การเสริมความปลอดภัยให้กับ DCOM ของ Microsoft และผลกระทบต่อ Applications Manager
Microsoft ได้ยอมรับว่ามีช่องโหว่ร้ายแรงในการเชื่อมต่อผ่าน WMI ที่มีผลต่อโปรโตคอล DCOM ซึ่งช่วยให้ผู้ไม่หวังดีสามารถข้ามการรักษาความปลอดภัยของเซิร์ฟเวอร์ DCOM, เพิ่มสิทธิของตนเอง และเข้าถึงระบบโดยไม่ได้รับอนุญาต เอง Microsoft ได้ออกชุดอัปเดตด้านความปลอดภัย (KB5004442) ในช่วงสองปีที่ผ่านมา ซึ่งรู้จักกันในชื่อ “DCOM hardening” เพื่อแก้ไขปัญหานี้ แต่การเปลี่ยนแปลงดังกล่าวส่งผลกระทบต่อแอปพลิเคชันของ third-party ที่ใช้โปรโตคอล DCOM ทำให้เกิดปัญหาในการยืนยันตัวตนและการร้องขอข้อมูล
บทความนี้จะอธิบายถึงช่องโหว่นี้ มาตรการที่ไมโครซอฟท์นำมาใช้เพื่อจัดการปัญหา และผลกระทบของมาตรการเหล่านั้นต่อแอปพลิเคชันที่ใช้ WMI เช่น ManageEngine Applications Manager
เกี่ยวกับช่องโหว่นี้
ช่องโหว่ Windows DCOM Server Security Feature Bypass (CVE-2021-26414) ช่วยให้ผู้โจมตีสามารถเพิ่มสิทธิของตนเองและเข้าถึงระบบได้โดยไม่ได้รับอนุญาต โดยอาศัยช่องโหว่จากวิธีที่ WMI เชื่อมต่อผ่านโปรโตคอล DCOM
DCOM (Distributed Component Object Model) คือโปรโตคอลการสื่อสารใน Windows ที่ใช้สำหรับการสื่อสารระหว่างส่วนประกอบของซอฟต์แวร์ในอุปกรณ์เครือข่าย โดยผ่านการเรียกฟังก์ชันจากระยะไกล (remote procedure calls หรือ RPCs) ซึ่งช่วยให้โปรแกรมสามารถสื่อสารกับโปรแกรมหรือส่วนประกอบอื่น ๆ ในระบบเครือข่ายได้ ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสวมรอยเป็นผู้ใช้แล้วเพิ่มสิทธิของตนเองผ่านการเชื่อมต่อ DCOM ส่งผลให้ระบบมีความเสี่ยงด้านความปลอดภัย
การเพิ่มความแข็งแกร่งให้ DCOM: วิธีการชั่วคราวของ Microsoft เพื่อจัดการช่องโหว่
Microsoft ใช้วิธีแก้ไขแบบเป็นขั้นตอน โดยออกอัปเดตด้านความปลอดภัยเป็น 3 ระยะ เพื่อป้องกันไม่ให้แอปพลิเคชันที่ใช้ WMI หลายตัวล่ม นี่คือลิสต์ของอัปเดตที่เรียกว่า “DCOM hardening” ซึ่ง Microsoft ปล่อยออกมา:
| Update release | Behavior change |
| 8 มิถุนายน 2021 | การตั้งค่า hardening ถูกปิดไว้โดยค่าเริ่มต้น แต่สามารถเปิดใช้งานได้ผ่านการตั้งค่า registry |
| 14 มิถุนายน 2022 | การตั้งค่า hardening ถูกเปิดใช้งานโดยค่าเริ่มต้น แต่ยังสามารถปิดได้ผ่าน registry key |
| 14 มีนาคม 2023 | การตั้งค่า hardening ถูกบังคับใช้ และเปิดใช้งานโดยไม่มีทางเลือกให้ปิดอีกต่อไป ณ จุดนี้ ผู้ดูแลระบบต้องจัดการปัญหาความเข้ากันได้ (compatibility) ระหว่างแอปพลิเคชันกับการเปลี่ยนแปลงนี้ให้เรียบร้อย |
ผลกระทบของ DCOM hardening ต่อ Applications Manager
แอปพลิเคชันจำนวนมากที่รันบน Windows ต้องพึ่งพาการเชื่อมต่อผ่าน WMI เพื่อสื่อสารกับระบบ แอปเหล่านี้มักพัฒนาอยู่บนโครงสร้างพื้นฐานของ WMI ที่ Windows มีให้ ซึ่งหมายความว่าหากมีการเปลี่ยนแปลงใด ๆ ใน WMI ก็สามารถส่งผลกระทบต่อแอปได้ง่าย เมื่อ Microsoft ทำการ harden การตั้งค่า DCOM แล้ว การเปลี่ยนแปลงนี้จึงส่งผลกระทบต่อแอปพลิเคชันที่ใช้ WMI รวมถึง Applications Manager เนื่องจากการเปลี่ยนแปลงนี้ ผู้ใช้ Applications Manager พบปัญหาในการยืนยันตัวตนและการร้องขอข้อมูลขณะตรวจสอบ resource ที่ใช้ WMI ส่งผลให้การเก็บข้อมูลเกิดปัญหา
