Cisco ได้มีการประกาศการตรวจสอบด้านและแจ้งเตือนความปลอดภัยของซอฟต์แวร์บางส่วนหลังจากมีความเป็นไปได้ว่าซอฟต์แวร์บางรายการนั้นอาจจะได้รับผลกระทบจากช่องโหว่ Apache Struts
ช่องโหว่ Apache Struts ดังกล่าวนั้น เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำการโจมตีแบบ remote code execution เพื่อเข้าสั่งการเครื่องเป้าหมายได้จากระยะไกล อ้างอิงจากการประกาศของ Cisco ซอฟต์แวร์ที่ได้รับผลกระทบโดยส่วนมากเป็นซอฟต์แวร์ในกลุ่ม VoIP และซอฟต์แวร์จัดการเครือข่าย ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบรายการของซอฟต์แวร์ที่ได้รับผลกระทบได้จากลิงค์ด้านล่าง
https://tools.
Apache Struts Vulnerabilities May Affect Many of Cisco’s Products
Researchers Reveal New Toast Overlay Attack on Android Devices
ผู้เชี่ยวชาญด้านความปลอดภัยจาก Palo Alto Networks เปิดเผยรายละเอียดการโจมตีบนฟีเจอร์ของ Android ที่เรียกว่า Toast Notification ซึ่งทำให้มัลแวร์ หรือผู้โจมตีได้รับสิทธิ์ระดับ Admin
Toast Notification ถูกใช้ในการแสดงข้อความแจ้งเตือนบนหน้าจอ ซึ่ง Toast Notification จะแสดงอยู่ในตำแหน่งล่าง ๆ ของหน้าจอ เป็น pop-up แสดงข้อความสั้น ๆ ให้ผู้ใช้ทราบ เช่น เมื่อมีการเพิ่มข้อมูล และบันทึกข้อมูลเรียบร้อยแล้ว หรือหน้าต่างสำหรับยืนยันการทำงานต่างๆ
เมื่อเหยื่อหลงกลติดตั้งแอพพลิเคชั่นแล้ว จะมี pop-up แจ้งเตือนให้ผู้ใช้งานดำเนินการบางอย่าง โดยใช้ความสามารถของ Toast Notification ซึ่งจะทำให้ pop-up นั้นได้สิทธิ์ Admin เหนือแอพพลิเคชั่นอื่นๆโดยปริยาย หรือที่เรียกว่า "Draw on top"
Android ที่ได้รับผลกระทบคือ ทุกเวอร์ชันก่อน Android 8.0 Oreo (CVE-2017-0752) จึงแนะนำให้ผู้ใช้อุปกรณ์ Android อัพเกรดเป็นเวอร์ชันล่าสุด 8.0 Oreo หรือดาวน์โหลดแพตซ์ได้ที่ https://source.
Microsoft patches Office zero-day used to spread FinSpy surveillance malware
Microsoft แพตซ์ช่องโหว่ด้านความปลอดภัยบน Office ซึ่งพบว่าถูกใช้ในการโจมตีกลุ่มเป้าหมายที่เป็นผู้ใช้ภาษารัสเซีย โดยมีจุดมุ่งหมายเพื่อลง spyware สำหรับสอดแนมที่ชื่อว่า "FinSpy"
นักวิจัย FireEye พบช่องโหว่ zero-day ที่ส่งผลให้มัลแวร์แพร่กระจายโดยไฟล์เอกสาร Microsoft Office RTF เมื่อเปิดเอกสาร ทำให้เครื่องคอมพิวเตอร์เป้าหมายโดนติดตั้ง spyware ที่ชื่อว่า "FinSpy" ซึ่งเป็นซอฟต์แวร์สอดแนมของบริษัทในเครือ Gamma Group ซึ่งเป็นบริษัทที่ขายโปรแกรมสอดแนมให้กับรัฐบาลทั่วโลก
ในปี 2014 WikiLeaks เคยเปิดเผยข้อมูลว่ารัฐบาลใหญ่ ๆ หลายแห่งอยู่ในรายชื่อลูกค้าที่ใช้งาน "FinFisher" ซึ่งเป็น spyware เช่นเดียวกับ "FinSpy" โดย FireEye ไม่สามารถระบุได้อย่างชัดเจนว่าใครเป็นผู้โจมตี แต่คาดว่าน่าจะเป็นบุคคลจากรัฐบาลประเทศใดสักแห่ง และเหตุการณ์อาจเริ่มตั้งแต่ช่วงต้นเดือนกรกฎาคม แต่เพิ่งจะถูกตรวจพบ
Microsoft ได้จัดให้ช่องโหว่ดังกล่าวอยู่ในระดับ "important" โดยล่าสุด Microsoft ได้มีการปล่อยให้อัพเดท เพื่อแก้ไขช่องโหว่ล่าสุดทั้งหมด 81 รายการ ใน Tuesday Patch ประจำเดือนกันยายน ซึ่งรวมช่องโหว่นี้ด้วย
