมตผใชงานทวไปได
การปองกนตวจากการโจมตผานชองโหวดงกลาว อาจท�าได
หลายวธ เชน การตงรหสผานในขนตอน BDS (Boot Device
Selection) ซงเปนขนตอนทใหผใชเลอกวาจะบตจากอปกรณ
อะไร ซงวธการดงกลาวสามารถปองกนการโจมตจากอปกรณ
เชอมตอภายนอก เชน USB Drive, Firewire หรอ Network
Interface ไดเทานน แตไมสามารถปองกนการโจมตโดยการ
เสยบอปกรณเขากบ PCI Bus ของเครองโดยตรงได เชน Ex-
pressCard หรอ Thunderbolt [23-4]
เนองจากมลแวรดงกลาวนจะท�างานไดกตอเมอผโจมตสามารถ
เชอมตออปกรณ เชน USB Drive เขากบเครองคอมพวเตอร
ของเหยอ ดงนนหากผใชตรวจสอบพอรตของเครองกอนท�าการ
เปดเครอง กอาจชวยปองกนการโจมตจากผไมหวงดได
อางอง[23-1] http://h30565.www3.hp.com/t5/Feature-Articles/
The-30-year-long-Reign-of-BIOS-is-Over-Why-
UEFI-Will-Rock-Your/ba-p/198
[23-2] http://www.everymac.com/mac-answers/
macintel-faq/intel-macs-openfirmware-bios-al-
tivec-firewire-powerpc.html#bios
[23-3] http://www.h-online.com/security/news/item/
EFI-rootkit-for-Macs-demonstrated-1655108.
html
[23-4] http://ho.ax/De_Mysteriis_Dom_Jobsivs_Black_
Hat_Paper.pdf
40 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 41
22. ระวงภย ชองโหว
CVE-2012-4681 ใน Java 7วนทประกำศ: 28 สงหาคม 2555
ปรบปรงลำสด: 24 ตลาคม 2555
เรอง: ระวงภย ชองโหว CVE-2012-4681 ใน Java 7
ประเภทภยคกคำม: Malicious Code, Intrusion
ขอมลทวไปบรษท FireEye ซงเปนบรษททวเคราะหและพฒนาเครองมอ
ทเกยวของกบระบบ Security ไดคนพบการโจมตผานชองโหว
ของโปรแกรม Java Runtime เวอรชน 7 Update 6 (build
1.7.0_06) โดยโจมตผานการฝง Java Applet ไวในเวบไซต
[24-1] ชองโหวดงกลาวนถกก�าหนดหมายเลขเปน CVE-2012-
4681 [24-2]
ผลกระทบเมอผใชเขาไปยงเวบไซตทม Java Applet อนตรายอย จะถก
Applet ดงกลาวนดาวนโหลดโปรแกรมไมพงประสงคมาตดตง
ลงในเครอง ดงรปท 28 (24-1) ซงโปรแกรมดงกลาวนเปดโอกาส
ใหผไมหวงดสงประมวลผลค�าสงอนตรายจากระยะไกลได
(Remote Code Execution) [24-3]
รปท 25.รปท 28 (24-1) โปรแกรมไมพงประสงคทถกดาวนโหลดมาตดตง (ทมา
FireEye)
ระบบทไดรบผลกระทบทมพฒนา Metasploit ซงเปนซอฟตแวรทใชส�าหรบทดสอบ
ชองโหวของระบบ (Penetration Testing) ไดทดลองสรางชด
ค�าสงทโจมตผานชองโหวดงกลาว และพบวาค�าสงนสามารถ
ท�างานไดบนระบบทตดตง Java Runtime เวอรชน 7 ตงแต
Update 0 จนถง Update 6 ผานทางเบราวเซอรบนระบบ
ปฏบตการดงตอไปน [24-4]
• Mozilla Firefox บน Ubuntu 10.04
• Internet Explorer, Mozilla Firefox และ Google
Chrome บน Windows XP
• Internet Explorer และ Mozilla Firefox บน
Windows Vista
• Internet Explorer และ Mozilla Firefox บน
Windows 7
• Safari บน OS X 10.7.4
อยางไรกตาม ชองโหวดงกลาวนอาจท�างานไดบนระบบปฏบต
การใดๆ ทใชเบราวเซอรอนๆ ไดอก หากมความคบหนาเพม
เตมทางไทยเซรตจะแจงใหทราบตอไป
ตวอยาง การโจมตโดยใชซอฟตแวร Metasploit เปนดงรปท
29 (24-2)
รปท 26.รปท 29 (24-2) ตวอยางการใช Metasploit โจมต Windows 7 ผานชองโหว
CVE-2012-4681 (ทมา Rapid7)
ขอแนะน�าในการปองกนและแกไขในวนท 31 สงหาคม 2555 บรษท Oracle ผผลตซอฟตแวร
Java Runtime ไดปลอยโปรแกรม Java 7 Update 7 (build
1.7.0_07) ซงแกไขชองโหวนแลว ผใชสามารถดาวนโหลดได
จากเวบไซตของ Oracle [24-6]
หากไมสามารถอพเดทได ผเชยวชาญจากสถาบน SANS แนะน�า
ใหผใชปดการท�างานของ Java ในเบราวเซอร หรอใชปลกอน
เชน No-Script เพอเลอกอนญาตให Java ท�างานไดเฉพาะใน
เวบไซตทก�าหนด และหากไมจ�าเปนตองใชความสามารถของ
Java Runtime เวอรชน 7 อาจดาวนเกรดไปใช Java Runtime
เวอรชน 6 ทอพเดทลาสดแทนไปกอนได [24-7]
บรษท Apple ไดปลอยแพทชเพอแกไขชองโหวของ Java ใน
Mac OS X เมอวนท 16 ตลาคม 2555 [24-8] โดยแพทชดง
กลาวนจะอพเดทโปรแกรม Java SE 6 เปนเวอรชน 1.6.0_37
พรอมทงตดการสนบสนน Java ในเบราวเซอร Safari ท�าใหผ
ใชทตองการใชงาน Java ใน Safari จ�าเปนตองตดตงปลกอน
Java เวอรชนทพฒนาโดยบรษท Oracle เอง [24-9]
อางอง[24-1] http://blog.fireeye.com/research/2012/08/zero-
day-season-is-not-over-yet.html
[24-2] http://web.nvd.nist.gov/view/vuln/detail?vul-
nId=CVE-2012-4681
[24-3] http://labs.alienvault.com/labs/index.php/2012/
new-java-0day-exploited-in-the-wild/
[24-4] https://community.rapid7.com/community/
metasploit/blog/2012/08/27/lets-start-the-
week-with-a-new-java-0day
[24-5] http://www.oracle.com/technetwork/topics/
security/alerts-086861.html
[24-6] http://www.oracle.com/technetwork/java/ja-
vase/downloads/index-jsp-138363.html
[24-7] https://isc.sans.edu/diary.html?storyid=13984
[24-8] http://support.apple.com/kb/DL1572
[24-9] http://thehackernews.com/2012/10/apple-up-
date-removes-java-plugin-from.html
23. ระวงภย Foxit Reader
เวอรชนเกากวา 5.4 มชองโหว DLL hijackingวนทประกำศ: 12 กนยายน 2555
ปรบปรงลำสด: 12 กนยายน 2555
เรอง: ระวงภย Foxit Reader เวอรชนเกากวา 5.4 มชองโหว
DLL hijacking
ประเภทภยคกคำม: Intrusion
ขอมลทวไปFoxit Software ผพฒนาโปรแกรม Foxit Reader ซงใชใน
การอานไฟล PDF ไดแจงวาในโปรแกรม Foxit Reader เวอรชน
เกากวา 5.4 มชองโหว DLL hijacking ซงอนญาตใหผไมหวงด
โจมตผานไฟล DLL ทเปนอนตรายได และแนะน�าใหผใชอพเดท
เปนเวอรชนลาสด [25-1]
ผลกระทบเมอโปรแกรม Foxit Reader เรมท�างาน จะมการโหลดไฟล
DLL เขามาประมวลผล แตหากโปรแกรมพบวามไฟล DLL ท
มชอเดยวกนกบไฟล DLL ทตองการโหลดอยในไดเรกทอรท
ไฟล PDF อย โปรแกรมกจะโหลดไฟล DLL นนเขามาประมวล
ผลแทนไฟลจรง
ในการโจมต ผไมหวงดสามารถใชวธการวางไฟล PDF และไฟล
DLL อนตรายไวในทเดยวกน เชน วางไฟลไวใน Shared Di-
rectory แลวใหเครองของเหยอเขามาเปดไฟลนน [25-2] เมอ
เหยอเปดไฟลดงกลาว ค�าสงอนตรายทอยในไฟล DLL กจะถก
น�าไปประมวลผลทนท
ระบบทไดรบผลกระทบFoxit Reader for Windows เวอรชนเกากวา 5.4
ขอแนะนำ ในการปองกนและแกไขFoxit Software ไดออกโปรแกรม Foxit Reader เวอรชน 5.4
42 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 43
ซงแกไขปญหาดงกลาวแลว [25-3] ผใชสามารถดาวนโหลดได
จากเวบไซตของ Foxit Reader หรอหากผใชตดตงโปรแกรม
Foxit Reader ไวในเครองอยแลว สามารถอพเดทใหเปนเวอรชน
ลาสดไดดวยการคลกทเมน Help เลอก Check for Updates
Now
อางอง[25-1] http://www.h-online.com/security/news/item/
Foxit-Reader-5-4-fixes-DLL-hijacking-vulnerabil-
ity-1703878.html
[25-2] http://www.foxitsoftware.com/Secure_PDF_Read-
er/security_bulletins.php#malicious
[25-3] https://www.foxitsoftware.com/company/press.
