Microsoft ได้พบปัญหาด้านความปลอดภัยของ Remote Desktop Protocol หรือ function ที่เวลาเรามีเครื่องอยู่บน Network แล้วตัวเราใช้งานเครื่องอื่นอยู่ แล้วอยากจะ remote ใช้งานเครื่องนี้ด้วย  ตัว Remote Desktop จะมีฝั่งตัวที่ทำหน้าที่เป็น Server กับตัวที่เป็น Client ปัญหาที่พบนี้คือตัวที่ทำหน้าที่เป็น Server วิธีตรวจสอบว่าเราเป็น Server หรือไม่แบบง่ายก็ใช้คำสั่ง netstat -an ตามตัวอย่างในรูปที่ 1

Microsoft ได้ออก Security Update มาแก้เรื่องนี้คือ MS02-012 (Version 1.0  13-Mar-2012) โดยออกคำแนะนำให้ติดตั้งลงบน Windows ทุกเครื่อง (แม้ว่าไม่ได้ enable RDP ก็ตาม)  ใน Update นี้ มี 2 ไฟล์ (KB2621440 และ KB2667402 )ให้ดูจากผลกระทบ ถ้ากระทบตัวไหนก็ลงให้ครบถ้วน รายละเอียดของ Security Update แต่ละตัวมีดังนี้

1. KB2621440 Remote Desktop Protocol Vulnerability – CVE-2012-0002 (Rating: Critical)

ปัญหาเรื่องนี้เป็น   Remote Code Execution เกิดขึ้นเมื่อ RDP เรียกใช้ object ใน memory โดยไม่ได้ initial หรือล้างข้อมูลเดิมทิ้ง ผลที่ตามมาคือ ถ้าโดนผู้ไม่หวังดี/ Attacker โจมตีแล้วสำเร็จก็สามารถติดตั้งโปรแกรม, ดู/แก้ไขข้อมูล, สร้าง Account ผู้ใช้งานบนเครื่อง เป็นต้น

2. KB2667402 Terminal Server Denial of Service Vulnerability – CVE-2012-0152 (Rating: Not Applicable, Moderate, Important)

เป็นปัญหาที่ RDP ประมวลผล Packet ที่รับมากจาก Attacker แล้วมีผลทำให้ RDP หยุดทำงาน (ใช้งานไม่ได้)

Download: http://www.microsoft.com/downloads/en/results.aspx?freetext=security+update+ms12-020

วิธีวัดความเร่งรีบ

เมื่อ Microsoft แนะนำขนาดนี้ก็ควรลงอยู่ที่ว่าเร็วหรือช้า มีเวลาทดสอบกันก่อนไหม เราลองประเมินว่าเราควรรีบแค่ไหนดังนี้

1. ตรวจสอบระบบของเราว่ามี RDP เปิดไว้หรือไม่ วิธีตรวจสอบคือ ใช้คำสั่ง netstat –an ตามรูปที่่ 1 หาเรามี TCP 3389 ก็เข้าข่ายรีบ

2. เรามีอปุกรณ์ Firewall หรือ Windows Firewall ป้องกันไหม ถ้าไม่มีก็เข้าข่ายรีบ

3. เครื่องของเราต่อกับ Internet ตรงๆ ไหม ถ้าต่อตรงก็รีบ

รูปที่ 1 – ใช้คำสั่ง netstat –an ตรวจหา TCP 3389

สุดท้าย  ขอแนะนำให้ลง MS12-020 และปลอดภัยกันทุกท่านครับ

Reference:

1. http://technet.microsoft.com/en-us/security/bulletin/ms12-020