ที่มา : zdnet
China-linked KHRAT Operators Adopt New Delivery Techniques
KHRAT เป็น Backdoor ที่ถูกใช้ในการจารกรรมข้อมูลความลับของกลุ่มแฮกเกอร์จากจีน ที่รู้จักกันในนาม 'DragonOK' ซึ่งก่อนหน้านี้เคยมีการใช้มัลแวร์ เช่น NetTraveler (TravNet), PlugX, Saker, Netbot, DarkStRat และ ZeroT โจมตีองค์กรในรัสเซียและประเทศอื่น ๆ โดยล่าสุดมุ่งเป้าหมายไปที่เหยื่อในกัมพูชา
มัลแวร์ถูกออกแบบมาให้ทำการเข้าถึงข้อมูลในเครื่องของเหยื่อ เช่น Username, ภาษาของระบบและ IP โดยใช้เทคนิค RAT เพื่อส่งข้อมูลกลับไปให้ C&C server เสมือนกับการลงทะเบียนเครื่องที่มีการแพร่กระจายแล้ว
นักวิจัยจาก Palo Alto ได้สรุปว่าแฮกเกอร์ได้มีการพัฒนาความสามารถของ spear phishing, ปรับหน้าตา และใช้วิธีหลากหลายในการดาวน์โหลดและเรียกใช้ payload เพิ่มเติม โดยใช้แอพพลิเคชัน built-in ของ Windows
นอกจากนี้แฮกเกอร์ยังขยายขนาดของไฟล์โฮสติ้ง โดยเลียนแบบ Dropbox ซึ่งเป็นไฟล์โฮสติ้งที่รู้จักกันดีในระบบคลาวด์เพื่อหลอกลวงเหยื่อ
แม้ว่าจะยังไม่มีการแพร่ระบาดมากนัก แต่ในช่วงสองเดือนที่ผ่านมาพบว่ามีการโจมตีเป้าหมายในกัมพูชา จากการพบเอกสาร Word ที่มีพฤติกรรมการติดต่อออกไปยังไฟล์โฮสติ้ง เมื่อช่วงเดือนมิถุนายนที่ผ่านโดยนีกวิจัยจาก Palo Alto
ที่มา: securityweek
IDN HOMOGRAPH ATTACK SPREADING BETABOT BACKDOOR
พบการโจมตีที่ชื่อว่า IDN homograph โดยมีการใช้งานเว็บไซต์ปลอมเป็นตัวแพร่กระจายมัลแวร์ Beta Bot backdoor ซึ่งจะเป็นมัลแวร์ที่ใช้ในการแพร่กระจายมัลแวร์ขโมยข้อมูลและขุดบิทคอยน์ต่อ การโจมตี IDN homograph นี้จะเป็นการโจมตีที่อาศัยการจดชื่อโดเมนเนม (ชื่อเว็บไซต์) โดยใช้อักขระที่มีความคล้ายกับชื่อโดเมนเนมจริงหรืออักขระที่เมื่อเปิดผ่านโปรแกรมเว็บเบราว์เซอร์แล้วจะเห็นเป็นโดเมนเนมของจริง เช่น “apple.
Malware Group Uses Facebook CDN to Bypass Security Solutions
นักวิจัยด้านความปลอดภัย Brad Duncan จาก Palo Alto Networks และ MalwareHunter ได้แจ้งเตือนถึงการตรวจพบการใช้ CDN (Content Delivery Network) ซึ่งเป็นลักษณะของเซิร์ฟเวอร์ซึ่งกระจายอยู่ทั่วโลกเพื่อให้ผู้ใช้งานสามารถเข้าถึงเนื้อหาต่างๆ ได้อย่างรวดเร็วของบริการที่มีชื่อเสียง อาทิ Facebook, Dropbox และ Google ในการเก็บไฟล์อันตรายหรือมัลแวร์เพื่อแพร่กระจาย สืบเนื่องมาจากหลายองค์กรหรือหลายระบบความปลอดภัยนั้นอนุญาตให้ผู้ใช้งานเข้าถึงข้อมูลซึ่งมาจากแหล่งเหล่านี้ได้
ในการโจมตีนั้น กลุ่มแฮกเกอร์ดังกล่าวจะทำการแนบลิงค์ของ CDN สำหรับดาวโหลดไฟล์ไปกับอีเมลซึ่งถูกปลอมแปลงให้มีลักษณะคล้ายกับอีเมลของหน่วยงานราชการ เมื่อผู้ใช้งานดาวโหลดไฟล์มัลแวร์จาก CDN แล้ว ไฟล์มัลแวร์ดังกล่าวจะเป็นไฟล์ลิงค์ (LNK) ที่ถูกบีบอัดให้เป็นไฟล์ RAR หรือ ZIP เมื่อผู้ใช้งานเปิดไฟล์ลิงค์ดังกล่าวแล้ว ไฟล์ลิงค์จะทำการรันคริปสต์ batch หรือ powershell เพื่อดาวโหลดและติดตั้งมัลแวร์ตัวจริงอีกครั้ง กระบวนการทั้งหมดมีชื่อเรียกอย่างไม่เป็นทางการว่าเทคนิค Squiblydoo
