Cisco ได้รายงานถึงข้อผิดพลาดเกี่ยวกับ Advanced Linux Sound Architecture (ALSA) เมื่อวันศุกร์ที่ 13 ตุลาคมที่ผ่านมา ก่อนที่จะมีการเปิดเผย CVE ออกมาอย่างเป็นทางการ
ช่องโหว่นี้ได้รับการระบุเป็น CVE-2017-15265 แต่ให้คงสถานะเป็น reserved เอาไว้ก่อนในวันที่ประกาศ โดยเป็นช่องโหว่ที่เกิดจากความผิดพลาดของ Use-After-Free หรือความพยายามในการเข้าถึง memory ที่ถูกปล่อย(Free)

หลังจากถูกใช้งานเรียบร้อยแล้วใน ALSA ของแอพพลิเคชัน ผู้โจมตีสามารถทำการโจมตีผ่านช่องโหว่นี้จากการเรียกใช้แอพพลิเคชั่นที่สร้างขึ้นมาในระบบของเป้าหมาย หากการโจมตีสำเร็จสามารถทำให้ผู้โจมตีได้รับสิทธิ์ที่สูงขึ้นในระบบของเป้าหมายได้

แม้ว่าช่องโหว่นี้อาจจะส่งผลเฉพาะกับเครื่องที่โดนโจมตีเท่านั้น แต่การที่ผู้โจมตีสามารถทำการเพิ่มสิทธิ์ตนเองให้สูงขึ้นได้นั้น ก็ส่งผลให้ช่องโหว่นี้ถูกจัดอยู่ในระดับ High ทั้งนี้จากรายงานได้ระบุว่าได้มีการแก้ไขช่องโหว่นี้โดยการปรับฟังก์ชั่นการทำงานให้รัดกุมขึ้น และได้อัพโหลดขึ้นไปบน ALSA git tree เรียบร้อยแล้ว

ที่มา: theregister

ตรวจพบ extension ชื่อว่า Adblock Plus ปลอม ถูกเผยแพร่อยู่บน Chrome Web Store ที่มียอดดาวน์โหลดจากผู้ใช้งานไปแล้วกว่า 37,000 ครั้ง โดยส่วนเสริมตัวนี้มีหน้าที่เอาไว้บล็อคพวกโฆษณา เพื่อไม่ให้แสดง

ทาง SwiftOnSecurity รายงานว่า Adblock Plus ปลอมนั้น ได้ปลอมแม้กระทั่งชื่อผู้พัฒนาเพื่อหลอกให้เหยื่อหลงเชื่อ โดยใช้ชื่อว่า Adblock Plus แต่ของจริงนั้นจะถูกพัฒนาโดยชื่อ adblockplus.

กลุ่มแฮกเกอร์โจมตีสถาบันการเงิน "FIN7" เปลี่ยนขั้นตอนการแพร่กระจายมัลแวร์
กลุ่มแฮกเกอร์ FIN7 (หรือรู้จักกันในชื่อ Anunak หรือ Carbanak) ซึ่งพุ่งไปที่การโจมตีสถาบันการเงิน ได้มีการเปลี่ยนรูปแบบการแพร่กระจายมัลแวร์จากเดิมที่ใช้ไฟล์ LNK หรือไฟล์ลิงค์ฝังเข้าไปในไฟล์เอกสาร เป็นการใช้ไฟล์ CMD ทำให้หลีกเลี่ยงกระบวนการตรวจจับได้
เมื่อเหยื่อทำการเปิดไฟล์เอกสารซึ่งมักถูกส่งมากับอีเมล ไฟล์เอกสารดังกล่าวจะทำการถอดรหัสตัวเองก่อนจะทำการดาวโหลดมัลแวร์มาติดตั้งบนระบบของเหยื่อ มัลแวร์ดังกล่าวทำหน้าที่เป็นช่องทางลับทำให้ผู้โจมตีสามารถเข้าถึง สั่งการและควบคุมเครื่องของเหยื่อได้ในภายหลัง การเปลี่ยนแปลงพฤติกรรมของ FIN7 ล่าสุดอาจทำให้ขั้นตอนเหล่านี้ตรวจจับได้ยากขึ้นด้วย นอกเหนือจากนั้นภายในฟังก์ชันการทำงานของมัลแวร์เอง มัลแวร์ยังสามารถที่จะดึงข้อมูลรายการผู้ติดต่ออัตโนมัติจาก Outlook ได้อีกด้วย
แนะนำให้ผู้ใช้งานระมัดระวังก่อนเปิดไฟล์แนบที่มากับอีเมล รวมไปถึงตรวจสอบแหล่งที่มาของอีเมลทุกครั้ง

