Google มีการเปิดตัวเวอร์ชันใหม่สำหรับ Google Chrome ในรุ่น 62 ซึ่งนอกจากจะมีฟีเจอร์ใหม่ๆ จำนวนมาก Google Chrome ในเวอร์ชันนี้ยังมีการปรับปรุงและการเพิ่มฟีเจอร์ความปลอดภัยใหม่ๆ กว่าอีก 35 รายการ

ฟีเจอร์ใหม่ที่น่าสนใจคือ การรองรับ Fonts แบบ OpenType, การจับภาพ stream DOM และการแจ้งเตือน HTTP สำหรับเมื่อมีการใช้งานในโหมดระบุตัวตนและ Payment API สำหรับ iOS เป็นต้น ในส่วนของแพตช์ด้านความปลอดภัยนั้นมีแพตช์ที่มีความเสี่ยงสูงจำนวน 8 รายการ, ความเสี่ยงปานกลาง 7 รายการ และความเสี่ยงต่ำ 5 รายการ

แนะนำให้ผู้ใช้งานทำการดาวโหลดและติดตั้งเวอร์ชันล่าสุดในทันที

ที่มา : bleepingcomputer

พบช่องโหว่ในผลิตภัณฑ์รุ่น E-series ของ Linksys โดยมีรายละเอียดของช่องโหว่ ดังต่อไปนี้:

1) Denial of Service (DoS)

ช่องโหว่ Denial of Service ที่อยู่ใน Web Server ของอุปกรณ์ โดยช่องโหว่นี้อาศัยเพียงคำสั่ง GET request ผ่านการโจมตีแบบ CSRF กับผู้ใช้งานที่อยู่ในเครือข่ายภายใน ทำให้สามารถ Reboot เครื่องทั้งหมดหรือหยุดการทำงานของ Web Interface และบริการ DHCP ได้ การดำเนินการนี้ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์

2) HTTP Header Injection & Open Redirect
ช่องโหว่ชนิดนี้สามารถใช้เพื่อจุดประสงค์ต่างๆที่ไม่เหมือนกัน ตัวอย่างหนึ่งในกรณีนี้คือการเปลี่ยนเส้นทางไปยังเว็บไซต์อื่น ในกรณีที่เลวร้ายที่สุดคือการที่ Session ID ของผู้ใช้ที่ได้รับการรับรองสิทธิ์(Authenticated) แล้วถูกขโมย เนื่องจากรหัส Session ถูกฝังลงใน URL ซึ่งเป็นข้อบกพร่องอีกอย่างหนึ่งของบริการเว็บ

3) Improper Session-Protection
สามารถเรียก ID Session สำหรับผู้ใช้ที่เป็นผู้ดูแลระบบจากอุปกรณ์ผ่าน LAN โดยไม่มีตัวรองรับสิทธิ์ เนื่องจากมีการจัดการ Session ที่ไม่ปลอดภัย ช่องโหว่นี้สามารถใช้ประโยชน์ได้เมื่อผู้ดูแลระบบได้รับการตรวจสอบสิทธิ์กับอุปกรณ์ และทำการเปิด Session ก่อนการโจมตี นอกจากนี้การเข้าสู่ระบบจะสำเร็จก็ต่อเมื่อผู้โจมตีมี IP เดียวกันกับ PC ของผู้ดูแลระบบ ดังนั้นการโจมตีแบบ CSRF จะทำได้เมื่อผู้ดูแลระบบถูกหลอกลวงไปใน Website ที่เป็นอันตรายหรือคลิกที่ลิงก์ที่เป็นอันตราย

4) Cross-Site Request Forgery Vulnerability in Admin Interface
ช่องโหว่นี้อาจถูกใช้ในส่วนติดต่อผู้ดูแลระบบ และสามารถใช้ประโยชน์ได้เนื่องจาก Session ID สามารถถูกแย่งชิงโดยใช้ช่องโหว่ข้อ 3) ผ่าน LAN ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเปลี่ยนแปลงการกำหนดค่าอุปกรณ์ใด ๆ โดยหลอกผู้ใช้ให้คลิกลิงค์ที่เป็นอันตรายหรือเข้าเว็ปไซต์ที่เป็นอันตราย