Patch DCOM hardening ของ Microsoft
เพื่อแก้ปัญหาที่เกิดจาก DCOM hardening, Microsoft ได้ปล่อย patch ฝั่ง client ที่ช่วยยกระดับสิทธิของคำร้องขอ (request) โดยอัตโนมัติเมื่อต้องติดต่อกับ DCOM server patch นี้จะอนุญาตเฉพาะคำร้องขอจากแอปพลิเคชันที่ได้รับสิทธิอย่างชัดเจนเท่านั้น ทำให้ป้องกันไม่ให้ผู้โจมตีปลอมตัวเป็นผู้ใช้ที่มีสิทธิสูงเพื่อใช้ช่องโหว่ใน WMI patch นี้จัดการขั้นตอนการอนุญาตโดยอัตโนมัติ โดยไม่จำเป็นต้องให้แอปพลิเคชันที่ใช้ WMI แก้ไขโค้ดเดิมเพื่อรับมือกับผลกระทบ
ต่อไปนี้คือรายการอัปเดตความปลอดภัยที่ปล่อยตามมาหลังจาก DCOM hardening patch
| Update release | Behavior change |
| พฤศจิกายน 2022 | การอัปเดตนี้เพิ่มระดับการยืนยันตัวตนของการเปิดใช้งาน (activation) ไปสู่ระดับ packet integrity โดยอัตโนมัติ การเปลี่ยนแปลงนี้ถูกปิดไว้ตามค่าเริ่มต้นใน Windows Server 2016 และ Windows Server 2019 |
| ธันวาคม 2022 | การเปลี่ยนแปลงในเดือนพฤศจิกายนถูกเปิดใช้งานตามค่าเริ่มต้นใน Windows Server 2016 และ Windows Server 2019 นอกจากนี้ยังแก้ปัญหาที่เกี่ยวกับ anonymous activation บน Windows Server 2016 และ 2019 |
| มกราคม 2023 | การอัปเดตนี้แก้ไขปัญหาเกี่ยวกับ anonymous activation บนแพลตฟอร์มตั้งแต่ Windows Server 2008 ถึง Windows 10 (รุ่นแรกออกในเดือนกรกฎาคม 2015) |
หากคุณได้ติดตั้ง cumulative security update ล่าสุด ณ เดือนมกราคม 2023 บนเครื่อง client และ server แล้ว แพตช์ auto-elevate ตัวล่าสุดจะถูกเปิดใช้งานโดยสมบูรณ์
แพตช์นี้ช่วย Applications Manager อย่างไรบ้าง
เมื่อแพตช์ DCOM hardening ของ Microsoft จัดการกระบวนการอนุญาตโดยอัตโนมัติแล้ว แอปพลิเคชันที่ใช้ WMI อย่าง Applications Manager จะสามารถรับมือกับผลกระทบจาก DCOM hardening ได้ง่ายขึ้น และลดปัญหาความเข้ากันได้ (compatibility) เมื่อ Applications Manager พยายามเชื่อมต่อกับ Windows server ระยะไกล ตัวเซิร์ฟเวอร์ที่ติดตั้ง Applications Manager จะทำหน้าที่เป็น DCOM client และฝั่งเซิร์ฟเวอร์ปลายทางจะทำหน้าที่เป็น DCOM server ดังนั้นจึงทำให้ Applications Manager สามารถทำงานได้ตามปกติ และมั่นใจได้ว่าการเชื่อมต่อ WMI จะเกิดขึ้นได้โดยไม่ต้องมีการปรับแก้ค่าใด ๆ ด้วยตนเอง
สรุป
การอัปเดต DCOM hardening จาก Microsoft ส่งผลกระทบอย่างมีนัยสำคัญต่อแอปพลิเคชันที่ใช้การเชื่อมต่อ WMI เพื่อสื่อสารกับระบบ Windows การอัปเดตทำให้เกิดความล้มเหลวในการยืนยันตัวตนและการร้องขอข้อมูลระหว่างการมอนิเตอร์ resource ที่ใช้ WMI ซึ่งส่งผลให้การเก็บข้อมูลใน Applications Manager มีปัญหา อย่างไรก็ตาม แพตช์ auto-elevation ฝั่ง client ที่ Microsoft ปล่อยออกมาทำหน้าที่เสมือนเป็นผู้ช่วยกู้วิกฤต โดยจัดการกระบวนการอนุญาตโดยอัตโนมัติ ทำให้แอปพลิเคชันที่ต้องพึ่งพา WMI สามารถทำงานได้ตามปกติ
ขอแนะนำอย่างยิ่งให้ผู้ใช้ Applications Manager ติดตั้งแพตช์นี้ในระบบ Windows ของคุณเพื่อรักษาความปลอดภัยและความสมบูรณ์ของระบบ และควรติดตามอัปเดต DCOM hardening และแพตช์ล่าสุดจาก Microsoft อย่างสม่ำเสมอ พร้อมติดตั้งทันทีที่มี เพื่อป้องกันภัยคุกคามด้านความปลอดภัยล่าสุดได้อย่างมีประสิทธิภาพ