php?action=view&page=201209052316.html
24. Blizzard
Entertainment ถกเจาะระบบ ผใชงานควรเปลยนรหสผานโดยดวนวนทประกำศ: 10 สงหาคม 2555
ปรบปรงลำสด: 10 สงหาคม 2555
เรอง: Blizzard Entertainment ถกเจาะระบบ ผใชงานควร
เปลยนรหสผานโดยดวน
ประเภทภยคกคำม: Intrusion
ขอมลทวไปBlizzard Entertainment เปนบรษททพฒนาเกมคอมพวเตอร
โดยมเกมทไดรบความนยม เชน WarCraft, StarCraft, Diablo
เปนตน ดงรปท 8 (2-1) ซงหลายเกมสามารถเลนออนไลนได
ผานระบบ Battle.Net
รปท 27.รปท 8 (2-1) ตวอยางเกมของ Blizzard Entertainment
เมอวนท 9 สงหาคม 2555 Blizzard Entertainment ไดแจง
วาระบบภายในของ Net ถกเขาถงโดยไมไดรบอนญาต จาก
การตรวจสอบพบวา ผไมหวงดไดขอมลอเมลทใชในการเขาส
ระบบ Battle.Net ในทกภมภาคของโลก ยกเวนประเทศจน
นอกจากนยงไดขอมลบญชผใชในเซรฟเวอร North America
ซงมขอมลของผเลนในภมภาคตางๆ เชน North America,
Latin America, Australia, New Zealand และ Southeast
Asia รวมอยดวย โดยขอมลทหลดออกไปนนประกอบดวยรหส
ผานทถกเขารหสลบไว ค�าตอบของค�าถามทใชในการกคนรหส
ผาน และขอมลการยนยนตวตนผานโทรศพทมอถอ เปนตน
[2-1]
ทาง Blizzard Entertainment
ใหขอมลเพมเตมวา ไดตรวจ
สอบพบวามการการ
เจาะระบบไดตงแต
วนท 4 สงหาคม
2555 แลว แต
ตองการตรวจสอบ
ขอมลใหชดเจนกอน
จงไดประกาศแจงเตอนใน
วนท 9 สงหาคม [2-2] อยางไร
กตาม ทาง Blizzard Entertainment
ไดแจงวา ขอมลบตรเครดตและขอมลการ
ซอสนคานนไมไดรบผลกระทบจากการถก
เจาะระบบครงน
ผลกระทบเนองจากรหสผานทหลดออกไปนนเปนรหสผานทถกเขารหส
ลบไว แตผไมหวงดไดขอมลค�าตอบของค�าถามทใชในการกคน
รหสผานไปดวย ดงนนผใชงานระบบ Battle.Net มโอกาสท
จะถกขโมยบญชผใช จากการตอบค�าถามทใชในการกคนรหส
ผานได
ระบบทไดรบผลกระทบระบบ Battle.Net
ขอแนะนำ ในการปองกนและแกไขบรษท Blizzard Entertainment ไดแนะน�าใหผทใชงานระบบ
Battle.Net เปลยนรหสผานโดยดวน พรอมกนน ไดใหขอมล
เพมเตมวา จะพฒนาระบบเพออ�านวยความสะดวกในการ
เปลยนรหสผานและค�าถามทใชในการกคนรหสผาน รวมถงจะ
อพเดทซอฟตแวรทใชในการยนยนตวตนผานโทรศพทมอถอ
ในเรวๆ น อยางไรกตาม ทางบรษทยงคงเปดใชงานระบบการ
ยนยนตวตนผานโทรศพทมอถอ และระบบกคนรหสผานโดย
วธการตอบค�าถามทใชในการกคนรหสผานตามปกต ถงแม
ขอมลดงกลาวจะถกผไมหวงดเขาถงไดแลวกตาม
อางอง[1-1] http://us.blizzard.com/en-us/company/press/
pressreleases.html?id=6940026
[1-2] http://us.battle.net/support/en/article/impor-
tant-security-update-faq
44 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 45
25. ระวงภย ชองโหวใน
Internet Explorer ผโจมตสามารถทำ Remote Code Execution ได (CVE-2012-4969)วนทประกำศ: 18 กนยายน 2555
ปรบปรงลำสด: 25 กนยายน 2555
เรอง: ระวงภย ชองโหวใน Internet Explorer ผโจมตสามารถ
ท�า Remote Code Execution ได (CVE-2012-4969)
ประเภทภยคกคำม: Intrusion
ขอมลทวไป วนท 14 กนยายน 2555 ทผานมา Eric Romang ทปรกษา
ดานความมนคงปลอดภยระบบคอมพวเตอร ไดคนพบชองโหว
ของโปรแกรม Internet Explorer ซงชองโหวนเกดจาก Object
หนงทใชในขณะแสดงผลของโคดภาษา HTML ถกลบออกจาก
หนวยความจ�า และในเวลาตอมา Object นนถกเรยกใชอก
ครง ท�าใหเกดสภาวะ use-after-free ซงท�าใหโปรแกรมเกด
การท�างานผดพลาด หลงจากการคนพบ Romang ไดสงขอมล
ใหผเชยวชาญอน ๆ ชวยยนยนวาขอมลทพบเปนชองโหวจรง
[26-1]
ตอมาในวนท 16 กนยายน 2555 ชองโหวนได
รบการยนยนจาก @binjo ผ
เชยวชาญดานความ
มนคงปลอดภยระบบ
คอมพวเตอร ดง
นน Romang จง
ไดเปดเผยขอมล
ชองโหวดงกลาว
ตอสาธารณะ
ผาน Blog ของ
ตนเอง [26-2]
วนท 17 กนยายน 2555 ทมพฒนา Metasploit ซงเปนเครอง
มอทใชในการทดสอบความมนคงปลอดภยของระบบคอมพวเตอร
ไดอพเดทเครองมอทใชโจมตชองโหวนเขาเปนสวนหนงของ
Metasploit
ผลกระทบ ผโจมตสามารถสรางเวบไซตอนตรายแลวหลอกใหเหยอเขาไป
ยงเวบไซตดงกลาวผานโปรแกรม Internet Explorer ซงอาจ
ท�าใหถกผโจมตสามารถสงประมวลผลค�าสงอนตรายจากระยะ
ไกล (Remote Code Execution) ดวยสทธในการท�างานของ
ผใชทลอกอนได
ระบบทไดรบผลกระทบ Internet Explorer เวอรชน 6, 7, 8 และ 9 ทตดตงบนระบบ
ปฏบตการ WindowsXP, Vista และ 7
ขอแนะนำ ในการปองกนและแกไข Microsoft ไดเผยแพรแพทช KB2744842 เมอวนศกรท 21
กนยายน 2555 ผใชงานสามารถตดตงไดผานทาง Windows
Update หรอดาวนโหลดไดจากเวบไซตของ Microsoft [26-3]
อางอง[26-1] http://eromang.zataz.com/2012/09/17/micro-
soft-internet-explorer-execcommand-vulner-
ability-metasploit-demo/
[26-2] http://eromang.zataz.com/2012/09/16/zero-
day-season-is-really-not-over-yet/
[26-3] http://technet.microsoft.com/en-us/secu-
rity/bulletin/ms12-063
26. ระวงภย โปรแกรม
phpMyAdmin รน 3.5.2.2 อาจม Backdoor ฝงอย (CVE-2012-5159)วนทประกำศ: 27 กนยายน 2555
ปรบปรงลำสด: 27 กนยายน 2555
เรอง: ระวงภย โปรแกรม phpMyAdmin รน 3.5.2.2 อาจม
Backdoor ฝงอย (CVE-2012-5159)
ประเภทภยคกคำม: Malicious Code
ขอมลทวไป โปรแกรม phpMyAdmin เปนโปรแกรมส�าหรบจดการฐาน
ขอมล MySQL ทนยมใชกนมาก ตวโปรแกรมเขยนขนดวยภาษา
php และใชตดตงในเครองแมขายเวบทสามารถเชอมตอกบ
ฐานขอมล MySQL ทตองการจดการได ผพฒนา phpMyAdmin
ไดใชระบบของ Sourceforge เปนสอกลางในการเผยแพร
โปรแกรม [27-1] ภายใตลขสทธแบบ GPLv2 [27-2]
ในวนท 25 กนยายน 2555 มการประกาศจาก Sourceforge
วา พบ Backdoor ในส�าเนาของ phpMyAdmin รน 3.5.2.2
ในเครองแมขายเครองหนงของ Sourceforge ทตงอยในประเทศ
เกาหล ซงหลงจากพบเหตดงกลาว เครองแมขายทมปญหากได
ถกระงบการใหบรการทนท แตจากการตรวจสอบของ Source-
forge เอง พบวามผดาวนโหลด phpMyAdmin ส�าเนาทม
Backdoor นออกไปจากเครองแมขายดงกลาวไมนอยกวา 400
ครง กอนท Sourceforge จะปดการใหบรการของเครองแม
ขายนไป [27-3]
Backdoor ดงกลาวพบในไฟลชอ server_sync.php ซงไมม
อยในส�าเนาของ phpMyAdmin ทถกตอง โดยไฟลดงกลาวจะ
รบคาใดๆ ผาน POST Method แลวน�ามาประมวลผลในระดบ
ระบบปฏบตการ ซงเปนการเปดชองใหผไมประสงคดสามารถ
โจมตเครองแมขายทตดตง phpMyAdmin ทม Backdoor น
ในรปแบบ Remote Command Execution ได โดยไมตอง
ยนยนตวตนกอน [27-4]
ผลกระทบ ผไมประสงคดสามารถประมวลผลค�าสงใดๆ ทเปนค�าสงในระบบ
ปฏบตการของเครองแมขายเปาหมาย ในสทธระดบเดยวกบ
สทธของ Web Server Process ได
