Impact Level : Critical

Affected Platform : SMBv1, Windows

Conclusion : "SMBLoris" ช่องโหว่ใหม่บน SMBv1 มาแล้ว ปราศจากแพตช์จากไมโครซอฟต์
ในงานสัมมนาด้านความปลอดภัย DEF CON 25 ซึ่งเป็นครั้งล่าสุดนั้น นักวิจัยด้านความปลอดภัย Sean Dillon (zerosum0x0) และ Zach Harding (Aleph-Naught-) จากบริษัท RiskSense ได้มีการเปิดเผยช่องโหว่ใหม่บน SMBv1 ชื่อ "SMBLoris" ซึ่งอาจส่งผลให้เกิดการโจมตีแบบ DoS ได้
ช่องโหว่ SMBLoris นั้นได้เคยถูกแจ้งให้กับทางไมโครซอฟต์แล้วเมื่อเดือนมิถุนายนที่ผ่านมา (ก่อนงาน Black Hat และ DEF CON) อย่างไรก็ตามทางไมโครซอฟต์มีการแจ้งว่าช่องโหว่นี้จะไม่มีแพตช์เพื่อแก้ไขช่องโหว่ออกมาอันเนื่องมาจากผลกระทบที่อยู่ในระดับปานกลาง (บางรายงานข่าวแจ้งว่าไมโครซอฟต์จะไม่มีการปล่อยแพตช์ในทันที) ซึ่งส่งผลให้ช่องโหว่นี้สามารถถูกเรียกได้ว่าเป็น n-day
ช่องโหว่ SMBLoris เกิดขึ้นในส่วนของ NBSS หรือโปรโตคอล NetBIOS Session Service ในทุกครั้งที่มีการเชื่อมต่อผ่านโปรโตคอล SMB นั้น NBSS จะมีการจองพื้นที่ในหน่วยความจำเอาไว้จำนวน 128 KB ซึ่งจะถูกคืนให้กลับระบบในกรณีที่การเชื่อมต่อเสร็จสิ้น ผู้โจมตีสามารถใช้กลไกนี้ในการสร้างการเชื่อมต่อเพื่อใช้งานหน่วยความจำได้เรื่อยๆ จนหมด โดยจากการสาธิตในงาน DEF CON การโจมตีนี้สามารถดึงหน่วยความจำมาใช้ได้ถึง 32 GB จนจำเป็นต้องมีการรีบูต

Recommendation : ในกระบวนการลดผลกระทบจากช่องโหว่นี้นั้น ข้อปฏิบัติที่ดีที่สุดคือการจำกัดการเชื่อมต่อในลักษณะที่มาจากแหล่งที่มาเดียวกันจากอินเตอร์เน็ตที่มีจำนวนมากๆ เอาไว้และทำการปิดการเชื่อมต่อทิ้งเมื่อถึงจุดอันตราย

ที่มา : The Register

Impact Level : Medium

Affected Platform : Windows with SMBv1

Conclusion : เอาเป็นแบบอย่าง! มัลแวร์ขโมยข้อมูล Emomet และ Trickbot เริ่มมีโมดูลแพร่กระจายตัวเองตาม WannaCry และ NotPetya
นักวิจัยจาก FlashPoint ได้มีการตรวจพบรุ่นใหม่ (1000029) ของมัลแวร์ Trickbot ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่แพร่กระจายเป็นจำนวนมากในสหรัฐฯ และอังกฤษ โดยในรุ่นใหม่ของ Trickbot นี้มีการเพิ่มฟีเจอร์ในการแพร่กระจายตัวเองตามแบบของ WannaCry และ NotPetya เข้าไปด้วย
Trickbot มีการใช้ EternalBlue ในการแพร่กระจายโดยโจมตีช่องโหว่ MS17-010 โดยมันจะทำการสแกนหาโดเมนในเครือข่ายโดยใช้ Windows API "NetServerEnum" และ LDAP จากเดิมที่แพร่กระจายเป็นหลักผ่านทางอีเมลฟิชชิ่ง จุดแตกต่างจาก WannaCry คือ Trickbot ไม่มีการสุ่มสแกนไอพีบนอินเตอร์เน็ตเพื่อแพร่กระจายกัน
นักวิจัยจาก Fidelis และ Barkly ก็ตรวจพบมัลแวร์ Emomet ในรุ่นที่พยายามกระจายตัวเองด้วยการโจมตีแบบ brute force เพื่อเข้าถึงระบบอื่นในเครือข่ายด้วย

