on
เมื่อวันอังคารที่ผ่านมาไมโครซอฟท์ออกแพตช์ชุดใหญ่ และมีบั๊กความร้ายแรงสูง คือ MS15-034 ร่วมอยู่ด้วย ตอนนี้ถ้าใครดูแลเซิร์ฟเวอร์รุ่นที่ได้รับผลกระทบแล้วยังรีรอไม่อัพเดต เซิร์ฟเวอร์ของท่านอาจจะถูกยิงให้แครชทั้งเครื่องได้ง่ายๆ ด้วยคำสั่งเดียว
การส่งคำสั่งด้วย curl เพียงบรรทัดเดียวสามารถทำให้เซิร์ฟเวอร์แครชไปทั้งเครื่องได้ เพราะ HTTP.sys เป็นไดร์เวอร์ระดับเคอร์เนล ช่องโหว่นี้เกิดจากการรับค่าใน HTTP Header ที่ฟิลด์ Range ผิดพลาด หากใส่ค่าใหญ่เกินไปก็สามารถทำให้เคอร์เนลแครชได้ทันที
นอกจากจะทำให้เซิร์ฟเวอร์แครชได้แล้ว ช่องโหว่นี้อาจจะทำให้แฮกเกอร์ดึงข้อมูลจากเครื่อง หรือรันโค้ดในเซิร์ฟเวอร์ได้ อย่างไรก็ตาม ยังไม่มีกระบวนการแฮกเหล่านั้นเผยแพร่ออกมาสู่สาธารณะ
ทาง Internet Storm Center ออกมาเตือนว่าพบการยิงเครื่องให้แครชแบบนี้บนเครื่องล่อ (honeypot) บางเครื่องแล้ว และดูเหมือนว่าแฮกเกอร์กำลังยิงไปทั่วอินเทอร์เน็ต ดังนั้นผู้ดูแลระบบทุกคนควรเร่งปิดช่องโหว่ไม่ว่าจะลงแพตช์, ปิดตัวเลือก Kernel Caching, หรือจะเพิ่มกฏของ IPS เพื่อบล็อคการยิงแบบนี้ออกไป
ที่มา - Internet Storm Center, The Register
อย่าไรก็ตาม
aimakung Fri, 17/04/2015 - 13:06
อย่าไรก็ตาม ยังไม่มีกระบวนการแฮกเหล่านั้นเผยแพร่ออกมาสู่สาธารณะ >>> อย่างไรก็ตาม
ตอนนี้ถ้าใครดูและเซิร์ฟเวอร์ร
panurat2000 Fri, 17/04/2015 - 14:13
In reply to อย่าไรก็ตาม by aimakung
ดูและ => ดูแล
พูถึงวิธีการขนาดนี้แล้ว
bluezip Fri, 17/04/2015 - 13:10
พูถึงวิธีการขนาดนี้แล้ว น่าจะทำได้หลายคน
ตอนนี้เหมือนแมวไล่จับหนูครับ
LazarusSP1 Fri, 17/04/2015 - 14:37
In reply to พูถึงวิธีการขนาดนี้แล้ว by bluezip
ตอนนี้เหมือนแมวไล่จับหนูครับ แอดมินใครช้า ก็เจอดีเลยทีเดียว
ในที่มามีให้ copy/paste
lew Fri, 17/04/2015 - 18:25
In reply to พูถึงวิธีการขนาดนี้แล้ว by bluezip
ในที่มามีให้ copy/paste ไปยิงกันได้เลยครับ :|
กระบวนการแฮก
heart Fri, 17/04/2015 - 13:28
กระบวนการแฮก ออกมาสู่สาธารณะเพียบแล้วครับ Twitter ยังมีเลย
มีผลกับ IIS ย้อนหลังไปหลายปี จนถึงปัจจุบัน
รวมถึง Windows Server ที่ไม่มี IIS แต่มีการใช้งาน HTTP.sys ด้วย
หมายความว่า ไม่จำเป็นต้องเป็น IIS เสมอไป แค่เป็น Windows Server ก็ควรอัพเดท patch แล้ว
เหนื่อยแอดมินเลยทีนี้
easyduck Fri, 17/04/2015 - 14:26
เหนื่อยแอดมินเลยทีนี้
Server ผมเปิด Auto Update
thep497 Fri, 17/04/2015 - 15:05
Server ผมเปิด Auto Update ระบบ up ให้ตั้งแต่เมื่อคืนแล้วครับ สบายไป
IISJ อะ
GoblinKing Fri, 17/04/2015 - 16:55
IISJ อะ
FYI ครับ สำหรับใครที่ใช้ 8.1
Jonathan_Job Fri, 17/04/2015 - 22:34
FYI ครับ
สำหรับใครที่ใช้ 8.1 หรือ 2012 R2 แล้วไม่มี KB3042553 (MS15-034) ลิสต์อยู่ใน Windows Update แล้วพยายามโหลดไฟล์ "Windows8.1-KB3042553-x64.msu" มาติดตั้งเองแล้วเจอปัญหา "This update is not applicable to your computer" ให้ลองตรวจสอบว่าเครื่องนี้ติดตั้ง "Update 1" ( KB2919355 ) แล้วหรือยัง เพราะ KB3042553 จะไม่สามารถติดตั้งบน RTM ได้
ถ้าเกิดไม่มีแล้วจะลง KB2919355 จะต้องลง KB เหล่านี้ตามลำดับ (KB2919442 > clearcompressionflag.exe > KB2919355 > KB2932046 > KB2959977 > KB2937592 > KB2938439 > KB2934018)
งานงอก...
thanathornboss Fri, 17/04/2015 - 22:36
งานงอก...