ระบบทไดรบผลกระทบ เครองแมขายทตดตง phpMyAdmin ส�าเนาทม Backdoor
ตดตงอย
ขอแนะนำ ในการปองกนและแกไข ปจจบนน เครองแมขายของ Sourceforge ในประเทศเกาหล
ทมปญหาไดถกระงบการใหบรการไปแลว และ Sourceforge
เองไดระบวา โปรแกรม phpMyAdmin รน 3.5.2.2 ทเผยแพร
ผานเครองแมขายเครองอนของ Sourceforge มความมนคง
ปลอดภย สวนผพฒนาโปรแกรม phpMyAdmin กไดระบวา
ส�าหรบผทใชงาน phpMyAdmin รนดงกลาวอย ใหตรวจหา
วามไฟล server_sync.php อยหรอไม หากพบวามไฟลดงกลาว
แสดงวา phpMyAdmin ทใชงานอยเปนส�าเนาทม Backdoor
อย ควรท�าการดาวนโหลดโปรแกรม phpMyAdmin มาตดตง
ใหมโดยดวน [27-5]
อางอง [27-1] http://sourceforge.net/projects/phpmyadmin/
files/
[27-2] http://www.phpmyadmin.net/home_page/li-
cense.php
[27-3] http://sourceforge.net/blog/phpmyadmin-back-door
[27-4] http://arstechnica.com/security/2012/09/
questions-abound-as-malicious-phpmyadmin-
backdoor-found-on-sourceforge-site/
[27-5] http://www.phpmyadmin.net/home_page/
security/PMASA-2012-5.php
46 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 47
27. ระวงภย ชองโหวใน
ระบบปฏบตการ Android ผไมหวงดสามารถทำ Remote Factory Reset ไดวนทประกำศ: 26 กนยายน 2555
ปรบปรงลำสด: 26 กนยายน 2555
เรอง: ระวงภย ชองโหวในระบบปฏบตการ Android ผไมหวง
ดสามารถท�า Remote Factory Reset ได
ประเภทภยคกคำม: Malicious Code
ขอมลทวไป USSD หรอ Unstructured Supplementary Service Data
เปนโพรโทคอลทโทรศพทมอถอใชในการสงขอมลเพอตดตอกบ
ผใหบรการในเครอขาย GSM เชน สมครใชบรการเสรม หรอ
ตรวจสอบยอดเงนคงเหลอ เปนตน รปแบบของ USSD โดย
ทวไปจะประกอบดวยเครองหมาย * # และตวเลขผสมกน เชน
*123# เปนตน ในโทรศพทมอถอบางรนจะม USSD เพอใชใน
การเขาถงฟงกชนพเศษของโทรศพท เชน กด *#06# เพอตรวจ
สอบหมายเลข IMEI ของเครอง หรอลบขอมลทงหมดในเครอง
ใหอยในสภาพทออกมาจากโรงงาน (Factory Reset) เปนตน
ซงในบางค�าสง จะท�างานทนททกดตวอกษรสดทายเสรจ โดย
ไมจ�าเปนตองกดปมโทรออกแตอยางใด [3-1]
ในงาน Ekoparty Security Conference นกวจยจาก Tech-
nical University Berlin ไดสาธตชองโหวของ USSD ใน
Galaxy S3 ซงอนญาตใหผไมหวงดสามารถลบขอมลของเครอง
จากระยะไกลได (Remote Factory Reset) สาเหตของชอง
โหวดงกลาวนเกดจาก
1. แอปพลเคชน Dialer (Phone.apk) ของระบบปฏบต
การ Android ซงใชในการโทรศพท จะท�าการเปด URI
ทขนตนดวย tel: โดยอตโนมต แตโดยปกตแลวจะยง
ไมประมวลผลค�าสงดงกลาว
2. โปรแกรม Dialer ของผผลตบางราย (เชน Samsung)
ถกตงคาใหประมวลผล USSD โดยอตโนมต ซงน�าไปส
การประมวลผลค�าสงอนตรายได
3. ค�าสง USSD ทเปนอนตรายตอระบบ เชน การท�า
Factory Reset นนสามารถ
ท�างานไดโดยไมตองมการ
ยนยนจากผใช และผผลต
บางรายมการเปดเผย
ค�าสงดงกลาวนส
สาธารณะ
นกวจยไดสาธต
การเปดเวบไซตท
มแทก <iframe>
ซงภายในบรรจ
โคด USSD ส�าหรบ
ท�า Factory Reset
ของเครอง Galaxy S3
ไว เมอผใชเขาไปยงเวบไซตดงกลาว
เครองกจะท�าการลบขอมลทงหมด
เพอกลบไปสสภาพเดมทออกมาจากโรงงานทนท วดโอสาธต
การโจมตดงกลาวสามารถดไดจาก YouTube [3-2]
ผลกระทบ ผไมหวงดสามารถสงลบขอมลในเครองของเหยอ ดวยการหลอก
ใหเขาไปยงเวบไซตทมค�าสงอนตราย หรอสงค�าสงดงกลาวผาน
ทาง QR Code, NFC หรอ Push Message ได [3-3]
ระบบทไดรบผลกระทบ ปจจบนมรายงานวามเพยงอปกรณทใชงานระบบปฏบตการ
Android ของ Samsung ทใช TouchWiz UI เทานนทมชอง
โหว Remote Factory Reset โดยนอกจาก Galaxy S3 แลว
ผใช Galaxy Beam, Galaxy S Advance, Galaxy Ace, และ
Galaxy S II ไดแจงวามชองโหวดงกลาวดวย และจากขอมลใน
XDA-Developers พบวา โทรศพทมอถอของ HTC กมชอง
โหวดงกลาวนดวยเชนกน แตยงไมมขอมลวาสามารถท�า Fac-
tory Reset ได [3-4]
ส�าหรบเครองทใชระบบปฏบตการ Android ทมาจาก Goog-
le โดยตรง เชน Galaxy Nexus เมอเขาไปยงหนาเวบไซตทม
โคดอนตรายอย จะแสดง USSD ในโปรแกรม Dialer แตจะไม
ประมวลผลค�าสง USSD นนโดยอตโนมต อกทงมผใชงานบาง
รายใหขอมลเพมเตมวา โทรศพทมอถอทถกตดตง TouchWiz
UI มาจากโรงงาน แตน�ามาตดตง Custom Rom ทพฒนามา
จาก Rom ของ Google โดยตรง เชน CyanogenMod นน
ไมมปญหาดงกลาว [3-5]
นอกจากน ยงมรายงานเพมเตมวา แอปพลเคชนประเภท Di-
aler บางตวใน Play Store เชน exDialer มชองโหวประมวล
ผล USSD โดยอตโนมตดวยเชนกน
ขอแนะนำ ในการปองกนและแกไข ยงไมมแถลงการณจาก Samsung เกยวกบชองโหวน แตม
รายงานจากผใช Galaxy S3 ใน Forum ของ XDA-Develop-
ers วา Firmware ลาสดของ Galaxy S3 ไดแกไขปญหานแลว
[3-6] อยางไรกตาม ส�าหรบผใชโทรศพทรนอน ควรตรวจสอบ
ขอมลกบศนยบรการอกครงเพอความมนคงปลอดภย
นาย Dylan Reeve ไดวเคราะหชองโหวดงกลาว และไดท�า หนา
เวบไซตส�าหรบทดสอบชองโหวดงกลาวน โดย หากผใชโทรศพท
มอถอเขาไปยงลงกดงกลาว แลวพบวาแอปพลเคชน Dialer
แสดงหมายเลข IMEI ของเครองขนมา แสดงวาเครองทใชงาน
อยนนมชองโหว
อยางไรกตาม เนองจากสาเหตหลกของชองโหวดงกลาวนเกด
จากแอปพลเคชน Dialer ท�าการประมวลผลค�าสง USSD โดย
อตโนมต วธแกปญหาแบบชวคราวในขณะทยงไมมแพทชมดงน
1. ตดตงแอปพลชน Dialer เพมเตม เพอใชงานแทนแอป
พลเคชนทมากบ Firmware อยางไรกตาม การแกปญหา
ดวยวธน ผใชตองแนใจวาแอปพลเคชนนนจะไมประมวล
ผลค�าสง USSD โดยอตโนมต
2. ตดตงแอปพลชน Dialer เพมเตม แตไมตองตงคาใหใช
โปรแกรมใดเปนคา Default ของเครอง ซงวธการดง
กลาวนจะท�าใหเมอผใชเปดเวบทมโคด tel: อย แลว
โปรแกรมตองการโทรออกหรอประมวลผล USSD จะ
ปรากฎหนาจอใหผใชเลอกวาตองการโทรออกโดยใช
แอปพลเคชนใด ซงผใชสามารถกดยกเลกการโทรออก
ได อยางไรกตาม การใชงานวธนมขอเสยคอจ�าเปนตอง
เลอกโปรแกรมส�าหรบใชโทรออกทกครง [3-7] ดงรปท
รปท 28.รปท 9 (3-1) หนาจอการเลอกโปรแกรมส�าหรบใชโทรออก (ทมา Dylan Reeve)
3. ตดตง Opera Mobile และใชเปนเบราวเซอรหลก
ของเครอง เนองจากจะไมแสดงขอมลใน <iframe>
โดยอตโนมต ดงรปท
รปท 29.รปท 10 (3-2) Opera Mobile ไมแสดงผลขอมลใน <iframe>
48 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 49
อางอง[3-1] http://www.etsi.org/deliver/etsi_gts/02/0290
/05.01.00_60/gsmts_0290v050100p.pdf
[3-2] http://www.youtube.com/watch?v=Q2-0B04HPhs
[3-3] http://www.zdnet.com/samsung-galaxy-s3-vul-
nerable-to-remote-malicious-reset-7000004771/
[3-4] http://forum.xda-developers.com/showthread.