Recommendation : แนะนำให้แพตช์ช่องโหว่ MS17-010 รวมถึงเพิ่มความปลอดภัยของระบบปฏิบัติการด้วยวิธีการ hardening เพื่อลดความเสี่ยงจากมัลแวร์เหล่านี้

ที่มา : ZDNet

มาอีกเป็นโขยง ข้อมูลหลุดโครงการ UCL/Raytheon, Imperial ของ CIA ถูกปล่อยบน WikiLeaks แล้ว

วิกิลีคส์ได้มีการเผยแพร่โครงการพัฒนาทางไซเบอร์ของ CIA ในโปรเจค Vault 7 อีกครั้ง โดยในครั้งนี้มีโครงการใหญ่ทั้งหมด 2 โครงการได้แก่โครงการ UCL/RayTheon และ Imperial ซึ่งทั้งสองเป็นโครงการที่เกี่ยวข้องกับการประดิษฐ์และพัฒนามัลแวร์เช่นเดียวกัน

สำหรับโครงการแรกหรือ UCL/RayTheon อ้างอิงจากวิกิลีคส์ เป็นเอกสารจากผู้รับเหมาของ CIA ชื่อ Raytheon Blackbird Technologies โดย UCL นั้นมีชื่อเต็มว่าโครงการ UMBRAGE Component Library โครงการ UCL/RayTheon เป็นโครงการที่ RayTheon ทำการวิจัยและเสนอแนวความคิดในการพัฒนามัลแวร์รวมไปถึงการโจมตีกับทาง CIA โดยที่มาทั้งจากการวิเคราะห์มัลแวร์ที่มีการแพร่กระจายอยู่แล้วและการทำทดลองลับเอง เพื่อเพิ่มศักยภาพของโครงการพัฒนามัลแวร์ของ CIA

สำหรับโครงการที่สองหรือ Imperial นั้น เป็นโครงการที่ประกอบไปด้วยมัลแวร์ 3 ประเภทที่พร้อมใช้งานด้วยกัน แยกเป็น

- มัลแวร์ Achilles เป็นมัลแวร์ที่พุ่งเป้าไปที่การฝังตัวเป็นโทรจันในตัวติดตั้งโปรแกรมของ MacOS (ไฟล์ .dmg)
- มัลแวร์ Aeris เป็นมัลแวร์ที่ทำงานบน Debian, RHEL, Solaris, FreeBSD และ CentOS โดยมีฟังก์ชันหลากหลาย อาทิ ขโมยหรือดักฟังข้อมูลบนระบบที่มีการติดตั้ง
- มัลแวร์ SeaPea เป็นมัลแวร์ในลักษณะ Rootkit บน MacOS โดยเน้นไปที่การฝังตัวในระยะยาว สามารถรันได้บน Mac OS X รุ่น 10.6 และ 10.7

หากใครสนใจข้อมูลเพิ่มเติมของมัลแวร์รวมไปถึงการทำงานในเชิงลึกสามารถดาวโหลดไฟล์ได้จากแหล่งที่มา