ที่มา : Securityweek

NCR ออกรายงานแจ้งเตือนเมื่อช่วงกลางสัปดาห์ทีผ่านมาหลังจากมีการตรวจพบการโจมตีตู้เอทีเอ็มที่เรียกว่า Black Box Attack ในลักษณะใหม่ในเม็กซิโกซึ่งในขณะนี้ยังไม่พบการโจมตีในลักษณะเดียวในประเทศอื่นๆ

Black box เป็นวิธีการโจมตีที่ผู้โจมตีทำการเข้าถึงระบบภายในของตู้เอทีเอ็มทางกายภาพ อาจด้วยวิธีการเจาะรูทางด้านหน้าของตัวเองแล้วสอดอุปกรณ์บางอย่างเข้าไป จากนั้นผู้โจมตีจะทำการถอดการเชื่อมต่อระบบที่ใช้จ่ายเงินซึ่งจากเดิมมีการเชื่อมต่ออยู่กับระบบสำหรับการยืนยันธุรกรรมและพิสูจน์ตัวตนของผู้ใช้งาน มาเชื่อมต่อกับอุปกรณ์เฉพาะ (black box) ที่ทำให้ผู้โจมตีสามารถควบคุมระบบจ่ายเงินได้โดยตรง

วิธีการที่ NCR ตรวจพบนั้น ผู้โจมตีจะทำการเข้าถึงระบบภายในเพื่อเชื่อมต่ออุปกรณ์เช่นเดียวกัน แต่ผู้โจมตีจะมีวิธีการเพิ่มเติมโดยการสอดกล้อง endoscope ในช่องที่เครื่องเอทีเอ็มส่งเงินออกมาโดยมีจุดประสงค์เพื่อเข้าไปแก้ไขเซ็นเซอร์ในระบบจ่ายเงินเพื่อหลอกระบบว่ามีกระบวนการยืนยันตัวตนอยู่ การหลอกนี้จะช่วยให้อุปกรณ์ black box สามารถสั่งจ่ายเงินได้เพราะระบบถูกหลอกให้เชื่อว่ามีการใช้งานจากผู้ใช้จริง

ในขณะนี้ NCR ได้มีการออกอัพเดตใหม่เพื่อป้องกันการโจมตีในลักษณะนี้แล้ว และจะมีการปล่อยอัพเดตใหญ่อีกครั้งในช่วงต้นปีหน้าเพื่อปรับปรุงระบบยืนยันตัวตนทางกายภาพให้มีความปลอดภัยมากยิ่งขึ้นด้วย

ทีมา: app.

iOS Conclusion แจ้งเตือนระมัดระวัง Pop-up ปลอมบน iOS หลอกถาม Apple ID

นักพัฒนา Kelix Krause ได้มีการเปิดเผยแพร่ตัวอย่างการโจมตีที่ผู้ประสงค์ร้ายใช้ในการหลอกถามข้อมูลของ Apple ID ของผู้ใช้งาน โดยเพียงแค่เขียนแอปหรือสคริปต์ขึ้นมาเพื่อสร้างหน้าต่าง Pop-up ปลอมเพื่อหลอกถามข้อมูล

Kelix Krause กล่าวว่า ปัญหาของ iOS คือการแสดงหน้าต่างสำหรับกรอกข้อมูล Apple ID ที่ในบางครั้งไม่ได้จำกัดในเฉพาะแอปของแอปเปิลเอง แต่ยังแสดงนี้ในหน้าต่างแอปอีกเวลาที่ผู้ใช้งานจำเป็นต้องมีการเข้าสู่ระบบ ด้วยลักษณะนี้ผู้ประสงค์ร้ายจึงมีโอกาสในการปลอมหน้า Pop-ip นี้ขึ้นมาเพื่อหลอกข้อมูลได้

Kelix Krause ยังกล่าวเพิ่มเติมว่า วิธีการป้องกันที่ดีที่สุดคือการการกดปุ่มโฮมเพื่อปิดแอปและสังเกตพฤติกรรม คือ