php?t=1904629
[3-5] http://techcrunch.com/2012/09/25/got-touch-
wiz-some-samsung-smartphones-can-be-total-
ly-wiped-by-clicking-a-link/
[3-6] http://forum.xda-developers.com/showpost.
php?p=31998672&postcount=33
[3-7] http://dylanreeve.posterous.com/remote-ussd-at-
tack
28. Adobe ปลอย CRL
ยกเลก Certificate ทถกใช Sign มลแวรวนทประกำศ: 5 ตลาคม 2555
ปรบปรงลำสด: 5 ตลาคม 2555
เรอง: Adobe ปลอย CRL ยกเลก Certificate ทถกใช Sign
มลแวร
ประเภทภยคกคำม: Malicious Code
ขอมลทวไปเมอวนท 27 กนยายน 2555 Adobe ไดประกาศแจงเตอนใน
Blog ของบรษทวาไดคนพบมลแวรทถก Sign โดยใช Digital
Certificate ของ Adobe จากการตรวจสอบพบวามลแวรดง
กลาวนถก Sign โดยเซรฟเวอรทใชส�าหรบ Sign โคดของ
โปรแกรม ซงถกผไมหวงดเขาไปควบคม (Compromised)
[28-1]
ผลกระทบMicrosoft ไดตรวจสอบมลแวรทถก Sign โดยใช Certificate
ของ Adobe โดยระบชอของมลแวรดงกลาวนวา Win32/
Adbposer พรอมใหขอมลเพมเตมวา จดประสงคหลกของผ
สรางมลแวรดงกลาวนคอการหลบเลยงการตรวจจบของ โปรแกรม
แอนตไวรส เนองจากโปรแกรมแอนตไวรสโดยสวนใหญจะถก
ออกแบบมาเพอใหละเวนการ ตรวจสอบโปรแกรมทถก Sign
โดยใช Certificate ของผพฒนาทเชอถอได (Trusted) เชน
Certificate ของ Adobe
ขอมลของมลแวรทพบ มดงน [28-2]PwDump7.exe
SHA1: c615a284e5f3f41cf829bbb939f2503b39349c8d
Signature timestamp: Thursday, July 26, 2012 8:44:40
PM PDT (GMT -7:00)
Detected as PWS:Win32/Adbposer.A
libeay.dll
SHA1: 934543f9ecc28ebefbd202c8e98833c36831ea75
Signature timestamp: Thursday, July 26, 2012 8:44:13
PM PDT (GMT -7:00)
Detected as PWS:Win32/Adbposer.A.dll
myGeeksmail.dll
SHA1: fecb579abfbc74f7ded61169214349d203a34378
Signature timestamp: Wednesday, July 25, 2012 8:48:59
PM (GMT -7:00)
Detected as Trojan:Win32/Adbposer.B
ผใชงานมโอกาสเสยงทจะถกโจมตจากมลแวรทถก Sign โดย
ใช Certificate ดงกลาว เนองจากโปรแกรมโปรแกรมแอนต
ไวรสจะไมตรวจสอบโปรแกรมดงกลาวเพราะเชอ ถอวาไมใช
โปรแกรมทเปนอนตราย
ระบบทไดรบผลกระทบระบบปฏบตการ Windows
ขอแนะนำ ในการปองกนและแกไขเมอวนท 4 ตลาคม 2555 Adobe ไดปลอย Certificate
Revocation List เพอเพกถอน (Revoke) Certificate ของ
ซอฟตแวรทถก Sign หลงจากวนท 10 กรกฎาคม 2555 (00:00
GMT) [28-3] โดยผใชสามารถดาวนโหลด CRL ดงกลาวไดจาก
http://csc3-2010-crl.verisign.com/CSC3-2010.crl
ขอมลของ Certificate ดงกลาวมดงน
• sha1RSA certificate
• Issued to Adobe Systems Incorporated
• Issued by VeriSign Class 3 Code Signing 2010 CA
• Serial Number: 15 e5 ac 0a 48 70 63 71 8e 39
da 52 30 1a 04 88
• sha1 Thumbprint: fd f0 1d d3 f3 7c 66 ac 4c
77 9d 92 62 3c 77 81 4a 07 fe 4c
• Valid from December 14, 2010 5:00 PM PST
(GMT -8:00) to December 14, 2012 4:59:59 PM
PST (GMT -8:00)
การตดตง CRL เขาไปในระบบ ท�าไดโดยการคลกขวาทไฟล
CSC3-2010.crl แลวเลอก Install CRL ดงรปท 30 (28-1)
รปท 30.รปท 30 (28-1) การตดตง CRL
อยางไรกตาม หลงจากการตดตง Certificate ดงกลาวน ระบบ
ปฏบตการจะแจงวาโปรแกรมของ Adobe ทถก Sign โดยใช
Certificate ดงกลาวเปนโปรแกรมทไมนาเชอถอ แตยงสามารถ
ตดตงและใชงานไดตามปกต ซงทาง Adobe จะปลอยอพเดท
ของโปรแกรมดงกลาวทถก Sign โดยใช Certificate ใหมออก
มาในภายหลง
อางอง[28-1] http://blogs.adobe.com/asset/2012/09/inap-
propriate-use-of-adobe-code-signing-certificate.