5) Cross-Site Scripting Vulnerability in Admin Interface
ช่องโหว่นี้อาจถูกใช้ในส่วนติดต่อผู้ดูแลระบบ และสามารถใช้ประโยชน์ได้เนื่องจาก Session ID สามารถถูกแย่งชิงโดยใช้ช่องโหว่ข้อ 3) ผ่าน LAN ช่องโหว่นี้ทำให้ผู้โจมตีสามารถสั่งให้ Code ที่เป็นอันตรายทำงานได้ในบน Session ดังกล่าว

ที่มา: seclists

Cisco ได้ทำการ patch ช่องโหว่ความรุนแรงระดับสูง(High) และสูงมาก(Critical) ที่พบในผลิตภัณฑ์ ซึ่งประกอบไปด้วย Cloud Services Platform (CSP), Firepower Extensible Operating System (FXOS), NX-OS และ Small Business IP phones ช่องโหว่ที่ร้ายแรงที่สุดในครั้งนี้คือ CVE-2017-12251, เป็นการเข้าถึงโดยไม่ได้รับอนุญาติซึ่งส่งผลต่อ Cloud Services Platform 2100

Cloud Services Platform(CSP) เป็นบริการที่ถูกใช้ในหลายองค์กร เพื่อที่จะนำบริการของ Cisco หรือบริการ Virtual Network รายอื่นๆ มาใช้งาน ช่องโหว่นี้ถูกพบใน Web Console ของ CSP หากโจมตี และสามารถ Authenticate ได้สำเร็จ จะสามารถเข้าถึงบริการ หรือแม้กระทั่ง virtual machines (VMs) บนอุปกรณ์ CSP ที่ได้รับผลกระทบ รายงานได้ระบุว่ายังไม่พบว่ามีการโจมตีช่องโหว่นี้เกิดขึ้น โดยเวอร์ชันที่ได้รับผลกระทบ คือ 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 และ 2.2.2

นอกจากนี้ Cisco ยังได้แจ้งไปยังลูกค้าเกี่ยวกับเรื่องช่องโหว่ความรุนแรงระดับสูงของ DoS(CVE-2017-3883) ซึ่งส่งผลกระทบต่อการ Authentication, การ Authorization และ Accounting(AAA) บน FXOS และ NX-OS ผู้โจมตีสามารถทำการ brute-force login กับตัวเครื่องที่มีการตั้งค่าด้วยระบบป้องกัน AAA หากสำเร็จจะสามารถทำการ remote เข้ามาสั่งรีโหลดตัวเครื่องได้ โดยช่องโหว่มีผลกระทบต่อ Firepower appliances, Nexus, Multilayer Director switches, และ Unified Computing System บางตัว

Cisco ยังมีการะบุเพิ่มเติมถึงช่องโหว่อีกสองตัว CVE-2017-12260 และ CVE-2017-12259 ซึ่งส่งผลกระทบต่อ Small Business IP phones โดยช่องโหว่ตัวแรกส่งผลกระทบต่อการทำงานของ Session Initiation Protocol (SIP) ใน IP Phones รุ่น SPA50x, SPA51x และ SPA52x, ตัวที่สองส่งผลกระทบต่อการทำงานเช่นเดียวกัน แต่เป็น IP Phones รุ่น SPA51x เท่านั้น ช่องโหว่สองตัวนี้ทำให้เกิด DoS จากการส่งคำขอพิเศษที่ถูกดัดแปลงแล้ว(specially crafted SIP requests) ไปยังเครื่องเป้าหมาย

ที่มา: securityaffairs

Cybercrooks ส่งสแปมอีกครั้งด้วยการส่งใบเรียกเก็บเงินปลอมเพื่อติดตั้งโทรจันบนเครื่องเพื่อขโมยข้อมูล online banking

นักวิจัยจาก Trustwave พบลิ้งค์สำหรับติดตั้ง Gozi Trojan จาก Energy Australia เมื่อเดือนกันยายนที่ผ่านมา ถ้าหากเหยื่อเปิดอีเมล์และคลิกทีปุ่ม "View my Bill" ก็จะนำเหยื่อไปยังหน้าปลอม และดาวน์โหลดไฟล์ ZIP ที่มีชื่อว่า EnergyAustralia Electricity bill.