ที่มา : securityweek

Impact Level : High

Affected Platform : 3G, 4G LTE

Conclusion : ปัญหาด้านความปลอดภัยล่าสุดบน 3G และ 4G LTE อาจนำไปสู่การรั่วไหลของ metadata ได้
ณ งาน Black Hat 2017 ที่ลาสเวกัส นักวิจัยด้านความปลอดภัย Ravishankar Borgaonka และ Lucca Hirschi ได้มีการเปิดเผยงานวิจัยที่เกี่ยวข้องกับปัญหาด้านความปลอดภัยบนเครือข่าย 3G และ 4G LTE ที่อาจนำไปสู่การรั่วไหลของข้อมูลในลักษณะที่เป็น metadata อาทิ ช่วงเวลาที่มีการโทรหรือส่งข้อความหรือที่อยู่ปัจจุบันของโทรศัพท์เครื่องดังกล่าวได้
ปัญหาด้านความปลอดภัยดังกล่าวนั้นอยู่ในกระบวนการพิสูจน์ตัวตนและการแลกเปลี่ยนกุญแจเข้ารหัส กระบวนการแลกเปลี่ยนและตกลงที่จะใช้กุญแจในการเข้ารหัสนั้นส่วนหนึ่งขึ้นอยู่กับส่วนของตัวนับ (counter) ซึ่งอยู่ในแพ็คเกตที่มีการรับส่ง ค่าของตัวนับดังกล่าวจะถูกเก็บอยู่ที่ระบบของฝั่งผู้ให้บริการเพื่อยืนยันตัวตนของอุปกรณ์และมีหน้าที่สำคัญในการป้องกันการโจมตีที่ลักลอบดักจับ แก้ไขและส่งคืนแพ็คเกตที่มีการแก้ไขแล้ว (replay attack) เมื่อตัวนับดังกล่าวถูกใช้ในการรับส่งเพื่อยืนยันตัวตนหรือแลกเปลี่ยนกุญแจสำหรับเข้ารหัส นักวิจัยทั้งสองคนได้ตรวจพบการใช้งานค่าตัวนับที่ไม่เหมาะสมและมีข้อมูลที่ควรจะถูกเข้ารหัสรั่วไหลออกมา ส่งผลให้ผู้โจมตีซึ่งอาจมอนิเตอร์การใช้งานอยู่สามารถดักจับการรับส่งข้อมูลเพื่อให้ลักษณะและรูปแบบของข้อมูลที่อาจบ่งชี้ถึง metadata ได้

ผลลัพธ์ของปัญหาด้านความปลอดภัยนี้อาจนำไปสู่การพัฒนาอุปกรณ์ IMSI catcher อีกรูปแบบซึ่งใช้ในการดักจับข้อมูลข้อมูลได้ด้วย และเนื่องจากการใช้งานอย่างแพร่หลาย ปัญหานี้จึงส่งผลกระทบต่อผู้ใช้งานและผู้ให้บริการทั่วโลก ในตอนนี้องค์กร 3GPP ซึ่งเป็นองค์กรหลักในการพัฒนาโปรโตคอลที่เกี่ยวข้องได้รับทราบถึงการมีอยู่ของช่องโหว่ดังกล่าวและ และจะดำเนินการแก้ไขในรุ่นต่อไปซึ่งอาจหมายถึงในระบบ 5G

ที่มา : ZDNet

IBM ได้มีการปล่อยอัพเดทเพื่อปิดช่องโหว่ที่พบในซอฟต์แวร์ IBM Cisco MDS Series Switches Data Center Network Manager (DCNM) หากถูกเจาะผ่านช่องโหว่ดังกล่าว จะทำให้ผู้ที่โจมตีสามารถเข้าควบคุมระบบที่ได้รับผลกระทบดังกล่าวได้ ทาง US-CERT กระตุ้นให้ทางผู้ใช้งาน และผู้ดูแลระบบทำการทบทวนรายละเอียดคำแนะนำเกี่ยวกับเรื่องของช่องโหว่ และรายละเอียดการบรรเทาผลกระทบ

ที่มา : us-cert

Impact Level : High

Affected Platform : ESXi 5.5, 6.0 ถึง 6.5 และ VMWare Tools ก่อนรุ่น 10.1.0

Conclusion : ช่องโหว่บน VMware VIX API ทำให้ผู้ใช้งานเข้าถึง Guest OS ที่ไม่ได้รับอนุญาตได้
นักวิจัยด้านความปลอดภัย Ofri Ziv จาก GuardiCore ได้เปิดเผยช่องโหว่บน VMware VIX API ในงาน Black Hat 2017 ที่ลาสเวกัสโดยช่องโหว่ดังกล่าวอนุญาตผู้ใช้งานที่มีสิทธิ์ใช้งานต่ำหรือถูกจำกัดสิทธิ์ไว้อยู่สามารถใช้ช่องโหว่ดังกล่าวในการเข้าถึง Guest OS ที่ไม่ได้รับอนุญาตได้
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นในส่วนของ Virtual Infrastructure eXtension (VIX) API ซึ่งเป็น API ที่ช่วยให้ผู้ใช้งานสามารถทำการควบคุมการทำงานของ VM, จัดการไฟล์ภายใน Guest OS รวมไปถึงเข้าถึง Guest OS ได้โดยตรง ในการโจมตีช่องโหว่นี้บัญชีผู้ใช้งานใน vSphere ซึ่งมีสิทธิ์การใช้งานที่จำกัดอยู่จะได้ต้องรับสิทธิ์ในการอนุญาตให้ใช้ VIX API ก่อนด้วยจึงจะทำการโจมตีได้
ช่องโหว่ได้รับรหัส CVE-2017-4919 กระทบ ESXi 5.5, 6.0 และ 6.5 และ VMware Tools เวอร์ชันก่อน 10.1.0 ซึ่งมีการปิดการใช้งาน API ดังกล่าวเป็นค่าเริ่มต้นแล้ว