- หากกดปิดแอปแล้วหน้าต่าง Pop-up สอบถามข้อมูลดังกล่าวถูกปิดไปด้วย แปลว่านั่นคือ phishing
- แต่ถ้าหากกดปิดแอปแล้วยังคงมีการแสดงหน้าต่าง Pop-up จะเป็นลักษณะของหน้าต่างจริงจากระบบ เนื่องจากแอปเปิลมีการรันหน้าต่างนี้จากต่างโปรเซสที่ไม่ใช่โปรเซสเดียวกับแอปปัจจุบัน การปิดแอปปัจจุบันจึงไม่ได้ส่งผลต่อการปิดหน้าต่างดังกล่าว

Recommendation: นอกเหนือจากนั้นการเปิดใช้งาน 2 factor authentication และการเพิ่มความระมัดระวังก็สามารถช่วยผู้ใช้งานได้มากเช่นเดียวกัน

ที่มา: krausefx

แจ้งเตือน Ransomware บนแอนดรอยด์รูปแบบใหม่ "DoubleLocker" รันใหม่ทุกครั้งเมื่อกดปุ่มโฮม

นักวิจัยด้านความปลอดภัย Lukas Stefanko จาก ESET ได้ตรวจพบและทำการวิเคราะห์มัลแวร์เรียกค่าไถ่บนระบบปฏิบัติการแอนดรอยด์ภายใต้ชื่อ DoubleLocker โดยระบุไว้ว่า DoubleLocker นั้นมีวิธีการที่ค่อนข้างแปลกใหม่โดยการใช้ Accessibility service เป็นส่วนหนึ่งในการโจมตี

DoubleLocker แพร่กระจายผ่านทางแอปพลิเคชันแปลกๆ ที่ผู้ใช้งานติดตั้ง ผู้ใช้งานสามารถสังเกตความผิดปกติได้ว่าแอปของ DoubleLocker จะมีการร้องขอการใช้งานฟีเจอร์ Accessibility service ซึ่งโดยส่วนมากจะไม่มีการขอใช้งาน

เมื่อติดตั้งเป็นที่เรียบร้อย DoubleLocker จะมีการใช้ Accessibility service หรือส่วนที่ใช้ในการเข้าถึงเมนู และปรับแต่งแอปของตัวมันเองเพื่อให้ได้มาซึ่งสิทธิ์สูงสุดในระบบ ทันทีดำเนินการเรียบร้อย มัลแวร์จะทำการเปลี่ยนรหัสล็อคหน้าจอ ทำการเข้ารหัสไฟล์และแสดง ransom note ทันที

นอกเหนือจากนั้น DoubleLocker จะมีการตั้งค่าตัวเองให้เป็นแอปให้เป็น App Launcher หรือหน้าแอป ทำให้ทุกครั้งที่ผู้ใช้งานกดปุ่มโฮมเพื่อกลับไปที่หน้าแอปก็จะเป็นการเรียกมัลแวร์อีกครั้ง ค่าไถ่สำหรับ DoubleLocker นั้นอยู่ที่ประมาณ 70 ดอลลาร์สหรัฐฯ ผู้ใช้งานสามารถสังเกตเห็นไฟล์ที่ถูกเข้ารหัสได้จากนามสกุลของไฟล์ .cryeye

ในตอนนี้วิธีการเดียวที่จะแก้ปัญหาคือการทำ Factory Reset เพื่อล้างข้อมูลทั้งหมด

Recommendation: ขอให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อมีการติดตั้งแอปใดๆ ที่ลงในเครื่อง รวมไปถึงควรมีการตรวจเช็คแหล่งที่มาให้ดีก่อน

ที่มา: bleepingcomputer

Cisco Talos แจ้งเตือนการปลอมแปลงอีเมล SEC เพื่อแพร่กระจายมัลแวร์ DNSMessenger

Cisco Talos ออกรายงานการวิเคราะห์เมื่อกลางสัปดาห์ที่ผ่านมาหลังจากมีการตรวจพบลักษณะการโจมตีใหม่ที่ผู้โจมตีมีการใช้เว็บไซต์ทางราชการสหรัฐฯ เป็นเครื่องมือเพื่อช่วยในการโจมตี โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ DNSMessenger ซึ่งมีการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C server) ผ่านโปรโตคอล DNS เป็นหลัก

