Juniper Networks บริษัทผู้ผลิตอุปกรณ์เครือข่าย ออกแพตซ์อัปเดตด้านความปลอดภัยแบบ "out-of-cycle" เพื่อแก้ไขช่องโหว่หลายรายการใน J-Web ของ Junos OS ที่เมื่อใช้ร่วมกันอาจทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่มีช่องโหว่ได้

โดย 4 ช่องโหว่เหล่านี้มีคะแนนรวม CVSS ที่ 9.8 ซึ่งมีความรุนแรงในระดับ Critical และมีผลกระทบต่อเวอร์ชันทั้งหมดของ Junos OS ในตระกูล SRX และ EX Series

J-Web interface ช่วยให้ผู้ใช้งานสามารถกำหนดค่า, จัดการ และตรวจสอบอุปกรณ์ Junos OS โดยมีคำอธิบายสั้น ๆ เกี่ยวกับช่องโหว่ดังต่อไปนี้

CVE-2023-36844 และ CVE-2023-36845 (คะแนน CVSS: 5.3) - ช่องโหว่การปรับเปลี่ยนตัวแปร PHP สองรายการใน J-Web ของ Juniper Networks Junos OS บน EX Series และ SRX Series ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถควบคุมค่าพารามิเตอร์ที่สำคัญบางส่วนได้
CVE-2023-36846 และ CVE-2023-36847 (คะแนน CVSS: 5.3) - ช่องโหว่ที่เกี่ยวกับการ authentications สำหรับฟังก์ชันที่สำคัญ 2 รายการใน Juniper Networks Junos OS บน EX และ SRX Series ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาต สามารถสร้างผลกระทบต่อ file system integrity ได้

ช่องโหว่ได้รับการแก้ไขในรุ่นต่อไปนี้:

EX Series - Junos OS versions 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S4, 22.1R3-S3, 22.2R3-S1, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3, และ 23.2R1

SRX Series - Junos OS versions 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S5, 22.1R3-S3, 22.2R3-S2, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3, และ 23.2R1

ผู้ใช้งานควรดำเนินการอัปเดตแพตซ์เพื่อลดผลกระทบจากการโจมตี หากยังไม่สามารถอัปเดตได้ในทันที Juniper Networks แนะนำให้ผู้ใช้งานปิดใช้งาน J-Web หรือจำกัดการเข้าถึงเฉพาะโฮสต์ที่ได้รับการยืนยันแล้วเท่านั้น

ที่มา : THEHACKERNEWS

นักวิจัยพบวิธีการโจมตีที่ไม่เคยตรวจพบมาก่อนที่ชื่อว่า NoFilter ซึ่งถูกพบว่าใช้ Windows Filtering Platform (WFP) เพื่อทำการยกระดับสิทธิ์ในระบบปฏิบัติการ Windows

(more…)

เหตุการณ์ข้อมูลรั่วไหลของ T-Mobile เริ่มมีข้อมูลของผลกระทบออกมาเรื่อยๆ หลังจากผลการตรวจสอบล่าสุดพบว่าในขณะนี้มีการเปิดเผยข้อมูลของลูกค้าที่ใช้บริการ T-Mobile มากกว่า 54 ล้านคน

เมื่อสุดสัปดาห์ที่ผ่านมาผู้โจมตีเริ่มขายข้อมูลส่วนบุคคลของลูกค้า T-Mobile 100 ล้านคนบนฟอรัมใต้ดินด้วยราคา 6 bitcoin หรือประมาณ 9 ล้าน 3 แสนบาท

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ถูกขโมยมีข้อมูลลูกค้า T-Mobile ประมาณ 100 ล้านคน ข้อมูลที่เปิดเผยอาจรวมถึง IMSI, IMEI ของลูกค้า, หมายเลขโทรศัพท์, ชื่อลูกค้า, PIN ความปลอดภัย, หมายเลขประกันสังคม, หมายเลขใบขับขี่ และวันเกิด

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ขโมยมาเมื่อประมาณ 2 สัปดาห์ก่อน มีข้อมูลลูกค้าย้อนหลังไปถึงปี 2547 โดยทาง T-Mobile ก็มีการยืนยันในภายหลังว่าเซิร์ฟเวอร์บางส่วนถูกแฮ็กจริง และเริ่มตรวจสอบข้อมูลลูกค้าที่ถูกเปิดเผยออกมา

