Mozilla เผยแพร่แพตช์สำหรับช่องโหว่ร้ายแรงบนโปรแกรม Thunderbird ล่าสุดซึ่งทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่บางรายการเพื่อควบคุมระบบที่ได้รับผลกระทบจากระยะไกลได้ อย่างไรก็ตามช่องโหว่นี้ไม่สามารถงานได้ผ่านทางอีเมลใน Thunderbird เนื่องจากสคริปต์จะไม่สามารถทำงานได้ถ้าเปิดอ่านอีเมล ทำให้สามารถลดความเสี่ยงที่จะถูกโจมตีได้

หนึ่งในช่องโหว่ระดับวิกฤติที่ถูกเผยแพร่ออกมานั้นคือช่องโหว่รหัส CVE-2018-12359 ซึ่งเป็นช่องโหว่ buffer overflow ที่จะเกิดขึ้นเมื่อมีการแสดงเนื้อหา Canvas ขณะปรับความสูงและความกว้างของ แบบไดนามิก ทำให้เกิดความผิดพลาดของข้อมูลซึ่งถูกเขียนขึ้นนอกขอบเขตที่คำนวณ และส่งผลให้ผู้โจมตีสามารถเขียนทับหน่วยความจำเพื่อควบคุมกระบวนการทำงานของโปรแกรมได้

NCCIC แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบและอัปเดต โปรแกรม Thunderbird ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อป้องกันการถูกโจมตีผ่านทางช่องโหว่นี้

ที่มา:us-cert

รัฐแอตแลนตาอาจต้องจ่ายเงินกว่า 17 ล้านเหรียญสหรัฐฯ เพื่อฟื้นฟูความเสียหายจากมัลแวร์เรียกค่าไถ่ SamSam

เมื่อวันที่ 22 มีนาคมที่ผ่านมา ระบบเครือข่ายของรัฐแอตแลนตาตกเป็นเป้าหมายของมัลแวร์เรียกค่าไถ่ SamSam ซึ่งส่งผลให้ระบบส่วนมากไม่สามารถให้บริการได้ โดยทางรัฐฯ ตัดสินใจที่จะไม่จ่ายเงินค่าไถ่จำนวน 51,000 ดอลลาร์สหรัฐฯ ให้กับผู้พัฒนามัลแวร์

จากเหตุการณ์นี้รัฐแอตแลนตาได้ทำการประเมินค่าใช้จ่ายเพื่อปรับปรุงและฟื้นฟูระบบของรัฐแอตแลนตาให้ปลอดภัยมากยิ่งขึ้น โดยจากรายละเอียดล่าสุดนั้น ค่าใช้จ่ายอาจเพิ่มขึ้นสูงไปถึง 17 ล้านเหรียญสหรัฐฯ ซึ่งเพิ่มขึ้นจากการประมาณการในครั้งแรกกว่า 11 ล้านดอลลาร์สหัฐฯ

ที่มา:scmagazine

นักวิจัยด้านความปลอดภัย Juha-Matti Tilli ประกาศการค้นพบช่องโหว่ในลินุกซ์เคอร์เนล "SegmentSmack" ส่งผลให้ผู้โจมตีสามารถทำ DoS กับระบบได้จากระยะไกลเพียงส่งแพ็คเกตพิเศษเข้าไปโจมตี กระทบตั้งแต่ลินุกซ์เคอร์เนลรุ่น 4.9 เป็นต้นไป

ช่องโหว่ดังกล่าวเป็นผลลัพธ์มาจากการทำงานของฟังก์ชัน tcp_collapse_ofo_queue() และ tcp_prune_ofo_queue() ในลินุกซ์เคอร์เนลที่ผิดพลาดซึ่งส่งผลให้เมื่อมีการส่งแพ็คเกตในรูปแบบพิเศษที่ถูกสร้างขึ้นมาเพื่อโจมตีช่องโหว่นี้โดยเฉพาะทางการเชื่อมต่อบนโปรโตคอล TCP ที่สร้างไว้แล้ว จะทำให้ระบบหยุดการทำงานในเงื่อนไขของการโจมตีแบบปฏิเสธการทำงาน (DoS) ได้

ช่องโหว่ดังกล่าวสามารถโจมตีได้จากระยะไกล จากทุกพอร์ตที่มีการเปิดใช้งานอยู่ แต่เนื่องจากจำเป็นต้องอาศัยการโจมตีบนโปรโตคอล TCP ทำให้การโจมตีช่องโหว่นี้ไม่สามารถที่จะปลอมแปลงแหล่งที่มาได้
Recommendation ในขณะนี้ผู้ผลิตฮาร์ดแวร์และซอฟต์แวร์ได้มีการทยอยออกแพตช์ที่ช่วยป้องกันการโจมตีมาที่ช่องโหว่ SegmentSmack แล้ว แนะนำให้ผู้ใช้งานทำการตรวจสอบและอัปเดตแพตช์โดยด่วน
Affected Platform Linux kernal ตั้งแต่เวอร์ชัน 4.9 เป็นต้นไป

ที่มา : KB.Cert.