แคมเปญการโจมตีมีจุดเริ่มต้นที่อีเมลสแปมที่ใช้ในการแพร่กระจายมัลแวร์ ผู้โจมตีจะทำการปลอมแปลงที่มาของอีเมลว่ามาจากระบบ EDGAR ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (SEC) ซึ่งเป็นระบบจัดการเอกสารรูปแบบหนึ่ง ไฟล์มัลแวร์จะถูกแพร่กระจายในรูปแบบของไฟล์เอกสาร

จุดน่าสนใจของวิธีการที่ผู้โจมตีใช้คือผู้โจมตีไม่ได้มีการใช้ลักษณะมาโครสคริปต์ในไฟล์เอกสารเพื่อดาวโหลดและติดตั้งมัลแวร์ แต่ผู้โจมตีมีการใช้ฟีเจอร์ที่เก่าแก่กว่ามาโครสคริปต์ Dynamic Data Exchange (DDE) เพื่อดาวโหลดและสั่งรันมัลแวร์ ด้วยรูปแบบใหม่นี้ระบบป้องกันที่เน้นไปที่การตรวจจับและป้องกันมาโครสครติป์จะไม่สามารถป้องกันการโจมตีในรูปแบบนี้ได้

เมื่อไฟล์เอกสารถูกเปิดและมีการอนุญาตให้ไฟล์เอกสารเรียกโปรแกรมอื่น (ผู้ใช้งานจำเป็นต้องกดอนุญาตเอง) มัลแวร์จะถูกดาวโหลดและติดตั้งที่เครื่องของผู้ใช้งาน โดยจะมีการแก้ไขค่าของรีจีสทรีและ Scheduled Tasks ให้รันตัวเองโดยอัตโนมัติเมื่อมีการเริ่มต้นการทำงานของระบบด้วย

แนะนำให้ผู้ใช้งานระมัดระวังเมื่อมีการเปิดไฟล์เอกสารใดๆ และควรตรวจสอบแหล่งที่มาให้ดีก่อนดาวโหลดไฟล์แนบจากอีเมล

ที่มา: zdnet

แจ้งเตือนการโจมตีระบบ Office 365 รูปแบบใหม่ "KnockKnock" เน้นเงียบแต่ได้ผล

นักวิจัยด้านความปลอดภัยจาก SkyHigh "Sandeep Chandana" ได้ออกมาเผยแพร่ถึงวิธีการโจมตี Office 365 รูปแบบใหม่โดยบ็อตเน็ตที่พึ่งมีการตรวจพบภายใต้ชื่อการโจมตี "KnockKnock" ที่เน้นไปที่การโจมตีระบบที่อยู่ข้างหลังที่มักจะขาดการป้องกันที่เหมาะสม เพื่อนำข้อมูลกลับมาใช้ในการเข้าถึงระบบที่ต้องการโจมตีต่อไป

การโจมตี KnockKnock ถูกตรวจพบในเดือนพฤษภาคม 2017 และยังคงมีการใช้วิธีการนี้ในการโจมตีอยู่ โดยมีแหล่งที่มาของการโจมตีจากกว่า 15 ประเทศทั่วโลก

ลักษณะการโจมตีแบบ KnockKnock มักมีคุณลักษณะพิเศษอยู่ 2 อย่างคือ การโจมตีที่มีกลุ่มเป้าหมายค่อนข้างเล็กโดย SkyHigh ระบุว่ามักจะเป็น 2% ของบัญชีผู่ใช้งานทั้งหมด และการโจมตี KnockKnock นั้นจะไม่ใช่การโจมตีแบบ bruteforce แต่จะเป็นการโจมตีเพื่อคาดเดารหัสผ่านเพียง 3-5 ครั้งต่อบัญชีเพื่อไม่ให้สามารถตรวจจับได้ ซึ่งโดยมากจะเป็นการโจมตีแบบ phishing เป็นส่วนใหญ่ เมื่อโจมตีระบบใดระบบหนึ่งได้แล้ว ผู้โจมตีจึงจะใช้ข้อมูลที่ได้จากการโจมตีไปโจมตีระบบอื่นๆ ต่อ

เป้าหมายของบริการที่ KnockKnock โจมตีนั้นจะมุ่งไปที่ระบบที่มักมีการใช้ร่วมกัน มีการใช้งานอยู่เบื่องหลังองค์กรและมักจะมีการป้องกันที่ไม่ดีพอ อาทิ ระบบสำหรับ provision, ระบบสำหรับจัดการศูนย์ข้อมูล, ระบบจัดการการขาย, JIRA, Jenkin หรือ GitHub เป็นต้น ระบบเหล่านี้นั้นมักจะไม่มีฟังก์ชันอย่าง 2 factor authentication หรือ Single-Sign-On ทำให้การโจมตีเป็นไปได้โดยง่าย

