OpenSSL 1.1.0 และ 1.2.0 Conclusion แพตช์ด้านความปลอดภัย OpenSSL ประจำเดือนธันวาคม 2017 ไม่ค่อยร้ายแรงเท่าไหร่แต่ก็แนะนำให้อัปเดต

โครงการ OpenSSL ประกาศแพตช์ด้านความปลอดภัยประจำเดือนธันวาคม 2017 เมื่อวันพฤหัสที่ผ่านมาโดยในรอบนี้นั้นประกอบไปด้วยแพตช์สำหรับ 2 ช่องโหว่ด้วยกัน

ช่องโหว่แรกรหัส CVE-2017-3737 เป็นช่องโหว่ระดับความร้ายแรงปานกลางที่ส่งผลให้แม้ว่า SSL/TLS connection จะอยู่ในสถานะล้มเหลวในการเชื่อมต่อไปแล้ว โปรแกรมก็อาจสามารถส่งข้อมูลออกไปได้โดยไม่มีการเข้ารหัสที่เหมาะสม ช่องโหว่นี้ไม่กระทบ OpenSSL 1.1.0 ส่วนผู้ใช้งานที่ใช้งาน 1.0.2 อยู่แนะนำให้อัปเดตไปที่ 1.0.2n

ช่องโหว่ที่สอง CVE-2017-3738 เป็นช่องโหว่ระดับความร้ายแรงต่ำซึ่งเกิดจากการ overflow ในอัลกอริธึมคำนวณจำนวนเฉพาะซึ่งจะเกิดขึ้นบนโปรเซสเซอร์ที่รองรับ AVX2 เท่านั้น ช่องโหว่นี้กระทบ 1.1.0 แต่เนื่องจากความรุนแรงที่ต่ำ แพตช์จะถูกปล่อยมาใน 1.1.0h ซึ่งเป็นรุ่นในอนาคตแทน ส่วนผู้ใช้งานที่ใช้งาน 1.0.2 อยู่แนะนำให้อัปเดตไปที่ 1.0.2n

ที่มา : openssl

PHP 7.2 เพิ่มการรองรับฟังก์ชันแฮช Argon2 พร้อมแทนที่ Mcrypt ด้วย Libsodium

PHP ประกาศการเปลี่ยนแปลงด้านความปลอดภัยใหม่เมื่อช่วงปลายเดือนที่ผ่านมาโดยการเปลี่ยนแปลงนี้นั้นมีประเด็นสำคัญคือการโละของเก่าทิ้งไปและแทนที่ด้วยของใหม่ที่ดีและปลอดภัยกว่าเดิม

PHP 7.2 จะมาพร้อมกับฟังก์ชันแฮช Argon2 ซึ่งเป็นฟังก์ชันแฮชที่ชนะการแข่งขัน Password Hashing Competition จากฟังก์ชันแฮชกว่า 23 ฟังก์ชันที่เข้าร่วมการแข่งขัน อีกทั้งได้รับการรับรองจาก IETF ฟีเจอร์สำคัญของ Argon2 คือการปรับปรุงเพื่อให้ทนทานต่อความพยายามในการ brute force ค่าแฮชด้วย GPU และมีการปรับปรุงเพื่อให้อัลกอริธึมมีความทนทานต่อการโจมตีแบบ side channel attack ซึ่งในภาพรวมนั้น Argon2 เป็นตัวเลือกที่ดีกว่า Bcrypt ที่นิยมใช้กันอยู่ในปัจจุบัน

นอกเหนือจากการเพิ่มอัลกอริธึมใหม่แล้ว PHP 7.2 ยังมีการนำไลบรารี Mcrypt ซึ่งเป็นไลบรารีการเข้ารหัสที่มีการใช้งานมาอย่างยาวนานออกและแทนที่ด้วย Libsodium ซึ่งมีความทันสมัยกว่าและมีประสิทธิภาพการทำงานที่ดีกว่า โดย PHP นับว่าเป็นภาษาโปรแกรมมิ่งภาษาแรกที่ฝังไลบรารีสำหรับการเข้ารหัส Libsodium ไว้ในตัวมันเองแทนที่จะใช้เป็นปลั๊กอินไลบรารีแบบภาษาอื่นๆ

นักพัฒนาที่สนใจความปลอดภัยที่เพิ่มมากขึ้นสามารถทดลองใช้และตรวจสอบข้อมูลของ PHP 7.2 ได้จาก http://php.