บริษัท AhnLab ผู้ให้บริการความปลอดภัยของเกาหลีใต้ ได้ทำการออกโปรแกรมสำหรับป้องกัน Ransomware GandCrab v4.1.2 เมื่อวันที่ 19 กรกฎาคม 2018 โดยโปรแกรมดังกล่าวจะทำการสร้างไฟล์ Ransomware ขึ้นบนคอมพิวเตอร์ของผู้ใช้ เพื่อหลอกให้ ransomware คิดว่าเครื่องของผู้ใช้งานติด Ransomware แล้ว

หลังจากที่ AhnLab เปิดตัวโปรแกรมสำหรับป้องกัน Ransomware GandCrab v4.1.2 (killswitch) ออกมาเพียงไม่กี่ชั่วโมง ทางด้าน Crab ผู้พัฒนา Ransomware GandCrab ก็ได้ทำการสร้างและเปิดตัว ransomware เวอร์ชันใหม่ขึ้นมาอีกสองเวอร์ชั่นคือ GandCrab v4.2.1 และ GandCrab v4.3 โดยมีข้อสันนิษฐานว่า Ransomware GandCrab เวอร์ชั่นใหม่มี exploit code ไปที่่โปรแกรมป้องกันมัลแวร์เรียกค่าไถ่ของ AhnLab โดยหนึ่งในการแสดงความคิดเห็นมีการอ้างถึง Ahnlab ว่า "hey ahnlab, score - 1:1,"

อย่างไรก็ตามทาง Ahnlab มีมั่นใจว่าโปรแกรมที่พัฒนานั้นสามารถใช้งานได้กับ GandCrab version 4.21 และ GandCrab version 4.3 ด้วย

ที่มา : Bleepingcomputer

ผู้เชี่ยวชาญด้าน security นามว่า เจมส์ ควินน์ ได้พบกับ Cryptominers สายพันธุ์ใหม่ที่ชื่อว่า ZombieBoy ซึ่งอาจมีต้นกำเนิดมาจากประเทศจีน

ความสามารถของ ZombieBoy นั้นถือว่าหลากหลายมาก เช่น สามารถใช้เครื่องมือ Gh0st RAT เข้าจัดการไฟล์ dll(dynamic link library), ใช้งาน WinEggDrop ที่ทำให้แฮกเกอร์สามารถเข้าถึงคอมพิวเตอร์ที่ได้รับผลกระทบจากระยะไกลได้ และที่สำคัญคือสามารถลบเลี่ยงระบบ security ซึ่งรวมถึงช่องโหว่ RDP(Remote Desktop Protocol) รหัส CVE-2017-9073 และ Server Message Block Protocol) รหัส CVE-2017-0143 และ CVE-2017-0146 นอกจากการนี้ยังมีการใช้ DoublePulsar และ EternalBlue เพื่อสร้าง Backdoors สำหรับการติด Malware อื่นๆ ซึ่งสร้างความยากลำบากในการแก้ไขอย่างมาก

อีกหนึ่งความลำบากของการตรวจสอบ ZombieBoy คือไม่สามารถทำให้ ZombieBoy ทำงานบน VMs(virtual machines)ได้ ดังนั้นจึงไม่สามารถทำวิศวกรรมย้อนกลับ Malware ตัวนี้ได้

ที่มา:hackread

HP Inc อัปเดตการแก้ไขช่องโหว่ด้านความปลอดภัยร้ายแรงของเครื่องพิมพ์อิงค์เจ็ต
มีแพตช์การปรับปรุงเฟิร์มแวร์ CVE-2018-5924 และ CVE-2018-5925 มีช่องโหว่สองหัวข้อที่เกิดขึ้นในส่วนของการพิมพ์ไฟล์ที่เรียกใช้ triggers stack หรือ static buffer overflow ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายได้บนเครื่องพิมพ์ที่ตกเป็นเหยื่อ