html
[28-2] http://blogs.technet.com/b/mmpc/ar-
chive/2012/10/03/malware-signed-with-the-
adobe-code-signing-certificate.aspx
[28-3] http://www.adobe.com/support/security/ad-
visories/apsa12-01.html
50 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 51
29. ระวงภย มลแวรใน
Skype ลอคไฟลในเครองวนทประกำศ: 13 ตลาคม 2555
ปรบปรงลำสด: 13 ตลาคม 2555
เรอง: ระวงภย มลแวรใน Skype ลอคไฟลในเครอง
ประเภทภยคกคำม: Malicious Code
ขอมลทวไปGFI Labs หนวยงานทวจยเรองภยคกคามทางคอมพวเตอร ได
รายงานการคนพบมลแวรทเผยแพรผานโปรแกรม Skype
[29-1] โดยผใชจะไดรบขอความพรอมลงกส�าหรบดาวนโหลด
ไฟล ดงรปท 31 (29-1)
รปท 31.รปท 31 (29-1) ขอความและลงกส�าหรบดาวนโหลดมลแวร
เมอผใชคลกทลงกดงกลาว จะน�าไปสการดาวนโหลดไฟล .zip
ซงภายในบรรจไฟล .exe ทมไอคอนของโปรแกรม Skype ดง
รปท 32 (29-2) ซงเปนไฟลของมลแวร
รปท 32.รปท 32 (29-2) ไฟลของมลแวร
ผลกระทบหากผใชสงรนไฟล .exe ดงกลาว มลแวรจะเขารหสลบ (Encrypt)
ไฟลในเครองของผใช และแสดงหนาจอใหผใชจายเงน $200
เพอปลดลอครหสผานของไฟลนนๆ ดงรปท 33 (29-3)
รปท 33.รปท 33 (29-3) หนาจอการปลดลอครหสผาน
ระบบทไดรบผลกระทบระบบปฏบตการ Windows ทตดตงโปรแกรม Skype
ขอแนะนำ ในการปองกนและแกไขหนวยงาน CERT ของประเทศโปแลนด ไดรายงานวามลแวรดง
กลาวเปน Worm ชอ Dorkbot ซงโปรแกรมแอนตไวรสสวน
ใหญสามารถตรวจจบและก�าจดมลแวรนได [29-2]
วธการปองกนตวจากการโจมตดวยวธดงกลาว ผใชไมควรคลก
ลงกทนาสงสย และควรอพเดทฐานขอมลของโปรแกรมแอนต
ไวรสใหเปนเวอรชนลาสดอยเสมอ
หมายเหต: รปประกอบทงหมดจาก GFI Labs
อางอง[29-1] http://www.gfi.com/blog/skype-users-targeted-
with-ransomware-and-click-fraud/
[29-2] http://www.cert.pl/news/6434/langswitch
_lang/en
30. ระวงภย Windows
8 เกบขอมลการ Login ดวย Picture Password เปน Plain Textวนทประกำศ: 13 ตลาคม 2555
ปรบปรงลำสด: 13 ตลาคม 2555
เรอง: ระวงภย Windows 8 เกบขอมลการ Login ดวย Picture
Password เปน Plain Text
ประเภทภยคกคำม: Intrusion
ขอมลทวไปWindows 8 มความสามารถใหมทเรยกวา Picture Password
ซงเปนการ Login โดยการแตะรปภาพในต�าแหนงทก�าหนด
[30-1] ดงรปท 34 (30-1) ซงผใชสามารถศกษาขอมลเพมเตม
ไดจาก วดโอของ Microsoft
รปท 34.รปท 34 (30-1) ระบบ Picture Password (ทมา Microsoft)
บรษท Passcape ซงพฒนาโปรแกรมรกษาความมนคงปลอดภย
ไดคนพบชองโหวของระบบการ Login ดวยวธดงกลาว [30-2]
โดยสาเหตของชองโหว เกดจากเมอผใชตองการใชงานการ
Login แบบ Picture Password จ�าเปนตองสราง User Account
พรอมตงรหสผานเปนแบบขอความธรรมดากอน จากนนจงจะ
สามารถตงคาการ Login ดวย Picture Password ได แตหลง
จากทผใชตงคาการ Login ดวย Picture Password แลว ระบบ
จะเกบรหสผานทเปนขอความธรรมดานนโดยใชการเขารหสลบ
(Encrypt) แบบ AES ไวใน Windows Vault
Windows Vault เปนความสามารถทถกพฒนาขนมาใน
Windows 7 มจดประสงคเพอใชส�าหรบเกบชอผใชและรหส
ผานเพอใชในการเขาใชงานเซรฟเวอร เวบไซต หรอโปรแกรม
อนๆ โดยอตโนมต [30-3] ดงรปท 35 (30-2)
รปท 35.รปท 35 (30-2) ระบบ Windows Vault ใน Windows 7
ผลกระทบถงแมรหสผานจะถก Encrypt ไว แตผใชในเครองทมสทธของ
ผดแลระบบ (Administrator) กยงสามารถเปดดรหสผานแบบ
Plain Text ของผใชในระบบได ดงรปท 36 (30-3) ซงเปน
โปรแกรม Windows Password Recovery ของบรษท
Passcape
รปท 36.รปท 36 (30-3) โปรแกรม Windows Password Recovery ของบรษท
Passcape (ทมา Passcape)
ระบบทไดรบผลกระทบระบบปฏบตการ Windows 8 ทใชการ Login แบบ Picture
Passwords
ขอแนะนำ ในการปองกนและแกไขบรษท Passcape แนะน�าวา ผใชงาน Windows 8 ไมควรตง
คาการ Login ดวย Picture Password จนกวา Microsoft จะ
ออกแพทชเพอแกไขชองโหวดงกลาว
52 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 53
อางอง[30-1] http://blogs.msdn.com/b/b8/archive/2011/12/16/
signing-in-with-a-picture-password.aspx
[30-2] http://www.passcape.com/index.php?section=
blog&cmd=details&id=27&setLang=2
[30-3] http://www.neowin.net/news/main/09/03/07/
windows-7-exploring-credential-manager-and-win-
dows-vault
31. ระวงภย โปรแกรม
Atomymaxsite รน 2.5 หรอตำ กวา มชองโหวอพโหลดไฟลใดๆ ไดโดยไมมการตรวจสอบวนทประกำศ: 17 ตลาคม 2555
ปรบปรงลำสด: 24 ตลาคม 2555
เรอง: ระวงภย โปรแกรม Atomymaxsite รน 2.5 หรอต�ากวา
มชองโหวอพโหลดไฟลใดๆ ไดโดยไมมการตรวจสอบ
ประเภทภยคกคำม: Intrusion
ขอมลทวไปโปรแกรม Atomymaxsite เปนโปรแกรมสรางเวบไซตส�าเรจรป
ในรปแบบ CMS ทพฒนาโดยนกพฒนาชาวไทย ปจจบนมผ
พฒนาอย 2 คาย คอ ในเวบไซต Atomymaxsite [31-1] ระบ
วาพฒนาโดยนายชดสกร พกลทอง ผอ�านวยการโรงเรยนบาน
ผอ อ�าเภอชนชม จงหวดมหาสารคาม และผทจะน�าไปใชงาน
จะตองบรจาคเงนจ�านวนหนงผานบญชธนาคารทระบใน เวบไซต
ดงกลาวกอน จงจะไดสทธในการดาวนโหลด โดยมรนลาสดคอ
รน 2.5 และในเวบไซต Maxsite-board [31-2] ระบวาซอฟทแวร
Atomymaxsite เปนซอฟตแวรทแจกจายโดยไมคดมลคา (ตาม
ขอก�าหนด GPL v3) ผาน Google Code [31-3] และมรนของ
ซอฟตแวรทแตกตางกนคอ 2.5.0, 2.5.1 และรนลาสดคอ 2.5.2
ซงคาดวาทงหมด เปนการปรบปรงจากรน 2.5 เดมนนเอง
ในวนท 1 ตลาคม 2555 ไดมผโพสตวดโอในเวบไซต Youtube
โดยใชภาษาตางประเทศทคาดวาจะเปนภาษาอาหรบ แสดงวธ
การโจมตเวบไซตทใชซอฟตแวร Atomymaxsite รน 2.5 โดย
อาศยชองโหว Arbitrary file upload ของโมดลทใชเผยแพร
ผลงานวชาการ ซงชองโหวนท�าใหผไมประสงคดสามารถอพโหลด
ไฟลใดๆ เขาสเครองแมขายไดโดยไมมการตรวจสอบชนดของ
แฟมทอพโหลดแตอยาง ใด และไมตองท�าการยนยนตวตนกอน
ผลกระทบผไมประสงคดสามารถอพโหลดแฟมขอมลประเภท PHP Shell
หรอแฟม PHP ทมค�าสงไมพงประสงคเขาไปในเครองแมขาย
เปาหมาย และสามารถเรยกใชงานค�าสงดงกลาว ในสทธระดบ
เดยวกบสทธของ Web Server Process ได
ระบบทไดรบผลกระทบเครองแมขายทตดตง Atomymaxsite รน 2.5 หรอต�ากวา