เทคนิคใหม่ Process Doppelgänging ซ่อนมัลแวร์จากแอนติมัลแวร์และโปรแกรมตรวจสอบหลักฐานดิจิตอลได้

กลุ่มนักวิจัยด้านความปลอดภัยจาก Ensilo ได้แก่ Tal Liberman และ Enguene Kogan ได้เปิดเผยเทคนิคใหม่ภายใต้ชื่อ Process Doppelgänging ที่งานสัมมนาด้านความปลอดภัย Black Hat 2017 ซึ่งจัดที่ลอนดอนเมื่อช่วงกลางสัปดาห์ที่ผ่านมา โดยเทคนิคนี้สามารถช่วยซ่อนมัลแวร์ให้ตรวจพบได้ยากขึ้นได้

เทคนิค Process Doppelgänging ใช้ฟีเจอร์หนึ่งของวินโดวส์ชื่อว่า NTFS Transaction ซึ่งแต่เดิมเป็นฟีเจอร์ที่ใช้ในการจัดการไฟล์ในระบบไฟล์ NTFS ร่วมกับ process loader รุ่นเก่าที่มีมาตั้งแต่ Windows XP จนถึงรุ่นปัจจุบัน การดำเนินการใดๆ ที่อยู่ในลักษณะ transaction จะเกิดขึ้นบนหน่วยความจำเท่านั้นและไม่มีการเขียนไฟล์ลงบนดิสก์จริงๆ จนกว่าจะมีการ commit

เริ่มต้นจากการสร้าง transaction เพื่อแก้ไขไฟล์ที่ไม่เป็นอันตรายโดยการสอดแทรกเนื้อหาของมัลแวร์ลงไปในไฟล์ดังกล่าว (ซึ่งแน่นอนว่าเกิดขึ้นบนหน่วยความจำ) โดยการแก้ไขดังกล่าวนั้นมีค่าเทียบเท่ากับการสร้างพื้นที่บนหน่วยความจำที่มีโค้ดของมัลแวร์อยู่ จากนั้นเพื่อลบหลักฐานการแก้ไขไฟล์ไป ผู้โจมตีจะต้องดำเนินการ rollback เพื่อย้อนคืนการแก้ไขใดๆ บนไฟล์ดังกล่าวออก ท้ายที่สุดผู้โจมตีจะทำการใช้ process loader ในการสร้างโปรเซสโดยอ้างอิงไปยังพื้นที่บนหน่วยความจำที่มีโค้ดที่เป็นอันตรายและยังคงอยู่ ทำให้เกิดการรันโค้ดที่เป็นอันตรายโดยไม่ทิ้งร่องรอยไว้ได้

เทคนิค Process Doppelgänging ถูกทดสอบแล้วว่าสามารถใช้งานได้บนวินโดวส์ตั้งแต่ Vista จนถึงวินโดวส์ 10 และในขณะนี้โปรแกรมป้องกันมัลแวร์กว่า 12 รายการยังไม่สามารถตรวจพบเทคนิคนี้ได้ที่ https://thehackernews.