ทาง HP แจ้งว่าเป็นแพตช์สำหรับเครื่องพิมพ์อิงค์เจ็ทจำนวน 225 รุ่น อาทิเช่น Pagewide, DesignJet, OfficeJet, Deskjet และ HP Envy
นอกจากนี้ทาง HP เพิ่งเปิดตัวโปรแกรม bug bounty เพื่อให้นักวิจัยได้ค้นหาช่องโหว่ของเครื่องพิมพ์ก่อนที่จะกลายเป็นการหาประโยชน์จาก zero-day ซึ่งประกาศเมื่อต้นสัปดาห์นี้โดยร่วมมือกับ Bugcrowd มีรางวัลสำหรับนักวิจัยถึง 10,000 ดอลลาร์ รวมไปถึงการจ่ายเงินให้กับนักวิจัยที่รายงานข้อบกพร่องที่ HP ค้นพบแล้วแต่ยังไม่ได้รับการแก้ไขและเปิดเผยอีกด้วย

ที่มา:theregister

เมื่อวันศุกร์ที่ผ่านมา ระบบในหลายโรงงานผลิตของ Taiwan Semiconductor Manufacturing Co. (TSMC) ซึ่งเป็นโรงงานผลิตอุปกรณ์ Apple ติดไวรัส

เมื่อวันศุกร์ที่ผ่านมา ระบบในหลายโรงงานผลิตของ Taiwan Semiconductor Manufacturing Co. (TSMC) ซึ่งเป็นโรงงานผลิตอุปกรณ์ Apple ติดไวรัส TSMC เป็นผู้ผลิตชิปรายใหญ่ที่สุดในโลกสำหรับ บริษัทยักษ์ใหญ่ด้านเทคโนโลยี ได้แก่ Apple และ Qualcomm Inc.

Drupal ระบบการจัดการเนื้อหาของเว็บไซต์ open-source content management system ที่ถูกนิยมใช้งานอย่างแพร่หลาย ได้ประกาศเปิดตัวเวอร์ชั่นใหม่เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ทำให้แฮกเกอร์สามารถโจมตีระยะไกลและเข้าควบคุมเว็บไซต์ที่ได้รับผลกระทบได้ คือช่องโหว่ CVE-2018-14773 ใน third-party library ของบริษัท Symfony HttpFoundation ซึ่งถูกใช้งานใน Drupal Core เวอร์ชัน 8 ขึ้นไป

เนื่องจากคอมโพเนนต์ของ Symfony เป็นการทำงาน web application ที่เป็นส่วนประกอบของชุดคำสั่ง PHP ที่ถูกใช้งานอย่างแพร่หลายมีช่องโหว่เสี่ยงต่อการถูกแฮกได้ แฮกเกอร์สามารถใช้ประโยชน์จากค่า header HTTP 'X-Original-URL' หรือ 'X-Rewrite-URL ที่สร้างขึ้นมาเป็นพิเศษเพื่อหลีกเลี่ยงข้อจำกัด ในการเข้าถึงและทำให้ระบบเป้าหมายแสดงผล URL อื่นแทน URL ที่ถูกเรียกจริง

นอกจากนี้ ทีมงาน Drupal Core ยังพบช่องโหว่ทีคล้ายกัน ที่อยู่ในไลบรารี Zend Feed และ Diactoros ที่รวมอยู่ใน Drupal Core ซึ่งมีชื่อว่า 'URL Rewrite vulnerability' หากผู้ใช้งาน Drupal Core ไม่ได้ใช้ฟังก์ชันที่มีช่องโหว่ดังกล่าว แต่แนะนำให้ผู้ใช้งานแก้ไขเว็บไซต์ที่มีการใช้ Zend Feed หรือ Diactoros โดยการอัปเดตแพทช์ให้เป็นเวอร์ชั่นล่าสุด

ผลกระทบ
ส่งผลกระทบกับผู้ใช้ Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6

คำแนะนำ
อัปเดต Symfony เป็นเวอร์ชัน 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 และ 4.1.3 และอัปเดต Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6 เป็น 8.5.6

ที่มา: thehackernews

FBI ออกคำแนะนำเพื่อความปลอดภัยในการใช้งาน IOT

สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา หรือ FBI ออกบทความแนะนำเกี่ยวกับความปลอดภัยในการใช้อุปกรณ์ที่สามารถต่ออินเตอร์เน็ตได้ที่เรียกรวมๆกันว่า Internet of Thing หรือ IoT หลังจากพบแนวโน้มการถูกนำไปใช้ในการก่ออาชญากรรมไซเบอร์ต่างๆ