เมื่อวันที่ 17 สิงหาคม T-Mobile ได้เปิดเผยการตรวจสอบ เกี่ยวกับเซิร์ฟเวอร์ที่ถูกแฮ็กเป็นครั้งแรก และกล่าวว่าข้อมูลส่วนบุคคลของผู้ใช้งาน 48.6 ล้านคนถูกขโมยออกไประหว่างการโจมตี

โดยวันนี้ (21 สิงหาคม) T-Mobile ได้อัปเดตจำนวนข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม 6 ล้านคนที่คาดว่าที่ได้รับผลกระทบจากการโจมตี
ในครั้งนี้ ซึ่งรวมแล้วการโจมตีครั้งนี้ส่งผลกระทบต่อผู้ใช้งานประมาณ 54.6 ล้านคน ซึ่งจำแนกตามนี้

ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในปัจจุบันจำนวน 13.1 ล้านบัญชี
ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในอดีตจำนวน 40 ล้านบัญชี

ข้อมูล ลูกค้าเก่าของ T-Mobile ที่เปิดเผยชื่อลูกค้า หมายเลขโทรศัพท์ ที่อยู่ และวันเกิดจำนวน 667,000 บัญชี

ข้อมูล ลูกค้าแบบเติมเงินของ T-Mobile ที่ใช้งานอยู่ หมายเลขโทรศัพท์ และ PIN ของบัญชีจำนวน 850,000 บัญชี

ข้อมูล ที่เกี่ยวข้องกับบัญชี Metro ของ T-Mobile ในปัจจุบันที่อาจรวมอยู่ด้วยจำนวน 52,000 บัญชี

ตามที่ผู้โจมตีระบุช่องโหว่ที่ผู้โจมตีใช้มาจาก Configuration บนอุปกรณ์ Access Point ที่ใช้สำหรับระบบทดสอบ โดยปัญหาจากการ Configuration นั้นทำให้ Access Point ตัวนี้ถูกเข้าถึงได้จากอินเทอร์เน็ต แสดงว่าการโจมตีนี้ไม่ได้ใช้เทคนิคที่ซับซ้อน หรือเป็น Zero Day แต่เป็น T-Mobile เองที่พลาดเปิดประตูทิ้งไว้ และผู้โจมตีก็แค่หาประตูเจอเท่านั้นเอง

T-Mobile ได้บอกอีกว่าไม่พบการเข้าถึงข้อมูลการชำระเงิน หรือข้อมูลทางการเงิน แต่ก็แนะนำให้ลูกค้า T-Mobile ทุกคนระวังโดยให้ถือว่าข้อมูลของพวกเขารั่วไหลด้วยเช่นเดียวกัน รวมถึงให้ระวังข้อความ SMS หรือ อีเมลฟิชชิ่ง หากได้รับแล้ว อย่าคลิกลิงก์ใดๆ ที่อยู่ในข้อความเนื่องจากผู้โจมตีสามารถใช้ลิงก์เหล่านี้เพื่อรวบรวมข้อมูลจากลูกค้า T-Mobile ได้

ที่มา : Bleepingcomputer

ผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ ProxyShell เพื่อติดตั้งแบ็คดอร์สำหรับการเข้าถึง Microsoft Exchange
ProxyShell เป็นชื่อของการโจมตีที่ใช้ช่องโหว่ของ Microsoft Exchange ที่เกี่ยวข้องกันสามช่องโหว่ เพื่อเรียกใช้งานโค้ดที่เป็นอันตราย จากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์

ช่องโหว่ทั้งสามตามรายการ ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal ซึ่งเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกันเพื่อเข้าควบคุมเซิร์ฟเวอร์ Microsoft Exchange ในการแข่งขันแฮ็ก Pwn2Own 2021 ในเดือนเมษายน

CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
CVE-2021-34523 - Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)

CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

เมื่อสัปดาห์ที่แล้ว Orange Tsai ได้พูดใน Black Hat เกี่ยวกับช่องโหว่ของ Microsoft Exchange ล่าสุดที่เขาค้นพบ โดยพบช่องโหว่นี้ในตอนที่เขากำลังกำหนดเป้าหมายการโจมตีไปที่ Microsoft Exchange Client Access Service (CAS)Tsai เปิดเผยในการพูดคุยในงานว่าการโจมตีที่ใช้ ProxyShell นั้นอาศัยการค้นหาอัตโนมัติของ Microsoft Exchange เพื่อทำการโจมตี SSRF

หลังจากงาน Black Hat แล้ว นักวิจัยด้านความปลอดภัย PeterJson และ Nguyen Jang ได้เผยแพร่ข้อมูลทางเทคนิคโดยละเอียดเพิ่มเติมเกี่ยวกับการสร้าง Exploits ProxyShell ที่ใช้ในการโจมตีได้สำเร็จ

และ หลังจากนั้นไม่นาน นักวิจัยด้านความปลอดภัย Kevin Beaumont เริ่มสังเกตุเห็นผู้ไม่หวังดีสแกนหาเซิร์ฟเวอร์ Microsoft Exchange ที่เสี่ยงต่อการถูกโจมตีด้วย ProxyShell

Rich Warren นักวิจัยด้านช่องโหว่ของ Beaumont และ NCC Group ก็ได้มีเปิดเผยว่าผู้ไม่หวังดีได้โจมตี Honeypots ของ Microsoft Exchange โดยใช้ช่องโหว่ ProxyShell ในการโจมตี

เมื่อมีการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ผู้ไม่หวังดีมักจะใช้ URL นี้ในการเริ่มโจมตี

https://Exchange-server/autodiscover/autodiscover.

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญออกจากระบบภายในได้ ซึ่งส่งผลกระทบกับผู้ให้บริการ DNS-as-a-Service (DNSaaS)

Shir Tamari และ Ami Luttwak นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz ประกาศค้นพบช่องโหว่ง่ายๆ ที่อนุญาตให้ผู้โจมตีสามารถดักจับส่วนหนึ่งของการรับส่งข้อมูลบน DNS แบบไดนามิกจากการรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมด ที่ถูกกำหนดเส้นทางผ่านผู้ให้บริการ DNS เช่น Amazon และ Google หากโจมตีสำเร็จผู้โจมตีจะสามารถเข้าถึงข้อมูล และสามารถขโมยข้อมูลสำคัญออกจากระบบได้

ช่องโหว่ดังกล่าวเกิดจากการจัดการลงทะเบียนโดเมนบน Google Cloud DNS หรือ Amazon Route53 ที่ทำการกำหนดชื่อตรงกับชื่อของเซิร์ฟเวอร์ DNS ดังนั้นหากองค์กรมีการกำหนดโดเมนใหม่บนแพลตฟอร์ม Route53 ภายในเซิร์ฟเวอร์ AWS และชี้โฮสต์ไปยังเครือข่ายภายใน จะทำให้การรับส่งข้อมูล DNS แบบไดนามิกจากปลายทางของลูกค้า Route53 ถูกทำการ hijacked และส่งไปยังเซิร์ฟเวอร์ DNS อื่นหรือผู้โจมตีโดยตรงหากมีการลงทะเบียนชื่อ DNS ตรงกัน

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz กล่าวว่าพวกเขาสามารถดักการรับส่งข้อมูล DNS แบบไดนามิกจากองค์กรได้กว่า 15,000 แห่ง รวมถึง Fortune 500, หน่วยงานรัฐบาลของสหรัฐอเมริกา 45 แห่ง และหน่วยงานรัฐบาลระหว่างประเทศ 85 แห่ง โดยข้อมูลส่วนใหญ่เป็นข้อมูลที่สำคัญ อาทิ IP Address ภายใน, ชื่อเครื่องคอมพิวเตอร์, รายชื่อพนักงาน และที่อยู่ของบริษัท

เบื้องต้นทาง Amazon และ Google ได้ทำการแก้ไขปัญหาดังกล่าวแล้ว และทีมวิจัยของ Wiz ได้ทำการพัฒนาเครื่องมือเพื่อให้บริษัทต่างๆ ทดสอบว่าการอัปเดต DDNS ภายในรั่วไหลไปยังผู้ให้บริการ DNS หรือผู้โจมตีหรือไม่อีกด้วย

ที่มา : thehackernews.