นักวิจัยพบแอปธนาคาร HSBC, TunnelBear VPN เสี่ยงโดนดักข้อมูลแม้ใช้งาน SSL/TLS เนื่องจากตั้งค่าไม่ถูกต้อง

กลุ่มนักวิจัยจาก University of Birmingham พัฒนาซอฟต์แวร์สำหรับตรวจสอบแอปพลิเคชันที่ทำ certificate pinning ว่ามีการทำ host verification ด้วยหรือไม่ ซึ่งจากการทดสอบแอปพลิเคชันของธนาคารทั้ง HSBC, Bank of America, Meezan และ Smile พบว่าไม่มีการทำ host verification อย่างถูกต้องและอาจส่งผลให้ผู้โจมตีมีโอกาสที่จะทำการดักข้อมูลและถอดรหัสแม้ว่าจะมีการใช้ SSL/TLS ได้

Host verification เป็นกระบวนการตรวจสอบว่า hostname ซึ่งปรากฎอยู่บน certificate นั้นถูกต้องตรงกับ hostname ที่เราต้องการจะติดต่อด้วยหรือไม่ อย่างไรก็ตามแอปพลิเคชันที่เน้นเรื่องความปลอดภัยโดยส่วนใหญ่จะมีการทำ certificate pinning ซึ่งทำให้การทดสอบ (อย่างมีประสิทธิภาพ) ว่าแอปมีการทำ host verification อย่างถูกต้องหรือไม่เป็นไปได้ยากขึ้น

กลุ่มนักวิจัยดังกล่าวได้นำเสนอซอฟต์แวร์ Spinner ซึ่งช่วยในการทดสอบแอปแบบ black-box ได้ ซอฟต์แวร์ Spinner ทำหน้าที่ในการรับทราฟิกที่ส่งมาจากผู้ใช้งาน จากนั้นมันจะทำการตรวจสอบข้อมูลเพื่อหาโฮสต์อื่นๆ ที่มีการใช้ certificate ที่มาจาก CA เดียวกันผ่านทางเซอร์วิส Censys เมื่อเจอแล้ว Spinner จะทดสอบรีไดเร็คทราฟิกของผู้ใช้งานไปยังโฮสต์เหล่านั้นและดูพฤติกรรมการตอบรับ หากการส่งข้อมูลนั้นไม่เกิดข้อผิดพลาดใดๆ ก็สามารถตีความได้ว่าแอปไม่มีการทำ host verification อย่างเหมาะสม

ที่มา : thehackernews

Palo Alto Networks แจ้งเตือนการแพร่ระบาดของโทรจัน UBoatRAT ในแถบเอเชีย

กลุ่มนักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้ประกาศแจ้งเตือนการค้นพบการแพร่กระจายของมัลแวร์ประเภทโทรจันหรือ RAT "UBoatRAT" ซึ่งพุ่งเป้าการโจมตีในแถบเอเชีย

มัลแวร์ UBoatRAT ใช้วิธีการแพร่กระจายผ่านทางลิงค์แชร์ไฟล์ซึ่งอยู่บนบริการของ Google Drive โดยมัลแวร์จะมีการดึงรายการของเซิร์ฟเวอร์ที่ใช้ในการสั่งการและควบคุม (C&C servers) บน GitHub และใช้ฟีเจอร์ BITS ของวินโดวส์ในการดาวโหลดและฝังตัวในระบบต่างๆ กระบวนการติดต่อกับ C&C server นั้นถูกออกแบบให้ใช้โปรโตคอลที่มีการเข้ารหัสแบบเฉพาะ

เมื่อเริ่มต้นทำงาน มัลแวร์ UBoatRAT จะมีการคัดลอกตัวเองไปยังพาธ C:\programdata\svchost.

Cisco ออก Patch อุดช่องโหว่ WebEx ซึ่งเป็นแพลตฟอร์มของการติดต่อสื่อสารหรือประชุมออนไลน์ ที่มีช่องโหว่ความรุนแรงระดับ Critical ส่งผลให้ผู้โจมตีสามารถทำ Remote Code Execution ได้
ช่องโหว่ 6 รายการ ส่งผลกระทบต่อ WebEx Network Recording Player สำหรับ Advanced Recording Format (ARF) และไฟล์ WebEx Recording Format (WRF) ทำให้ผู้บุกรุกสามารถโจมตีได้จากระยะไกลเพื่อทำให้เกิด Denial-of-Service (DoS) ในซอฟต์แวร์และอาจจะรันโค้ดที่เป็นอันตรายโดยการหลอกให้เหยื่อเปิดไฟล์ ARF หรือ WRF ที่สร้างขึ้นมาเป็นพิเศษ และผู้บุกรุกยังสามารถส่งไฟล์ที่เป็นอันตรายไปยังเหยื่อได้ทางอีเมลล์หรือสั่งให้เปิดเว็บโฮสติ้งได้อีกด้วย