ขอแนะนำ ในการปองกนและแกไขจากการตรวจสอบขอมลเบองตนจาก Source Code ของซอฟตแวร Atomymaxsite รน 2.5.0 และ 2.5.2 ทดาวนโหลดมาจาก Google code พบวามการเพมการตรวจสอบชนดของแฟมขอมลทผใชงานอพโหลดในโมดลท เปนปญหาดงกลาวแลว โดยก�าหนดใหแฟมขอมลทสามารถอพโหลดไดเปนชนด pdf, zip, doc, docx, ppt, pptx, xls, และ xlsx เทานน ตงแตรน 2.5.0 และมการเพมการปองกนการเรยกใชแฟมทไมใชรปภาพจากโฟลเดอร /data ซงใชเกบแฟมทอพโหลดเขาเวบไซต โดยใชวธการเพมแฟม .htaccess ในโฟลเดอรดงกลาว ท�าให At-omymaxsite รนทมการแจกจายผาน Google code ไมมผลกระทบจากชองโหวดงกลาว ผใชงาน Atomymaxsite รน 2.5 หรอต�ากวา จงควรเปลยนไปใชงานรนทไมไดรบผลกระทบตามทไดกลาวขางตน
ในวนท 18 ตลาคม 2555 ผพฒนาโปรแกรม Atomymaxsite รน 2.5 [31-4] ไดมการแจงขอมลการอพเดทซอฟตแวรเพอแกไขชองโหวดงกลาว [31-5][31-6] ซงผใชงานควรรบด�าเนนการตรวจสอบการปรบปรงซอฟตแวรดงกลาวเพอปองกนการถกโจมต หรอหากยงไมแนใจวาเวบไซตของทานใชงานซอฟตแวรรนทมชองโหวดงกลาวหรอไม รวมถงในกรณททานตองการสอบถามขอมลเพมเตม ทางไทยเซรตแนะน�าใหทานปรกษากบเวบไซตผพฒนาซอฟตแวรททานดาวโหลดมาตดตงโดยตรง เพอปองกนความผดพลาดจากการอพเดทซอฟตแวรทผดวธ ซงอาจ
ท�าใหเวบไซตของทานไมสามารถเรยกใชงานได
อางอง[31-1] http://maxtom.sytes.net
[31-2] http://board.maxsitepro.com/
[31-3] http://code.google.com/p/atommy-maxsite-2-5/
[31-4] http://maxtom.sytes.net
[31-5] http://maxtom.sytes.net/?name=webboard&
file=read&id=798
[31-6] http://maxtom.sytes.net/?name=webboard&
file=read&id=764
32. ระวงภย ชป Wifi
ของ Broadcom รน BCM4325 และ BCM4329 มชองโหว DoSวนทประกำศ: 25 ตลาคม 2555
ปรบปรงลำสด: 25 ตลาคม 2555
เรอง: ระวงภย ชป Wifi ของ Broadcom รน BCM4325 และ
BCM4329 มชองโหว DoS
ประเภทภยคกคำม: Denial of Service
ขอมลทวไปศนยวจยดานความมนคงปลอดภยของ Core Security Tech-
nologies ไดคนพบชองโหวในชป Wifi ของ Broadcom รน
BCM4325 และ BCM4329 ซงชปทง 2 รนนถกน�าไปใชโทรศพท
มอถอ แทบเลต หรอแมกระทงรถยนต สาเหตของชองโหวดง
กลาวเกดจากเฟรมแวรของตวชปไมมการตรวจสอบขอมลทได
รบเขามา
ผลกระทบผไมหวงดสามารถสงขอมลบางอยางมาทเครองของเหยอเพอ
สงใหชป Wifi หยดท�างาน (Denial of Service) หรออาจสง
ใหชปไปอานขอมลในสวนทการท�างานปกตไมสามารถอานได
(Information Disclosure) ปจจบนม Proof of Concept
Code ส�าหรบโจมตผานชองโหวดงกลาวเผยแพรสสาธารณะ
แลว [32-1]
ระบบทไดรบผลกระทบโทรศพทมอถอ, แทบเลต และอปกรณทใชชป Wifi ของ
Broadcom รน BCM4325 หรอ BCM4329 ดงน
• BCM4325
o Apple iPhone 3GS
o Apple iPod 2G
54 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 55
o HTC Touch Pro 2
o HTC Droid Incredible
o Samsung Spica
o Acer Liquid
o Motorola Devour
o รถยนต Ford Edge
• BCM4329
o Apple iPhone 4
o Apple iPhone 4 Verizon
o Apple iPod 3G
o Apple iPad Wi-Fi
o Apple iPad 3G
o Apple iPad 2
o Apple TV 2G
o Motorola Xoom
o Motorola Droid X2
o Motorola Atrix
o Samsung Galaxy Tab
o Samsung Galaxy S 4G
o Samsung Nexus S
o Samsung Stratosphere
o Samsung Fascinate
o HTC Nexus One
o HTC Evo 4G
o HTC ThunderBolt
o HTC Droid Incredible 2
o LG Revolution
o Sony Ericsson Xperia Play
o Pantech Breakout
o Nokia Lumina 800
o Kyocera Echo
o Asus Transformer Prime
o Malata ZPad
ขอแนะนำ ในการปองกนและแกไขบรษท Broadcom ไดทราบถงปญหานแลว และไดชแจงวาชป
จะหยดการท�างานในระหวางทผโจมตสงค�าสงอนตรายมา ยง
ตวชป และจะกลบมาท�างานไดตามปกตเมอผโจมตยกเลกค�า
สงนน อยางไรกตาม ในระหวางทตวชปถกขดขวางการท�างาน
นน ระบบอนๆ ของโทรศพทมอถอหรอแทบเลตยงสามารถ
ท�างานไดตามปกต และการขดขวางการท�างานของชป Wifi
ไมมผลตอความมนคงปลอดภยของขอมลของผใชงาน [32-2]
ทาง Broadcom ไดเผยแพรแพทชส�าหรบแกไขชองโหวของ
ปญหานแลว อยางไรกตาม ผใชงานโทรศพทมอถอ แทบเลต
หรออปกรณทใชชป Wifi ดงกลาวอาจตองรอซอฟตแวรอพเดท
จากผผลตอปกรณนนๆ
อางอง[32-1] http://www.coresecurity.com/content/broad-
com-input-validation-BCM4325-BCM4329
[32-2] http://www.zdnet.com/wi-fi-chips-in-phones-
tablets-vulnerable-to-dos-attack-7000006352/
33. ระวงภย ชองโหว
Use-after-free ใน Mozilla Firefox/Thunderbird เวอรชนตำ กวา 17.0วนทประกำศ: 28 พฤศจกายน 2555
ปรบปรงลำสด: 28 พฤศจกายน 2555
เรอง: ระวงภย ชองโหว Use-after-free ใน Mozilla Firefox/
Thunderbird เวอรชนต�ากวา 17.0
ประเภทภยคกคำม: Malicious Code, Denial-of-Service
ขอมลทวไปบรษท VUPEN Secu-
rity ไดรายงานชอง
โหวในโปรแกรม
Mozilla Firefox,
Mozilla Thun-
derbird และ
Mozilla Sea-
Monkey [33-1]
โดยชองโหวดงกลาว
นเกดจากขอผดพลาด
Use-after-free (เรยก
ใชงานขอมลทถกลบออกจาก
หนวยความจ�าไปแลว) ในฟงกชน DocumentViewerImpl::-
Show()
ผลกระทบผไมหวงดสามารถสงประมวลผลค�าสงอนตรายจากระยะไกลท
เครองของเหยอ หลงจากทเหยอเขาไปยงเวบไซตอนตรายทม
โคดการโจมตผานชองโหวดงกลาวอย
ระบบทไดรบผลกระทบ
• Mozilla Firefox เวอรชนตำกวา 17.0
• Mozilla Firefox ESR เวอรชนต�ากวา 10.0.11
• Mozilla Thunderbird เวอรชนต�ากวา 17.0
• Mozilla Thunderbird ESR เวอรชนต�ากวา 10.0.11
• Mozilla SeaMonkey เวอรชนต�ากวา to 2.14
หมายเหต: Mozilla Firefox ESR และ Mozilla Thunderbird
ESR เปนเวอรชนทจะไดรบการสนบสนนทางเทคนคยาวนาน
กวาเวอรชนปกต (Extended Support Release) ส�าหรบใช
ในหนวยงานหรอองคกรทตองมการดแลระบบจ�านวนมาก
[33-2]
ขอแนะน�าในการปองกนและแกไข
ผใชงานโปรแกรมทไดรบผลกระทบจากชองโหวดงกลาว ควร
อพเดตโปรแกรมใหเปนเวอรชนลาสด
อางอง[33-1] http://seclists.org/bugtraq/2012/Nov/93
[33-2] http://www.mozilla.org/en-US/firefox/
organizations/
56 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 57
34. ระวงภย ไดรเวอร
เครองพมพของ Samsung และ Dell ม Backdoor Administrator Accountวนทประกำศ: 28 พฤศจกายน 2555
ปรบปรงลำสด: 28 พฤศจกายน 2555
เรอง: ระวงภย ไดรเวอรเครองพมพของ Samsung และ Dell
ม Backdoor Administrator Account
ประเภทภยคกคำม: Intrusion
ขอมลทวไปUS-CERT แจงเตอนวามการ hard-coded รหสผานของผใช
งานทมสทธ Administrator ไวในไดรเวอรเครองพมพของ
Samsung และเครองพมพของ Dell รนทผลตโดย Samsung
ชองโหวดงกลาวนสงผลใหผไมหวงดสามารถเชอมตอเขามาท