อีเมลฟิชชิ่งปลอมเป็น WeTransfer โดยมีการแชร์ไฟล์สองไฟล์ให้กับเหยื่อ และลิงก์สำหรับดูไฟล์เหล่านั้น

Armorblox รายงานว่า ผู้โจมตีทำการปลอมแปลงเป็นอีเมลจากระบบของ WeTransfer เพื่อโจมตีแบบ credential phishing โดยอีเมลที่ถูกปลอมแปลงขึ้นมาจะนำไปสู่หน้าฟิชชิ่งที่มีรูปแบบของ Microsoft Excel ซึ่งเป้าหมายหลักของการโจมตีครั้งนี้ คือการขโมยข้อมูล email credentials Office 365 ของเหยื่อ

WeTransfer เป็นเว็บไซต์ให้บริการถ่ายโอนไฟล์ มักถูกใช้สำหรับการแชร์ไฟล์ที่มีขนาดใหญ่เกินไปที่จะส่งผ่านทางอีเมล

การโจมตี

อีเมลฟิชชิ่งจะถูกส่งโดย WeTransfer เนื่องจากมีชื่อผู้ส่งเป็น Wetransfer และมีชื่อไฟล์ที่แสดงการส่งผ่าน WeTransfer โดยมีความคล้ายคลึงกันกับอีเมล WeTransfer ของจริง และเนื้อหาของอีเมลยังอ้างอิงถึงองค์กรเพื่อให้ดูเหมือนถูกต้องอีกด้วย จึงสามารถหลอกผู้ใช้ที่ไม่ระวังได้อย่างง่าย

เนื้อหาอีเมลแจ้งว่า WeTransfer ได้แชร์ไฟล์สองไฟล์กับเหยื่อ และมีลิงก์สำหรับดูไฟล์เหล่านั้น เมื่อเหยื่อคลิกดูไฟล์ ลิงก์จะนำไปยังหน้าฟิชชิ่งที่คาดว่าน่าจะเป็นของ Microsoft Excel นอกจากนี้ยังมี spreadsheet ที่เบลอเป็นพื้นหลัง และแสดงแบบฟอร์มกำหนดให้เหยื่อต้องป้อนข้อมูลการเข้าสู่ระบบ

โดเมนของผู้ส่งอีเมลเป็นผู้ให้บริการเว็บโฮสติ้งชื่อ 'valueserver[.]jp.

ผู้เชี่ยวชาญเปิดเผยข้อมูลเกี่ยวกับ Malware-as-a-Service ของรัสเซียที่เขียนขึ้นใน Rust

 

มีการพบ Nascent ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เพิ่งเกิดขึ้นใหม่ มีการขาย และแจกจ่ายบนฟอรัมใต้ดินของรัสเซีย โดยมัลแวร์ถูกเขียนเป็นภาษา Rust โดย Rust เป็นภาษาโปรแกรมภาษาใหม่ที่พัฒนาโดย Mozilla ซึ่งเป็นสัญญาณบ่งบอกถึงแนวโน้มใหม่ที่ผู้โจมตีใช้ภาษาโปรแกรมที่แปลกใหม่มากขึ้นเพื่อหลีกเลี่ยงการรักษาความปลอดภัย หลบเลี่ยงการวิเคราะห์

มีการขนานนามผู้โจมตีนี้ว่า "Ficker Stealer" ซึ่งมีชื่อเสียงในด้านการเผยแพร่มัลแวร์ผ่านลิงก์เว็บโทรจัน และเว็บไซต์ที่ถูกบุกรุก ล่อเหยื่อให้เข้าสู่หน้า Landing Page ที่หลอกลวง โดยอ้างว่าให้บริการดาวน์โหลดฟรีของบริการที่ต้องชำระเงิน เช่น Spotify Music, YouTube Premium และแอปพลิเคชัน Microsoft Store อื่นๆ