ช่องโหว่ที่ได้รับการแก้ไข ได้แก่ WebEx Business Suite meeting sites, WebEx Meetings sites, WebEx Meetings Server, และ WebEx ARF และ WRF Players Cisco ให้ข้อมูลรายละเอียดเกี่ยวกับเวอร์ชันที่ได้รับผลกระทบและการแก้ไข โดยช่องโหว่ได้รับรหัส CVE ดังต่อไปนี้ : CVE-2017-12367, CVE-2017-12368, CVE-2017-12369, CVE-2017-12370, CVE-2017-12371 และ CVE-2017-12372
ช่องโหว่เหล่านี้ถูกรายงานโดย Andrea Micalizzi (rgod) และ Steven Seeley จาก Offensive Security โดยใช้ Zero Day Initiative ของ Trend Micro (ZDI)

ที่มา: securityweek

ทีมความปลอดภัยจาก Google พบ Adroid Malware ตัวใหม่ชื่อว่า Tizi ซึ่งถูกใช้กับเป้าหมายในประเทศแถบแอฟริกา ถูกจัดให้อยู่ในหมวด Spyware ซึ่งทาง Google บอกว่า malware ตัวนี้มีความสามารถหลากหลาย แต่จะมุ่งเน้นไปในส่วนของแอพพลิเคชั่น และกิจกรรมบนเครื่องที่เกี่ยวข้องกับ Social Media เป็นหลัก

กลุ่มวิเคราะห์ภัยคุกคาม และวิศวกรด้านความปลอดภัยของ Google Play Protection ได้ระบุว่า Tizi สามารถถูกใช้เพื่อจุดประสงค์ ดังต่อไปนี้

ขโมยข้อมูลจากแอพพลิเคชั่น social media ที่มีชื่อเสียงต่างๆ เช่น Facebook,Twitter,Whatsapp, Skype และ LinkedIn เป็นต้น
สามารถบันทึกการสนทนาจาก WhatsApp, Viber และ Skype
สามารถบันทึกภาพหน้าจอโดยไม่แจ้งเตือนผู้ใช้งาน
สามารถส่ง หรือดักข้อความ SMS บนเครื่องเหยื่อ
ส่งข้อมูล GPS ของเครื่องผ่าน SMS ไปยัง C&C
อื่นๆ

วิศวกรจาก Google ยังกล่าวว่า Tizi ถูกพบตั้งแต่กันยายน 2017 จากการสแกนโดยใช้ Google Play Protect ทำให้พบแอพพลิเคชั่นที่มีการติด malware ตัวนี้ถูกลงไว้บนเครื่องของผู้ใช้งาน เมื่อทำการตรวจสอบย้อนหลังพบว่ามีแอพพลิเคชั่นที่ติด malware ตัวนี้ตั้งแต่ปี 2015 ซึ่งทาง Google ได้บล็อกบัญชีผู้พัฒนาแอพพลิเคชั่นดังกล่าว และทำการลบแอพพลิเคชั่นดังกล่าวออกจากเครื่องที่มีการติดตั้งแล้ว จากข้อมูลที่นักวิจัยรวบรวมมาพบว่าผู้ได้รับผลกระทบส่วนใหญ่อยู่ในแอฟริกา และใช้ช่องโหว่เก่าในการโจมตีเครื่อง ทำให้เครื่องที่มีการ patch ตั้งแต่ เมษายน 2016 เป็นต้นมาจะไม่ได้รับผลกระทบจากช่องโหว่ข้างต้น
Google ได้แนะนำขั้นตอนสำหรับการเพิ่มความปลอดภัยบนเครื่อง Android ของตนเอง ดังนี้