Android malware ใหม่ถูกค้นพบในแอพพลิเคชั่นหลายตัวบน Google Play โดยจะทำการสร้าง socket ด้วย SOCKS proxy บนอุปกรณ์ที่ถูกบุกรุก

Symantec ได้รายงานเมื่อไม่นานมานี้ว่ามีการตรวจพบ Android.

แจ้งเตือนมัลแวร์เรียกค่าไถ่ชนิดใหม่ "Magniber"

นักวิจัยด้านความปลอดภัย Michael Gillespie ได้ประกาศการค้นพบมัลแวร์เรียกค่าไถ่ชนิดใหม่ภายใต้ชื่อ Magniber ซึ่งใช้ช่องทางการแพร่กระจายผ่านทางการโจมตีแบบ drive-by download หรือทาง exploit kit โดยลักษณะของ Magniber นั้นมีความคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ Cerber ซึ่งแพร่กระจายมานานแล้วเป็นอย่างมาก โดยเฉพาะอย่างยิ่งลักษณะไฟล์ที่เข้ารหัสและระบบการจ่ายเงินค่าไถ่

นักวิจัยด้านปลอดภัยคนอื่นๆ ได้มีการตรวจพบ Magniber ในเวลาไร่เรี่ยกัน โดย Magniber เมื่อเริ่มต้นทำงานบนระบบแล้วจะมีการตรวจสอบว่าภาษาของระบบนั้นถูกตั้งค่าให้เป็นภาษาเกาหลีหรือไม่ หากว่าระบบมีการใช้งานภาษาเกาหลีเป็นภาษาหลักก็จะเริ่มทำการเข้ารหัสทันที แต่หากระบบมีการใช้งานเป็นภาษาอื่นก็จะไม่ได้ดำเนินการเข้ารหัส ดังนั้นการแพร่กระจายของ Magniber จึงตรวจพบในเกาหลีใต้เป็นจำนวนมาก

ผู้ใช้งานทั่วไปสามารถป้องกันผลกระทบจาก Magniber ได้โดยการอัพเดป OS และซอฟต์แวร์ที่ใช้งานให้เป็นเวอร์ชันใหม่อยู่เสมอ โดยเฉพาะอย่างยิ่งปลั๊กอินของเบราว์เซอร์อย่าง Java runtime และ Adobe Flash Player

ที่มา : BLEEPINGCOMPUTER

นักวิจัยด้านความปลอดภัยพบเว็บไซต์ของ Equifax และ TransUnion มีการ redirect ไปยังเว็บไซต์เพื่อดาวน์โหลด adware และ malware มาติดตั้งบนเครื่อง โดยผู้ที่พบได้ทำการอัพโหลดไฟล์วิดีโอ แสดงตัวอย่างการเข้าถึงเว็บไซต์ Equifax.

KeePass ได้แนะนำให้ผู้ใช้งาน Update โปรแกรมให้เป็น KeePass 2.37 ที่มีความเสถียร และเพิ่มเติมคุณลักษณะใหม่ ๆ โดยมีสิ่งที่เพิ่มเติม และปรับปรุงให้ดีขึ้น เช่น

- เมื่อสร้าง Database ใหม่แล้ว KeePass จะทำการสร้าง Emergency Sheet ขึ้นมาให้ และทำการเก็บไว้ในตำแหน่งที่ปลอดภัย และจำกัดให้บาง User สามารถเข้าถึงได้เท่านั้น รวมทั้งจะมี Dialog สำหรับแจ้งข้อมูลของ Database เพิ่มเติมขึ้นมาให้
- เพิ่มฟังก์ชันเพื่อค้นหากลุ่มของรหัสผ่านที่คล้ายกัน
- ปรับปรุงสคริปต์ PrepMonoDev.

พบ Ransomware สายพันธุ์ใหม่ที่ชื่อว่า “Bad Rabbit” ระบาดในประเทศรัสเซีย และยูเครน โดยมีพฤติกรรมการเข้ารหัสคล้ายคลึงกับ Not-Petya คือทาการเข้ารหัส Harddisk ทาให้ไม่สามารถเปิดเครื่องได้ และเชื่อว่ามีพฤติกรรมการแพร่กระจายผ่านการใช้งาน SMB
วิธีการติดพบว่ามาจากการเข้าไปยังเว็ปไซต์ที่มีการวาง javascript เอาไว้ ซึ่งขณะนี้พบเพียงว่าเว็ปไซต์ดังกล่าวอยู่ในประเทศรัสเซีย, บัลแกเรีย และตุรกี จากนั้นจะมี Pop-up แจ้งเตือนเพื่อหลอกให้ทาการอัพเดท Flash Player

เมื่อกดปุ่ม Install ระบบจะทาการดาวน์โหลด Ransomware ที่มีชื่อไฟล์ว่า “install_flash_player.