Ficker ขายและแจกจ่าย Malware-as-a-Service (MaaS) ผ่านฟอรัมออนไลน์ของรัสเซีย ทีมวิจัย และข่าวกรองของ BlackBerry กล่าวในรายงานว่า "ผู้สร้างซึ่งมีนามแฝงคือ @ficker เสนอแพ็คเกจแบบชำระเงินหลายแบบโดยมีค่าธรรมเนียมการสมัครสมาชิกที่แตกต่างกันเพื่อใช้โปรแกรมที่เป็นอันตรายดังกล่าว"

มีการพบ Malware-as-a-Service ครั้งแรกในเดือนสิงหาคม 2020 เป็นมัลแวร์บน Windows ถูกใช้เพื่อขโมยข้อมูลที่ sensitive รวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลบัตรเครดิต กระเป๋าเงินดิจิตอล และข้อมูลเบราว์เซอร์ นอกเหนือจากการทำงานเป็นเครื่องมือในการดึงไฟล์ที่ sensitive ยังสามารถทำหน้าที่เป็นตัวดาวน์โหลดเพื่อดาวน์โหลด และเรียกใช้มัลแวร์อีกด้วย

นอกจากนี้ เป็นที่ทราบกันดีว่า Ficker ถูกส่งผ่านแคมเปญสแปม ซึ่งเกี่ยวข้องกับการส่งอีเมลฟิชชิ่งที่กำหนดเป้าหมายด้วยเอกสารแนบ Excel ซึ่งเมื่อเปิดขึ้นจะปล่อยตัวโหลด Hancitor ซึ่งจะทำให้เพย์โหลดทำงาน

มัลแวร์ยังมีการตรวจสอบการป้องกันการวิเคราะห์อื่นๆที่ป้องกันไม่ให้ทำงานในสภาพแวดล้อมเสมือนจริง(VM) และบนเครื่องเหยื่อที่อยู่ในอาร์เมเนีย อาเซอร์ไบจาน เบลารุส คาซัคสถาน รัสเซีย และอุซเบกิสถาน สิ่งที่น่าสังเกตเป็นพิเศษก็คือ Ficker ได้รับการออกแบบมาให้รันคำสั่ง และส่งข้อมูลโดยตรงไปยังผู้โจมตี ซึ่งแตกต่างจากผู้ขโมยข้อมูลแบบเดิมๆที่จะเขียนข้อมูลที่ถูกขโมยลงดิสก์ มัลแวร์ยังมีความสามารถในการจับภาพหน้าจอ ซึ่งช่วยให้ผู้ให้บริการมัลแวร์สามารถจับภาพหน้าจอของเหยื่อจากระยะไกล มัลแวร์ยังช่วยให้สามารถดึงไฟล์และดาวน์โหลดได้

ที่มา: thehackernews

การ Phishing แบบใหม่ที่ใช้การลอกเลียนแบบบริการจาก PayPal ผู้โจมตีใช้ออโต้สคริปต์ และช่องทาง Live Chat ในการโจมตีเพื่อหลีกเลี่ยงการตรวจจับของ Email Gateways จากพฤติกรรมของผู้โจมตีชี้ให้เห็นถึงความจำเป็นที่องค์กรต้องเพิ่มการป้องกันการโจมตีประเภทนี้ ซึ่งอาจมีเป้าหมายเป็นข้อมูลส่วนตัวของผู้ใช้งาน นักวิจัยของ Cofense Phishing Defense Center ระบุว่าผู้โจมตีแคมเปญนี้ไม่เพียงแต่สร้างหน้าแบบฟอร์มที่ปลอมแปลงเท่านั้น แต่ยังมีการใช้อีเมลที่สร้างขึ้นมาอย่างแนบเนียน ซึ่งดูเผินๆแล้วจะเหมือนเป็นอีเมลที่ถูกต้อง นอกจากว่าผู้ใช้งานจะเข้าไปดูในส่วนของอีเมลเฮดเดอร์