1. ตรวจสอบความผิดปกติของสิทธิ์บนแอพพลิเคชั่นที่ได้อนุญาตให้เข้าถึงความสามารถต่างๆบนเครื่อง เช่น เป็นแอพพลิเคชั่น flashlight แต่มีการร้องขอการเข้าถึง SMS บนเครื่อง เป็นต้น
2. เปิดใช้งาน Lock Screen บนเครื่องเพื่อความปลอดภัย
3. Patch เครื่องของตนเองให้เป็นระบบปฏิบัติการล่าสุดอยู่เสมอ
4. ตั้งค่าให้เครื่องแสดงตำแหน่งของตนเอง สำหรับการระบุตำแหน่งของเครื่องได้เมื่อสูญหาย
5. เปิดใช้งาน Google Play Protection เพื่อป้องกันการลงแอพพลิเคชั่นที่มีความเสี่ยง และช่วย Scan เครื่องเพื่อตรวจสอบความปลอดภัย

ที่มา: bleepingcomputer

พบช่องโหว่ใน Team Viewer !!! ทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมเครื่องได้

Team Viewer โปรแกรมยอดนิยม ที่ช่วยอำนวยความสะดวกในการ Meeting ผ่านระบบออนไลน์, แขร์หน้าจอและรีโมทระหว่างเครื่อง, ย้ายไฟล์ข้ามเครื่อง และอื่นๆ ล่าสุดได้มีการพบช่องโหว่บนโปรแกรม ส่งผลให้ผู้ไม่หวังดีสามารถรีโมทเข้าควบคุมเครื่องได้อย่างสมบูรณ์ โดยไม่ต้องได้รับอนุญาตจากผู้ใช้งานของเครื่อง

ช่องโหว่นี้ถูกค้นพบโดยผู้ใช้งานบน GitHub ที่ใช้ชื่อว่า “Gellin” จากวิธีการที่ได้เปิดเผยออกมาพบว่าเป็นการใช้ dll injection ซึ่งเขียนโดยใช้ C++ เข้าไปแก้ไขสิทธิ์ของ TeamViewer ใน memory โดยตรง จึงส่งผลให้ผู้ใช้งานจะไม่ได้รับการแจ้งเตือนใดๆเลยเมื่อสิทธิ์ถูกปลี่ยน จากการทดสอบบน TeamViewer x86 V.13.0.5058 ได้แสดงให้เห็นว่าหากผู้โจมตีเป็นฝั่ง “Presenter” จะสามารถเรียกใช้ความสามารถ “switch sides” เพื่อเข้าควบคุมเครื่องที่เป็นฝั่ง “Viewer” ได้โดยไม่ต้องรับอนุญาตจากเจ้าของเครื่อง แต่หากผู้โจมตีเป็นฝั่ง “Viewer” จะทำให้สามารถควบคุม mouse ในฝั่งของ “Presenter” ได้

ช่องโหว่นี้ส่งผลกระทบกับ TeamViewer ทั้งบน macOS, Linux และ Windows ในส่วนของ Patch ทางฝั่ง Windows นั้น จากรายงานได้ระบุว่า มีการปล่อยออกมาให้อัพเดทตั้งแต่เมื่อวันอังคารแล้ว แต่ในส่วนของ Linux และ macOS นั้น คาดว่าจะมีการปล่อยออกมาให้อัพเดทในวันอังคาร หรือพุธที่จะถึงนี้ โดยโปรแกรมจะได้รับการอัพเดทให้โดยอัตโนมัติหากมีการเปิดความสามารถนี้เอาไว้ แต่หากไม่ได้เปิดให้อัพเดทอัตโนมัติ ผู้ใช้งานจะได้รับการแจ้งเตือนเมื่อมีการประกาศ Patch ใหม่ออกมา