เครองพมพผานโพรโทคอล SNMP ได ถงแมจะมการปดการ
ท�างานของ SNMP ใน Printer management utility แลว
กตาม [34-1]
ผลกระทบผไมหวงดสามารถเชอมตอจากระยะไกลเพอเขามาควบคม
เครองพมพเหลาน ไดโดยไดรบสทธของ Administrator ซง
ท�าใหสามารถแกไขคาการท�างาน ดขอมลส�าคญทเปนความลบ
(เชน การตงคาการเชอมตอระบบเครอขาย หรอขอมลตางๆ ท
ถกสงเขามายงเครองพมพ ซงอาจเปนการสงพมพเอกสารทเปน
ความลบ) นอกจากนยงสามารถสงใหเครองพมพดงกลาวประมวล
ผลค�าสงทเปนอนตรายจากระยะไกลได (Remote code ex-
ecution)
ระบบทไดรบผลกระทบเครองพมพของ Samsung และ Dell ทวางจ�าหนายกอนวนท
31 ตลาคม 2555
ขอแนะนำ ในการปองกนและแกไขSamsung แจงวาเครองพมพทจดจ�าหนายหลงจากวนท 31
ตลาคม 2555 ไดแกไขปญหาดงกลาวแลว และจะเผยแพรแพทช
ส�าหรบแกไขปญหาในเครองพมพรนกอนหนาภายในปน
ระหวางทรอแพทช ผใชงานสามารถตงคาการเชอมตอให
เครองพมพสามารถเชอมตอไดจากเครอขายภายในเทานน รวม
ถงบลอกการเชอมตอแบบ SNMP จากเครอขายภายนอก
อางอง [34-1] http://www.kb.cert.org/vuls/id/281284
35. ระวงภย Instagram
3.1.2 ใน iOS มชองโหวสวมรอยบญชผใชวนทประกำศ: 4 ธนวาคม 2555
ปรบปรงลำสด: 4 ธนวาคม 2555
เรอง: ระวงภย Instagram 3.1.2 ใน iOS มชองโหวสวมรอย
บญชผใช
ประเภทภยคกคำม: Intrusion
ขอมลทวไปนกวจยคนพบชองโหวในแอปพลเคชน Instagram เวอรชน
3.1.2 ทเผยแพรเมอวนท 23 ตลาคม 2555 โดยพบวาแอปพล
เคชนดงกลาวสงขอมลการเขาสระบบหรอการแกไขขอมลของ
ผใชผานโพรโทคอล HTTPS แตขอมลในสวนของการใชงานอนๆ
นนสงผานโพรโทคอล HTTP
โดยไมมการปองกน [35-1]
ผลกระทบหากผใชงาน Instagram
เชอมตอเขากบเครอขาย
Wifi สาธารณะ อาจถกผ
ไมหวงดใชโปรแกรม
ประเภท Sniffer ในการ
ดกรบขอมล หรออาจถกผไมหวงดโจมตดวยวธ Man-in-the-
Middle เพอดกจบ Cookie และสวมรอยบญชผใช รวมถงอาจ
ลบภาพของผใชงานได [35-2] ดงรปท 37 (35-1)
รปท 37. รปท 37 (35-1) ตวอยางการดกรบขอมล Cookie ของ
Instagram (ทมา reventlov.com)
ระบบทไดรบผลกระทบInstagram 3.1.2 ใน iOS
ขอแนะนำ ในการปองกนและแกไขนกวจยไดแจงชองโหวนใหทาง Instagram ทราบแลว ในระหวาง
ท Instagram ก�าลงแกไขชองโหวดงกลาว ผใชงาน iOS ไมควร
เปดใชงาน Instagram ในขณะทเชอมตอกบเครอขาย Wifi
สาธารณะเพราะอาจถกสวมรอยบญชผใชได ควรใชการเชอม
ตอผาน Cellular Network เพอความมนคงปลอดภย
อางอง [35-1] http://reventlov.com/advisories/instagram-plain-
text-media-disclosure-issue
[35-2] http://reventlov.com/advisories/instagram-ses-
sion-riding-vulnerability
58 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 59
36. ระวงภย แฮกเกอรเผย
5 ชองโหว 0-Day ใน MySQLวนทประกำศ: 4 ธนวาคม 2555
ปรบปรงลำสด: 4 ธนวาคม 2555
เรอง: ระวงภย แฮกเกอรเผย 5 ชองโหว 0-Day ใน MySQL
ประเภทภยคกคำม: Intrusion, Denial of Service
ขอมลทวไปแฮกเกอรทใชนามแฝงวา Kingcope ไดเผยแพรชองโหว 0-Day
ของโปรแกรม MySQL ในระบบกระดานขาวของเวบไซต Full
Disclosure โดยมทงหมด 5 ชองโหวดงน [36-1]
1. CVE-2012-5611 — MySQL (Linux) Stack based
buffer overrun PoC Zeroday
o Stack-based buffer overflow อนญาตใหผใชท
ไดรบสทธในการเขาถงระบบ สามารถสงประมวล
ผลค�าสงอนตรายจากระยะไกล (Remote code
execution) เพอไดรบสทธของค�าสง GRANT FILE
2. CVE-2012-5612 — MySQL (Linux) Heap Based
Overrun PoC Zeroday
o Heap-based buffer overflow อนญาตใหผใชท
ไดรบสทธในการเขาถงระบบสามารถท�า Denial of
Service (Memory corruption และ Crash) และ
อาจสงประมวลผลค�าสงอนตรายจากระยะไกลได
เชนค�าสง (1) USE, (2) SHOW TABLES, (3) DE-
SCRIBE, (4) SHOW FIELDS FROM, (5) SHOW
COLUMNS FROM, (6) SHOW INDEX FROM,
(7) CREATE TABLE, (8) DROP TABLE, (9) ALTER
TABLE, (10) DELETE FROM, (11) UPDATE, และ
(12) SET PASSWORD
3. CVE-2012-5613 — MySQL (Linux) Database
Privilege Elevation Zeroday Exploit
o ในกรณทมการตงคาระบบใหสทธของค�าสง FILE
แกผใชงานทไมมสทธของผดแลระบบ ท�าใหผใชงาน
ดงกลาวสามารถยกระดบสทธของตวเองโดยการ
สรางไฟลผานค�าสง FILE โดยไฟลดงกลาวจะมสทธ
เทยบเทากบไฟลทสรางโดย MySQL administra-
tor อยางไรกตาม ผพฒนาไดชแจงวาชองโหวดง
กลาวนเกดจากความผดพลาดของผดแลระบบ ท
ไมปฏบตตามค�าแนะน�าวธการทถกตองในการตด
ตงระบบ ซงอาจพจารณาน�าชองโหวดงกลาวนออก
จากรายการ CVE ในภายหลง
4. CVE-2012-5614 — MySQL Denial of Service
Zeroday PoC
o ผใชทไดรบสทธในการเขาถงระบบสามารถท�า De-
nial of Service (Mysqld crash) โดยการใชค�า
สง SELECT คกบค�าสง UpdateXML ทมขอมล
XML ประกอบดวย element ประเภท unique
และ nested จ�านวนมาก
5. CVE-2012-5615 — MySQL Remote Preauth User
Enumeration Zeroday
o สราง Error message โดยใช Time delay ตาม
Username ทมอยในระบบ ซงท�าใหผไมหวงด
สามารถรรายชอ Username ทมอยในระบบได
ทง 5 ชองโหวนม Proof of Concept Code เผยแพรออก
สสาธารณะแลว
ผลกระทบระบบทใชงาน MySQL เวอรชนทมชองโหวดงกลาวอาจถกผ
ไมหวงดเขาถงขอมลส�าคญ เปลยนแปลงขอมลในฐานขอมล
หรออาจถกโจมตจนระบบไมสามารถใหบรการตอได (Denial
of Service)
ระบบทไดรบผลกระทบ1. CVE-2012-5611
o MySQL 5.5.19, 5.1.53 และอาจจะมในเวอรชน
อนดวย
o MariaDB 5.5.2.x กอน 5.5.28a, 5.3.x กอน 5.3.11,
5.2.x กอน 5.2.13 และ 5.1.x กอน 5.1.66
2. CVE-2012-5612
o MySQL 5.5.19 และอาจจะมในเวอรชนอนดวย
o MariaDB 5.5.28a และอาจจะมในเวอรชนอนดวย
3. CVE-2012-5613
o MySQL 5.5.19 และอาจจะมในเวอรชนอนดวย
o MariaDB 5.5.28a และอาจจะมในเวอรชนอนดวย
4. CVE-2012-5614
o MySQL 5.5.19 และอาจจะมในเวอรชนอนดวย
o MariaDB 5.5.28a และอาจจะมในเวอรชนอนดวย
5. CVE-2012-5615
o MySQL 5.5.19 และอาจจะมในเวอรชนอนดวย
o MariaDB 5.5.28a, 5.3.11, 5.2.13, 5.1.66 และ
อาจจะมในเวอรชนอนดวย
ขอแนะนำ ในการปองกนและแกไขทมพฒนาของ MariaDB ซงเปน MySQL เวอรชนทแยกไป
พฒนาตอ (Fork) โดยนกพฒนาภายนอก ไดแกไขชอง
โหวดงกลาวนในโปรแกรม MariaDB เวอรชน
ลาสดแลว ผใชงาน MariaDB สามารถ
ดาวนโหลดเวอรชน 5.5.28a, 5.3.11, 5.2.13
และ 5.1.66 ไปตดตงได [36-2] พรอมกนน
ทาง MariaDB ไดชแจงวาชองโหว
CVE-2012-5631 นนไมใชขอผดพลาด