โดยหัวข้ออีเมลจะเป็นเรื่องการพยายามขอติดต่อผ่าน Live Chat เพื่อหารือเกี่ยวกับประกาศบริการที่เกี่ยวข้องกับบัญชี PayPal ของเป้าหมาย ดังนั้นจึงเป็นการเร่งให้เป้าหมายพยายามติดต่อรีบแก้ไขปัญหาอย่างรวดเร็ว อย่างไรก็ตามผู้โจมตีไม่ได้พยายามปิดบังชื่อผู้ส่งมากพอ ทำให้บางครั้งก็ยังสามารถระบุได้ว่าอีเมลดังกล่าวไม่ใช่อีเมลที่ถูกส่งมาจาก PayPal จริงๆ

นักวิจัย Geoghagan อธิบายว่าเมื่อวางเมาส์ไว้ที่ปุ่มที่ระบุว่า "ยืนยันบัญชีของคุณ" จะสังเกตได้ว่าจะไม่ใช่ ​​URL ของ PayPal แต่จะเป็น ​​URL direct[.]lc[.]chat หากผู้ใช้งานที่ใช้งาน PayPal อยู่เป็นประจำอาจจะสังเกตได้จากขั้นตอนนี้ เพราะ Live Chat จริงๆของ PayPal ที่ถูกต้องนั้นโฮสต์อยู่ในโดเมนของ PayPal และกำหนดให้คุณเข้าสู่ระบบก่อนเพื่อใช้งานเท่านั้น แต่หากเหยื่อหลงเชื่อเข้า Live Chat หลอกลวง ผู้โจมตีจะใช้ออโต้สคริปต์เพื่อเริ่มการสื่อสาร โดยจะพยายามขอรายละเอียดเกี่ยวกับอีเมล และหมายเลขโทรศัพท์จากเหยื่อ เพื่อใช้ในการพยายามหาข้อมูลในด้านอื่นๆต่อ

เมื่อผู้โจมตีได้รับหมายเลขโทรศัพท์ และรายละเอียดข้อมูลอีเมล ผู้โจมตีจะพยายามหาวิธีเข้าถึงข้อมูลบัตรเครดิตของเหยื่อ สุดท้ายรหัสยืนยันจะถูกส่งทาง SMS ไปยังหมายเลขโทรศัพท์ของเป้าหมายที่ให้ไว้ก่อนหน้านี้ เพื่อยืนยันว่าหมายเลขโทรศัพท์ที่เหยื่อให้มาใช้งานได้จริง และเหยื่อสามารถเข้าถึงอุปกรณ์ที่รับ SMS ได้จริง เมื่อได้ข้อมูลมากพอ ผู้โจมตีจะพยายามโทรหาเป้าหมายโดยตรงเพื่อดำเนินการหลอกลวงในขั้นตอนถัดไป

ที่มา: bankinfosecurity

Adobe ได้ออกแพตซ์อัปเดตความปลอดภัย Patch Tuesday ขนาดใหญ่ซึ่งแก้ไขช่องโหว่ที่สำคัญใน Magento และจุดบกพร่องที่สำคัญใน Adobe Connect

รายการผลิตภัณฑ์ Adobe ทั้งหมดที่ได้รับการอัปเดตความปลอดภัยในวันนี้ และจำนวนช่องโหว่ที่แก้ไขแล้วมีดังต่อไปนี้:

APSB21-64 มีการอัปเดตความปลอดภัยสำหรับ Magento
APSB21-66 มีการอัปเดตความปลอดภัยสำหรับ Adobe Connect

โดย Adobe ได้แก้ไขช่องโหว่ 29 รายการด้วยการอัปเดตในครั้งนี้

ช่องโหว่ที่สำคัญเกือบทั้งหมดอาจนำไปสู่การรันคำสั่งที่เป็นอันตรายบนเครื่องคอมพิวเตอร์ที่มีช่องโหว่ได้

จากการอัปเดตความปลอดภัยของ Adobe ที่เผยแพร่ในวันนี้ Magento มีการแก้ไขมากที่สุด โดยมีช่องโหว่มากถึง 26 รายการ

สิ่งที่น่ากังวลเป็นพิเศษคือ 10 ช่องโหว่เกี่ยวกับ pre-authentication ใน Magento ที่สามารถโจมตีได้โดยไม่ต้องมีการล็อกอิน