ปัจจุบัน IoT ได้รับความนิยมมากขึ้นจากแนวโน้มในการทำบ้านให้เป็น Smart home โดยการเพิ่มระบบอัตโนมัติต่างๆที่เชื่อมต่อกับอินเตอร์เน็ต ทำให้ผู้ใช้งานสามารถสั่งงานอุปกรณ์ต่างๆในบ้านได้ผ่านโทรศัพท์มือถือ และเนื่องจากความนิยมดังกล่าวอาชญากรไซเบอร์จึงหันมาใช้ IoT เป็นตัวกลาง (proxy) เพื่อบังหน้าในการก่ออาชญากรรมไซเบอร์ต่างๆ เพราะเมื่ออาชญากรทำการโจมตีผ่านตัวกลาง IP ของการโจมตีที่ตรวจสอบได้จะกลายเป็น IP ของ IoT ของเหยื่อแทน ทำให้ยากต่อการตรวจจับ และป้องกัน ตัวอย่างอุปกรณ์ที่ตกเป็นเป้าหมาย ได้แก่ router, อุปกรณ์รับสัญญาณดาวเทียม, นาฬิกาอัจฉริยะ, อุปกรณ์สตรีมมิ่งภาพยนตร์, Raspberry Pi, ลูกบิดประตูอัจฉริยะ เป็นต้น

อาชญากรมักจะใช้ IoT เป็นตัวกลางเพื่อส่ง spam email, ซ่อนตัวเพื่อให้ตรวจจับยาก, ซื้อขายของผิดกฏหมาย, หลบหลีกการตรวจจับ และขโมยบัญชีผู้ใช้และรหัสผ่าน เป็นต้น
โดยจะพุ่งเป้าไปยังอุปกรณ์ IoT ที่มีการยืนยันตัวตนที่ไม่เข้มงวด, ไม่มีการอัปเดตแพตช์, มีช่องโหว่ที่เป็นที่รู้จัก หรือใช้บัญชีผู้ใช้และรหัสผ่านที่เป็นค่าตั้งต้นจากผู้ผลิต

โดยผู้ใช้สามารถสังเกตความผิดปกติของอุปกรณ์ IoT ได้จากการใช้งานอินเตอร์เน็ตที่สูงมากกว่าปกติ, อุปกรณ์มีอาการช้าหรือค้าง, มีการเรียก DNS แปลกๆ เป็นต้น

วิธีการป้องกัน

(1) ทำการ Reboot อุปกรณ์เป็นระยะ เนื่องจากมัลแวร์ส่วนมากอยู่ในหน่วยความจำที่จะถูกล้างเมื่อเครื่อง reboot
(2) ไม่ใช้บัญชีผู้ใช้และรหัสผ่านที่เป็นค่าตั้งต้นจากผู้ผลิต
(3) ตรวจสอบและอัปเดตให้อุปกรณ์ IoT เป็นเวอร์ชั่นล่าสุด
(4) ตั้งค่า network firewalls เพื่อบล็อก IP แปลกๆ และปิด port forwarding
(5) แยกวงเน็ตเวิร์คของอุปกรณ์ IoT ออกจากการใช้งานหลัก

ที่มา : ic3

Google เพิ่มฟังก์ชันใหม่ในการเตือนองค์กรที่มีการใช้งาน G Suite หากเชื่อว่าบัญชีผู้ใช้งานในองค์กรตกเป็นเป้าหมายโดยแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล

หากผู้ดูแลระบบ G Suite ขององค์กรเปิดฟังก์ชันนี้ไว้ (ค่าเริ่มต้นจะปิดอยู่) จะทำให้ได้รับการแจ้งเตือน E-mail เมื่อ Google เชื่อว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล มีความพยายามเข้าถึงบัญชีผู้ใช้หรือคอมพิวเตอร์โดยการใช้ฟิชชิ่ง, มัลแวร์ หรือวิธีอื่นๆ เมื่อได้รับคำเตือนแล้วผู้ดูแลระบบสามารถเลือกที่จะแชร์ข้อมูลการแจ้งเตือนไปยังผู้ใช้งาน และเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้อื่นได้

โดยการแจ้งเตือนเหล่านี้สามารถเกิดขึ้นได้ หากผู้ใช้ได้รับ E-mail ที่มีไฟล์แนบหรือ Link ของซอฟต์แวร์ที่เป็นอันตรายรวมถึงเว็บไซต์ปลอมที่ออกแบบมาเพื่อหลอกขโมยรหัสผ่านหรือข้อมูลส่วนบุคคลอื่นๆ ซึ่งลักษณะการโจมตีด้วยฟิชชิ่งที่เชื่อว่ามีรัฐบาลอยู่เบื้องหลังนั้นเคยมีตัวอย่างให้เห็นแล้ว อย่างเช่นในกรณีที่กระทรวงยุติธรรมของสหรัฐอเมริกาได้กล่าวหารัสเซียว่าเป็นผู้อยู่เบื้องหลังในการสนับสนุนกลุ่มแฮกเกอร์ให้ทำการโจรกรรมข้อมูลของพรรค Democratic ซึ่งเริ่มต้นจากการใช้ฟิชชิ่งเพื่อหลอกเหยื่อ

ที่มา: zdnet