ของโปรแกรมแตเปนขอผดพลาดของ
การตงคาระบบ และไดใหขอมลเพมเตมวาชองโหว
CVE-2012-5615 นนมการคนพบมานานกวา 10 ปแลว
อยางไรกตาม ทาง Oracle ผพฒนาโปรแกรม MySQL ยงไมม
แถลงการณใดๆ เกยวกบชองโหวดงกลาว ผใชงาน MySQL
ควรตดตามขาวสารอยางตอเนองเพอหาวธปองกนและแกไข
ปญหาตอไป
อางอง[36-1] http://www.zdnet.com/vulnerabilities-threat-
en-to-crash-mysql-databases-7000008194/
[36-2] http://openquery.com/blog/mariadb-securi-
ty-updates
37. ระวงภย ชองโหวใน
Joomla Content Editor อาจถกฝงมลแวรในเวบไซตวนทประกำศ: 14 ธนวาคม 2555
ปรบปรงลำสด: 14 ธนวาคม 2555
เรอง: ระวงภย ชองโหวใน Joomla Content Editor อาจถก
ฝงมลแวรในเวบไซต
ประเภทภยคกคำม: Intrusion, Malicious Code
ขอมลทวไปเมอวนท 12 ธนวาคม 2555 หนวยงาน Internet Storm
Center (ISC) แจงวาไดรบรายงานเวบไซตจ�านวนมากถกเจาะ
ระบบและถกฝงมลแวรลงในหนาเวบไซต ซงโดยสวนใหญ
เวบไซตเหลานนใช Joomla เปนเครองมอในการจดการ
เนอหา (CMS) [37-1] พรอมกนน หนวยงาน CERT-
Bund จากประเทศเยอรมนไดยนยนวาพบการโจมต
ดงกลาวบนเซรฟเวอรทใชงาน Joomla ในประเทศ
เยอรมนดวย
ตวแทนจากหนวยงาน CERT-Bund ไดใหขอมลเพม
เตมวา เวบไซตทถกแฮกนนถกใชเพอเผยแพร
ซอฟตแวรแอนตไวรสปลอม โดยโคดอนตราย
ดงกลาวถกฝงอยในแทก iframe [37-2]
เวบไซต Joomla-Downloads ประเทศ
เยอรมนไดชแจงวา หลายๆ เวบไซตนนถกแฮก
โดยใชสครปตทเรยกวา “Bot/0.1 (Bot for JCE)” ทโจมตผาน
ชองโหวของ Joomla Content Editor ซงสครปตดงกลาวจะ
ใสไฟล .gif เขามาเซรฟเวอร จากนนเปลยนชอไฟลดงกลาวเปน
story.php ซงเปน PHP Shell เพอใชในการแทรกโคด iframe
ลงในไฟล JavaScript สองไฟลคอ /media/system/js/
mootools.js หรอ /media/system/js/caption.js [37-3]
ผลกระทบเวบไซตทถกแฮกอาจถกแทรกโคดอนตรายในแทก iframe เพอ
60 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 61
เผยแพรมลแวร หรออาจถกผไมหวงดควบคบเพอใชในทางทไม
เหมาะสมได
ระบบทไดรบผลกระทบเวบไซตทใชงาน Joomla ทมคอมโพเนนต Joomla Content
Editor เวอรชนเกากวา 2.0.11 ตวอยางหนาจอ Joomla
Content Editor เปนดงรปท 38 (37-1)
รปท 38.รปท 38 (37-1) หนาจอ Joomla Content Editor [37-4]
ขอแนะน�าในการปองกนและแกไขผดแลเวบไซตทใชงาน Joomla ควรตรวจสอบวาไดมการตด
ตง Joomla Content Editor อยในระบบหรอไม หากตดตง
อยควรอพเดทเปนเวอรชนลาสด [37-4] หากพบวาก�าลงใชงาน
JCE เวอรชนเกากวา 2.0.11 อย ควรตรวจสอบไฟล JavaScipt
วาถกฝง iframe หรอไม และควรตรวจสอบไฟล PHP Backdoor
ซงจะอยท /images/stories/story.php หากพบไฟลดงกลาว
ควรลบออกจากระบบโดยเรว
อางอง[37-1] https://isc.sans.edu/diary/Joomla+and+Word-
Press+Bulk+Exploit+Going+on/14677
[37-2] http://www.h-online.com/security/news/item/Joomla-sites-misused-to-deploy-malware-1766841.html
[37-3] http://www.joomla-downloads.de/blick-ueber-den-tellerrand/1998-alte-versionen-des-jce-sind-ziel-von-massenhacks.html
[37-4] http://www.joomlacontenteditor.net/
38. ระวงภย ชองโหวใน
Samsung Galaxy (S2, S3, Note, Note2) สามารถ root หรอทำ เครอง Brick ไดวนทประกำศ: 17 ธนวาคม 2555
ปรบปรงลำสด: 17 ธนวาคม 2555
เรอง: ระวงภย ชองโหวใน Samsung Galaxy (S2, S3, Note,
Note2) สามารถ root หรอท�าเครอง Brick ได
ประเภทภยคกคำม: Intrusion, Malicious Code
ขอมลทวไปนกพฒนาชอ alephzain ไดโพสตใน Forum ของเวบไซต
xda-developers วาไดคนพบชองโหวใน Kernel ของโทรศพท
มอถอ Samsung Galaxy S3 และโทรศพทมอถอเครองอนๆ
ทใชชป Exynos ของ Samsung สาเหตของชองโหวดงกลาว
เกดจากไฟล /dev/exynos-mem นนถกตงคา Permission
เปน R/W ท�าใหผใชหรอแอปพลเคชนใดๆ กตามสามารถเขา
ถงหนวยความจ�าไดโดยตรง (Direct memory access) ผาน
ไฟลดงกลาว หรอผานไลบรารทเรยกใชงานไฟลดงกลาว ซง
ประกอบดวย 3 ไฟลคอ
• /system/lib/hw/camera.smdk4x12.so
• /system/lib/hw/gralloc.smdk4x12.so
• /system/lib/libhdmi.so
ซงไฟลไลบรารดงกลาว ใชส�าหรบการควบคมกลอง ควบคมการ
แสดงผลดานกราฟฟก หรอใชส�าหรบแสดงผลผานพอรต HDMI
ซงนกพฒนาพบวาแอปพลเคชนของ Samsung นนมการเรยก
ใชไฟลไลบรารดงกลาว [38-1]
นกพฒนาชอ Chainfire ไดสรางแอปพลเคชนเพอทดสอบการ
โจมตผานชองโหวดงกลาว โดยแอปพลเคชนทพฒนานนชอวา
ExynosAbuse เมอสงใหท�างาน แอปพลเคชนดงกลาวจะได
สทธของ root และตดตงโปรแกรม SuperSU เพอใชมอบสทธ
ของ root ใหกบแอปพลเคชนอนตอไป
ผลกระทบผไมหวงดสามารถสรางแอปพลเคชนทสามารถเขาถงขอมลของ
ผใช ลบขอมลทงหมดในเครอง หรอท�าใหเครอง Brick ได [38-2]
ระบบทไดรบผลกระทบ• Samsung Galaxy S2 GT-I9100
• Samsung Galaxy S3 GT-I9300
• Samsung Galaxy S3 LTE GT-I9305
• Samsung Galaxy Note GT-N7000
• Samsung Galaxy Note 2 GT-N7100
• Verizon Galaxy Note 2 SCH-I605 (with locked
bootloaders)
• Samsung Galaxy Note 10.1 GT-N8000
• Samsung Galaxy Note 10.1 GT-N8010
ขอแนะนำ ในการปองกนและแกไขนกพฒนาพบวา การแกไขคา Permission ของไฟลทเกยวของ
กบ Kernel สามารถปองกนปญหาดงกลาวได โดยแอปพลเคชน
ExynosAbuse เวอรชน 1.10
นนนอกจากจะใช root เครอง
ไดแลวยงสามารถแกไข Permis-
sion ของไฟลเพอปดชองโหวดง
กลาวได อยางไรกตาม การกระ
ท�าดงกลาวสงผลตอการใชงาน
แอปพลเคชนของ Samsung
เชน กลองถายรปจะไมสามารถ
ใชงานได [38-3] ดงรปท 39
(38-1) อยางไรกตามผใชยง
สามารถสลบใหเปดชองโหวไว
เพอใชงานกลองได
รปท 39.รปท 39 (38-1) กลองถายรปไมสามารถใชงานไดหลงการแกไข Permission
ของไฟล
นกพฒนาไดแจงชองโหวดงกลาวนใหทาง Samsung ทราบแลว
แตในขณะนยงไมมประกาศอยางเปนทางการจาก Samsung
ผใชงานโทรศพทมอถอทไดรบผลกระทบจากชองโหวดงกลาว
ไมควรตดตง แอปพลเคชนทไมนาเชอถอ รวมทงตดตามขาวสาร
และการอพเดทระบบปฏบตการอยเสมอ
อางอง[38-1] http://forum.xda-developers.com/showthread.
php?p=35469999
[38-2] http://thenextweb.com/mobile/2012/12/16/
new-exploit-could-give-android-malware-apps-
access-to-user-data-on-samsung-gs-iii-other-
devices/
[38-3] http://forum.xda-developers.com/showthread.
php?t=2050297
62 | Cyber Threat Alerts - 2012
ËÇѧNjҨÐä´Œ¹Ð¤ÃѺ
¤ÇÒÁÃÙŒ¡Ñ¹äÁ‹ÁÒ¡¡ç¹ŒÍÂ