ที่มา : hackread

นักวิจัยพบช่องโหว่ภายในโปรแกรมของเครื่องปริ้นเตอร์ HP ที่อาจถูกรีโมทเข้ามาสั่งรัน code อันตรายใดๆได้ ช่องโหว่ (CVE-2017-2750) ถูกจัดระดับความอันตรายอยู่ในระดับสูง(High) สาเหตุมาจากการตรวจสอบไฟล์บางส่วนของ Dynamic Link Libraries (DLL) ที่ไม่ครอบคลุมเพียงพอ โดยมีปริ้นเตอร์ที่ได้รับผลกระทบ 54 รุ่น ตั้งแต่รุ่น HP LaserJet Enterprise, LaserJet Managed, PageWide Enterprise และ OfficeJet Enterprise printers
ช่องโหว่ RCE(RemoteCode Execution) นี้ ถูกพบขณะที่นักวิจัยจากบริษัทด้านความปลอดภัย FoxGlove กำลังพยายามวิเคราะห์ความปลอดภัยของปริ้นเตอร์รุ่น MFP-586 printer และ HP LaserJet Enterprise M553 printers จากข้อมูลระบุว่านักวิจัยสามารถสั่งรันโค้ดบนเครื่องปริ้นเตอร์ที่ได้รับผลกระทบได้โดยการทำ Reverse Engineering กับไฟล์ ".BDL" ซึ่งถูกใช้ทั้งใน HP Solutions และใน Firmware อัพเดท
ทั้งนี้ได้มีการแจ้งช่องโหว่ดังกล่าวให้ทาง HP ทราบตั้งแต่เดือนสิงหาคมที่ผ่านมา และได้มีการแก้ไขพร้อมทั้งปล่อยตัวอัพเดท firmware ให้กับปริ้นเตอร์ที่ได้รับผลกระทบแล้ว โดยสามารถเข้าไป download ได้ที่เว็ปไซต์ทางการของ HP เลือก Support > Software & drivers จากนั้นระบุรุ่นปริ้นเตอร์ของตนเองใน search

ดาวน์โหลด >>> https://support.

ก่อนหน้านี้ Apple ได้พบช่องโหว่ในระบบปฏิบัติการ macOS High Sierra ที่ส่งผลให้สามารถได้สิทธิ์ root ได้โดยไม่ต้องใช้รหัสผ่าน ทำให้ Apple ต้องรีบออกอัพเดต macOS เพื่อแก้ปัญหานี้ไปตั้งแต่เมื่อวันที่ 28 พฤศจิกายนที่ผ่าน โดยใช้เวลาเพียงแค่ 24 ชั่วโมงหลังจากมีการพบช่องโหว่

ช่องโหว่นี้ได้รับรหัส CVE-2017-13872 และมีผลกระทบกับ macOS high Sierra 10.13 และ macOS high Sierra 10.13.1 เท่านั้น ไม่ส่งผลกระทบต่อ macOS Sierra 10.12.6 และเวอร์ชันก่อนหน้า

Apple ได้แนะนำให้ผู้ใช้อัพเดตทันที และตรวจสอบว่ามีการอัพเดต Security Update 2017-001
เรียบร้อยแล้วหรือไม่ โดยการ :
1. เปิด Terminal ซึ่งอยู่ใน Utilities folder ของ Applications
2. พิมพ์ what /usr/libexec/opendirectoryd กด Return
3. หากมีการติดตั้ง Security Update 2017-001 เรียบร้อยแล้วหมายเลขเวอร์ชันจะเปลี่ยนดังนี้
opendirectoryd-483.1.5 ใน macOS High Sierra 10.13
opendirectoryd-483.20.7 ใน macOS High Sierra 10.13.1

หากผู้ใช้งานต้องการใช้งาน Root User Account บน Mac จะต้องทำการ Enable Root User ใหม่อีกครั้ง และทำการเปลี่ยนรหัสผ่านของ Root หลังจากการอัพเดต

ที่มา: zdnet