Recommendation : ในการลดผลกระทบที่เกิดจากช่องโหว่ ผู้ใช้งานสามารถทำการตั้งค่าใน ESXi เฉพาะรุ่น 6.0 (https://kb.

Impact Level : High

Affected Platform : Docker Latest Version

นักวิจัยด้านความปลอดภัย Sagie Dulce จากบริษัท Aqua Security ได้แสดงการใช้ API ของ Docker เพื่อสนับสนุนการทำงานของมัลแวร์ในงาน Black Hat ครั้งล่าสุดที่ลาสเวกัส โดยในการทดลองนี้ Docker API สามารถถูกใช้ในการซ่อน ฝังและสั่งการมัลแวร์ได้
การโจมตีนี้สามารถทำได้โดยระบบที่มีการติดตั้ง Docker ทุกเวอร์ชันที่มีการเปิดให้เรียกหา API ผ่านทางโปรโตคอล TCP (ยังคงเปิดใช้ฟีเจอร์นี้เป็นค่าดีฟอลต์ในรุ่นปัจจุบันบน Docker for Windows)
การใช้ Docker API ในการสนับสนุนการทำงานของมัลแวร์ประกอบด้วยการโจมตีหลายขั้นตอนและต้องอาศัยการตอบสนองจากผู้ใช้งาน โดยประกอบด้วยขั้นตอนในการข้ามผ่านฟีเจอร์ Same Origin Policy ด้วยการโจมตีที่เรียกว่า Host Rebinding Attack ที่ส่งผลให้ผู้โจมตีสามารถเข้าถึง Docker daemon REST API ได้ รวมไปถึงการสร้าง "Shadow Container" เพื่อคงการเข้าถึงเอาไว้แม้จะมีการรีบูตระบบ

Recommendation : ในการป้องกันนั้น Sagie Dulce แนะนำให้ปรับแต่งการตั้งค่าในการเรียก Docker API ให้เฉพาะไคลเอนต์ที่มีการพิสูจน์ตัวตน (ผ่านใบรับรอง) รวมถึงบล็อคการเข้าถึงพอร์ต 2375 และปิดการใช้งานโปรโตคอล LLMNR และ NetBIOS เพื่อป้องกันการ Host Rebinding Attack ด้วย

ที่มา : threatpost

Affected Platform : Diebold Opteva ATM with AFD Platform

บริษัทด้านความปลอดภัย IOActive ได้ประกาศการค้นพบสองช่องโหว่ร้ายแรงบนเอทีเอ็มของ Diebold รุ่น Opteva ที่มีการใช้แพลตฟอร์ม AFD เพื่อปกป้องกล่องเก็บเงินซึ่งส่งผลให้ผู้โจมตีสามารถขโมยเงินจากตู้ได้โดยตรงโดยไม่ต้องมีการยืนยันตัวตนใดๆ
ในการโจมตีนั้น ผู้โจมตีจะต้องมีการใช้ทั้งสองช่องโหว่ควบคู่กันเนื่องจากระบบของเอทีเอ็มมักจะมีการแยกระบบปฏิบัติการออกจากส่วนที่มีการเก็บเงิน โดยในขั้นตอนแรกผู้โจมตีจะต้องทำการเข้าถึง AFD controller ด้วยวิธีทางกายภาพคือการเสียบแท่งเหล็กขนาดเล็กเข้าไปในส่วนลำโพง แท่งเหล็กดังกล่าวจะถูกใช้ในการยกตัวล็อคข้างในที่ทำการป้องกันการเข้าถึงคอมพิวเตอร์ของเอทีเอ็มเอาไว้อยู่ จากนั้นผู้โจมตีจะต้องทำการถอดสาย USB ที่ต่อเข้ากับคอมพิวเตอร์แล้วใช้ช่องทางนีทำเพื่อทำการเชื่อมต่อและส่งข้อมูลกับ AFD controller โดยตรง จากนั้นผู้โจมตีจะทำการโจมตีช่องโหว่ที่เกิดจากการไม่เข้ารหัสและไม่ตรวจสอบแหล่งที่มาของโปรโตคอลของ AFD เพื่อส่งคำสั่งปลอมให้ระบบทำการถอนเงินออกมาได้
อย่างไรก็ตามปัญหาของช่องโหว่นี้อยู่ที่การแพตช์ IOActive กล่าวว่าทางบริษัทได้มีการติดต่อกับ Diebold เป็นระยะเพื่อสอบถามความคืบหน้าในเรื่องการแพตช์แต่กลับยังไม่ได้รับคำตอบที่ชัดเจนว่าได้มีการแพตช์แล้วในเฟิร์มแวร์รุ่นใหม่แล้วหรือไม่ จน IOActive ต้องตัดสินเผยแพร่รายงานการวิเคราะห์ดังกล่าวในที่สุด