บางช่องโหว่ของ preauth เหล่านี้ คือการเรียกใช้โค้ดที่เป็นอันตรายได้จากระยะไกล และหลีกเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยได้ ทำให้ผู้โจมตีสามารถควบคุมเว็ปไซต์ และเซิร์ฟเวอร์ของเว็ปไซต์นั้นๆได้

ติดตั้งการอัปเดตทันที

แม้ว่าจะไม่มีช่องโหว่แบบ Zero-day ที่ถูกใช้งานในการโจมตีจริง แต่ Adobe แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

เหตุที่ต้องรีบอัพเดทแพตช์เป็นเพราะว่าผู้โจมตีสามารถเปรียบเทียบซอฟต์แวร์เวอร์ชันเก่ากับเวอร์ชันแพตช์ เพื่อตรวจสอบว่าโค้ดใดมีช่องโหว่ และใช้ผลประโยชน์จากช่องโหว่เหล่านั้นได้

ในกรณีส่วนใหญ่ ผู้ใช้สามารถอัปเดตซอฟต์แวร์ได้โดยใช้คุณลักษณะการอัปเดตอัตโนมัติของผลิตภัณฑ์โดยใช้ขั้นตอนต่อไปนี้:

โดยไปที่ Help > Check for Updates
สามารถดาวน์โหลดตัวติดตั้งการอัปเดตได้จาก Download Center ของ Adobe
ให้ผลิตภัณฑ์อัปเดตโดยอัตโนมัติโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ เมื่อตรวจพบการอัปเดต

สำหรับการอัปเดต Magento คุณจะต้องดาวน์โหลดแพตช์ และติดตั้งด้วยตนเอง
หากไม่มีการอัปเดตใหม่ผ่านการอัปเดตอัตโนมัติ คุณสามารถตรวจสอบรายละเอียดได้ที่ลิงก์

https://helpx.

Microsoft ได้แก้ไขช่องโหว่ PrintNightmare ใน Windows Print Spooler โดยกำหนดให้ผู้ใช้ต้องมีสิทธิ์ระดับผู้ดูแลระบบเมื่อใช้คุณสมบัติ Point and Print เพื่อติดตั้งไดรเวอร์

ในเดือนมิถุนายน นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ zero-day ที่ชื่อว่า PrintNightmare (CVE-2021-34527) โดยไม่ได้ตั้งใจ เมื่อถูกโจมตี ช่องโหว่นี้จะอนุญาตให้สามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้ และทำให้สามารถเข้าควบคุมเครื่องด้วยสิทธิ์ของ SYSTEM

เมื่อเร็วๆนี้ Microsoft ได้อัปเดตความปลอดภัยที่แก้ไขในส่วนของการรันโค้ดที่เป็นอันตรายจากระยะไกล แต่ยังไม่ได้แก้ไขเรื่องการยกระดับสิทธิ์ในเครื่อง

อย่างไรก็ตาม นักวิจัยพบว่ามีความเป็นไปได้ที่จะใช้ประโยชน์จาก Point and Print เพื่อติดตั้งไดรเวอร์ที่เป็นอันตราย ซึ่งอนุญาตให้ผู้ใช้ที่มีสิทธิ์ต่ำยังสามารถโจมตี และสามารถยกระดับสิทธิ์ของผู้ใช้งานเป็น SYSTEM ได้

Point and Print เป็นคุณลักษณะของ Windows ที่ช่วยให้ผู้ใช้สามารถเชื่อมต่อกับ Pinter เซิร์ฟเวอร์ จึงทำให้แม้จะเป็นการเชื่อมต่อจากภายนอก ก็ยังสามารถสั่งดาวน์โหลด และติดตั้งไดรเวอร์ที่เป็นอันตรายได้โดยอัตโนมัติ

หลังการอัพเดทความปลอดภัย Patch Tuesday ในเดือนสิงหาคม 2564 เพื่อแก้ไขช่องโหว่ "PrintNightmare" จะทำให้ Point and Print ต้องใช้สิทธิ์ระดับผู้ดูแลระบบในการติดตั้งไดรเวอร์ Printer เท่านั้น

Microsoft แนะนำว่าอย่าปิดฟังก์ชั่นนี้ เนื่องจากจะทำให้มียังคงมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ Windows Print Spooler ได้

ที่มา : bleepingcomputer.