แฮกเกอร์มักจะทำการโจมตีช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์เพื่อเข้าเครื่อง ATM และทำให้เครื่องจ่ายเงินสดออกมา แต่ตอนนี้ใครๆ ก็สามารถทำได้ง่ายขึ้น เพียงแค่หาซื้อมัลแวร์จากตลาดใต้ดินก็สามารถขโมยเงินสดนับล้านจากตู้ ATM ได้

นักวิจัยจาก Kaspersky Lab เปิดเผยหลังจากพบโพสต์ฟอรัมในการโฆษณาขายมัลแวร์ชื่อว่า Cutlet Maker จากเว็บไซต์ใต้ดินในราคาประมาณ 5,000 ดอลลาร์ โพสต์ฟอรัมได้ให้คำอธิบายสั้น ๆ พร้อมรายละเอียดของชุดเครื่องมือของมัลแวร์ตัวนี้ ที่ออกแบบมาเพื่อโจมตีเป้าหมายซึ่งเป็นเครื่อง ATM รุ่นต่างๆ โดยการใช้ประโยชน์จาก API เฉพาะของ vendor จึงไม่จำเป็นต้องอาศัยผู้ใช้งาน และข้อมูลของผู้ใช้งาน ATM แต่อย่างไร จึงไม่ส่งผลกระทบต่อลูกค้าของธนาคารโดยตรง

ชุดเครื่องมือนี้ประกอบด้วย
- Cutlet Maker มัลแวร์ ATM เป็นองค์ประกอบหลักของชุดเครื่องมือ
- Stimulator แอพพลิเคชันที่รวบรวมสถานะเงินสดของตู้ ATM เป้าหมาย
- c0decalc แอพพลิเคชั่นในรูปแบบ terminal สำหรับสร้างรหัสผ่านให้มัลแวร์

นักวิจัยกล่าวว่าจำเป็นจะต้องนำชุดเครื่องมือดังกล่าวใส่ไว้ใน Flash Drive จากนั้นนำไปเสียบยังเครื่อง ATM ที่ต้องการ และสั่งรันมัลแวร์ดังกล่าว การทำงานของมัลแวร์จำเป็นจะต้องใช้อาศัยคนสองคนในการขโมยเงินจากระบบ ATM โดยบุคคลแรกจะถูกเรียกว่า "drop" และบุคคลที่สองจะถูกเรียกว่า "drop master" โดยคนแรกจะนำมัลแวร์ไปรันบนเครื่อง ATM ที่ต้องการ และจำเป็นจะต้องส่งข้อมูลไปให้แก่บุคคลที่สอง ซึ่งจำเป็นต้องนำข้อมูลดังกล่าวซึ่งเป็นตัวเลขไปใส่ใน c0decalc ซึ่งจะทำการสร้างรหัสเพื่อนำไปใช้ในขั้นตอนการรันมัลแวร์ เพื่อให้ ATM ทำการจ่ายเงินออกมา

ทั้งนี้พบว่ามัลแวร์ "Cutlet Maker" นี้ถูกเผยแพร่ครั้งแรกในเว็ปไซต์ AlphaBay ซึ่งได้ถูกปิดโดยเอฟบีไอไปก่อนหน้านี้ โดยตัวมัลแวร์ และส่วนของ Stimulator ถูกเขียนขึ้นมาด้วย Delphi และพบว่าถูกคอมไพล์เมื่อวันที่ 30 กรกฎาคม และวันที่ 16 กรกฎาคมปีที่แล้ว ตามลำดับ ส่วนตัว c0decalc ถูกเขียนขึ้นมาด้วย Visual C และพบว่าถูกคอมไพล์ตั้งแต่วันที่ 13 พฤศจิกายนปีที่แล้ว

ที่มา : The Hacker News