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบเพื่อความระมัดระวังและกวดขันความปลอดภัยในระบบเหล่านี้เพื่อป้องกันการโจมตีในลักษณะดังกล่าว การตอบโต้ที่ง่ายที่สุดในการจัดการกับการโจมตี KnockKnock คือการเปิดใช้งาน 2FA สำหรับบัญชีพนักงานและบัญชีระบบ รวมถึงใช้รหัสผ่านที่ปลอดภัยและควรตั้งรหัสผ่านของแต่ละบัญชีไม่ให้ซ้ำกัน

ที่มา: bleepingcomputer

กลุ่มแฮกเกอร์โจมตีสถาบันการเงิน "FIN7" เปลี่ยนขั้นตอนการแพร่กระจายมัลแวร์

กลุ่มแฮกเกอร์ FIN7 (หรือรู้จักกันในชื่อ Anunak หรือ Carbanak) ซึ่งพุ่งไปที่การโจมตีสถาบันการเงิน ได้มีการเปลี่ยนรูปแบบการแพร่กระจายมัลแวร์จากเดิมที่ใช้ไฟล์ LNK หรือไฟล์ลิงค์ฝังเข้าไปในไฟล์เอกสาร เป็นการใช้ไฟล์ CMD ทำให้หลีกเลี่ยงกระบวนการตรวจจับได้

เมื่อเหยื่อทำการเปิดไฟล์เอกสารซึ่งมักถูกส่งมากับอีเมล ไฟล์เอกสารดังกล่าวจะทำการถอดรหัสตัวเองก่อนจะทำการดาวโหลดมัลแวร์มาติดตั้งบนระบบของเหยื่อ มัลแวร์ดังกล่าวทำหน้าที่เป็นช่องทางลับทำให้ผู้โจมตีสามารถเข้าถึง สั่งการและควบคุมเครื่องของเหยื่อได้ในภายหลัง การเปลี่ยนแปลงพฤติกรรมของ FIN7 ล่าสุดอาจทำให้ขั้นตอนเหล่านี้ตรวจจับได้ยากขึ้นด้วย นอกเหนือจากนั้นภายในฟังก์ชันการทำงานของมัลแวร์เอง มัลแวร์ยังสามารถที่จะดึงข้อมูลรายการผู้ติดต่ออัตโนมัติจาก Outlook ได้อีกด้วย

แนะนำให้ผู้ใช้งานระมัดระวังก่อนเปิดไฟล์แนบที่มากับอีเมล รวมไปถึงตรวจสอบแหล่งที่มาของอีเมลทุกครั้ง

ที่มา: securityweek

บริษัทด้านความปลอดภัย Rapid 7 ได้ตรวจพบช่องโหว่ SQL injection บนซอฟต์แวร์ e-commerce "SmartVista" ซึ่งใช้กันอย่างแพร่หลายในสวิตเซอร์แลนด์ อย่างไรก็ตามโลกแห่งความจริงนั้นไม่ได้ง่ายและปลอดภัยเมื่อบริษัทผู้พัฒนาซอฟต์แวร์ BCP Banking ไม่ยอมรับทราบและแก้ปัญหาใดๆ ตั้งแต่เดือนพฤษาภาคม 2017

ช่องโหว่ดังกล่าวเกิดจากระบบไม่ได้มีการตรวจสอบข้อมูลที่ผู้ใช้งานส่งเข้ามาดีพอ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่อยู่ฐานข้อมูลได้ผ่านการโจมตี SQL injection
ขณะนี้ CERT/CC กับ SwissCERT ได้ดำเนินการแจ้งไปยังบริษัทผู้พัฒนาซอฟต์แวร์แล้ว เนื่องจากซอฟต์แวร์ดังกล่าวมีการใช้งานอย่างแพร่หลาย ในส่วนของผู้ที่ใช้ซอฟต์แวร์นั้น การใช้ฟีเจอร์ของ WAF ในการป้องกัน SQL injection อาจช่วยลดความเสี่ยงที่จะถูกโจมตีได้บางส่วน

ที่มา: theregister