ดูรายงานได้ที่: https://www.

Impact Level: High

Affected Platform : Cross Platform

มัลแวร์ SambaCry ซึ่งมีการใช้ช่องโหว่ในชื่อเดียวกันบน Samba ที่พึ่งได้รับแพตช์มาเมื่อไม่นานมานี้ กำลังถูกใช้โดยมัลแวร์ CowerSnail ในรูปแบบเดียวกับการแพร่กระจายของ WannaCry
จากการวิเคราะห์ของ Kaspersky มัลแวร์ CowerSnail น่าจะเป็นมัลแวร์ที่ถูกพัฒนาโดยนักพัฒนาเดียวกับที่พัฒนามัลแวร์ SambaCry อันเนื่องมาจากการใช้ C&C server เดียวกัน มัลแวร์ CowerSnail ถูกออกแบบมาให้ทำงานได้บนหลายระบบโดยพุ่งเป้าไปที่การแพร่กระจายและฝังตัวเป็นระยะเวลานานผ่านการควบคุมบนโปรโตคอล IRC ที่ทำให้ผู้โจมตีสามารถสั่งการมัลแวร์ได้จากระยะไกล

Recommendation : แนะนำให้ตรวจสอบความผิดปกติของระบบอย่างสม่ำเสมอเพื่อตรวจหาการมีอยู่ของมัลแวร์

ที่มา : The Register

MalwareBytes ได้มีการแจ้งเตือนผู้ใช้งานเกี่ยวกับการค้นพบมัลแวร์เรียกค่าไถ่ CryptoMix สายพันธุ์ใหม่ซึ่งในคราวนี้จะเปลี่ยนนามสกุลของไฟล์ที่มีการเข้ารหัสเป็น .EXTE
มัลแวร์เรียกค่าไถ่ CryptoMix แม้ว่าจะเป็นมัลแวร์เรียกค่าไถ่ที่ไม่ค่อยมีฟังก์ชันหรือการทำงานพิเศษที่เป็นที่รู้จักเท่าไหร่ แต่มันก็ยังคงมีการอัพเดตตัวเองและแพร่กระจายอยู่อย่างสม่ำ สำหรับในเวอร์ชันใหม่นี้นั้น ทาง MalwareBytes ตรวจพบความเปลี่ยนแปลงเล็กน้อยในส่วนที่เป็นนามสกุลของไฟล์ที่มัลแวร์มีการเข้ารหัสจากเดิม .AZER เป็น .EXTE และเปลี่ยนชื่อของไฟล์ ransom note จากเดิมคือ HELP_YOUR_FILES.TXT เป็น _HELP_INSTRUCTION.TXT แต่การทำงานและขั้นตอนในการเข้ารหัสนั้นยังคงเหมือนเดิม คือมีการฝังกุญแจเข้ารหัสไว้จำนวน 10 รายการเพื่อให้สามารถเข้ารหัสไฟล์โดยไม่จำเป็นต้องติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม
Recommendation CryptoMix ยังคงใช้วิธีการแพร่กระจายเหมือนกับมัลแวร์เรียกค่าไถ่ประเภทอื่นคือทั้งทางช่องทางอีเมลและ drive-by download แนะนำให้ทำการตรวจสอบการป้องกันเพื่อพร้อมรับมือกับภัยคุกคามในลักษณะนี้อย่างสม่ำเสมอ

ที่มา : securityweek