จุดที่น่าสนใจในการโจมตีนี้นั้นอยู่ที่การเลือกเป้าหมาย นักวิจัยด้านความปลอดภัยมีการค้นพบว่า มัลแวร์จะทำการตรวจสอบประเทศของเป้าหมายจากหมายเลขไอพีแอดเดรส ซึ่งหากเป้าหมายไม่ได้อยู่ในประเทศที่กำหนดไว้แล้วก็จะไม่ทำการดาวโหลดมัลแวร์เพื่อโจมตีด้วย ในขณะนี้บริการที่มีการใช้ CDN และถูกใช้ในการโจมตีได้ถูกดำเนินการตรวจสอบแล้ว ผู้ใช้ควรระมัดระวังการโจมตีในลักษณะเดียวกันกับบริการอื่นๆ ไว้ด้วย
ที่มา: bleepingcomputer
FireEye Security Bug: Connection to physical host and adjacent network possible during analysis in Live-Mode
แจ้งเตือนช่องโหว่ด้านความปลอดภัยบน FireEye AX 5400 ทำให้มัลแวร์สามารถเข้าถึง Appliance ได้
Andreas Dewald ได้เปิดเผยช่องโหว่ด้านความปลอดภัยบนอุปกรณ์ FireEye AX รุ่น 5400 ซึ่งส่งผลให้มัลแวร์หรือโปรแกรมซึ่งถูกสร้างมาเป็นพิเศษเพื่อโจมตีช่องโหว่ดังกล่าวสามารถเข้าถึง appliance หรือโจมตีเพื่อแพร่ระบาดตัวเองไปยังโฮสต์อื่นในเครือข่ายได้
FireEye AX เป็นอุปกรณ์ที่ถูกออกแบบมาเพื่อใช้ในการตรวจสอบและพิสูจน์มัลแวร์หรือไฟล์ที่เป็นอันตรายในสภาพแวดล้อมที่มีการควบคุม (sandbox) อุปกรณ์ดังกล่าวมีรูปแบบการทำงานอยู่ด้วยกัน 2 ลักษณะคือ รูปแบบการทำงานแบบ sandbox และรูปแบบการทำงานแบบ live โดยในรูปแบบการทำงานแบบ sandbox นั้น สภาพแวดล้อมในการทดสอบจะถูกควบคุมอย่างเข้มงวด แตกต่างกันในรูปแบบการทำงานแบบ live ที่มีการยินยอมให้โปรแกรมที่เป็นอันตรายส่งข้อมูลออกไปยังอินเตอร์เน็ตได้
Andreas Dewald ค้นพบว่า เมื่ออุปกรณ์ถูกตั้งค่าให้ทำงานในรูปแบบ live โปรแกรมที่ถูกวิเคราะห์นั้นสามารถเข้าถึงพอร์ตของ SSH ที่ใช้ในการตั้งค่าของอุปกรณ์ได้ด้วย ทำให้โปรแกรมที่เป็นอันตรายนั้นสามารถทำการโจมตีแบบ brute force หรือหากรู้รหัสผ่านอยู่แล้วก็สามารถเข้าควบคุมอุปกรณ์ผ่านทาง SSH ได้ ผู้โจมตีเพียงแค่ส่งไฟล์ที่เป็นอันตรายในช่องทางใดๆ ก็ตามที่อุปกรณ์จะทำการวิเคราะห์ เช่น ช่องทางอีเมล ก็จะสามารถโจมตีช่องโหว่ดังกล่าวได้
Recommendation: ช่องโหว่ดังกล่าวได้ถูกแก้ไขแล้วในซอฟต์แวร์รุ่น 7.7.7 และ 8.0.1 แนะนำให้ผู้ใช้งานอุปกรณ์ดังกล่าวอยู่ทำการอัพเกรดซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยทันที รายละเอียดของช่องโหว่และโค้ดสำหรับทดสอบโจมตีช่องโหว่สามารถตรวจสอบได้จากแหล่งที่มา
ที่มา: insinuator
Microsoft Patch Tuesday – September 2017
ทาง Microsoft ได้ออกแพตช์ให้อัพเดทประจำเดือน กันยายน 2560 สำหรับช่องโหว่ที่มีความสำคัญในผลิตภัณฑ์ต่างๆ สำหรับเดือนนี้รวมทั้งหมด 81 ช่องโหว่ โดยมีรายละเอียดดังนี้
• ช่องโหว่ที่อยู่ในระดับรุนแรง(critical) มีทั้งหมด 27 รายการ
• ช่องโหว่ที่มีความสำคัญ(important) มีทั้งหมด 52 รายการ
• ช่องโหว่ที่อยู่ในระดับปานกลาง(moderate) มีทั้งหมด 2 รายการ
ช่องโหว่ดังกล่าวส่วนใหญ่จะมีผลกระทบครอบคลุมผลิตภัณฑ์ตามรายการที่สำคัญดังนี้
• Edge
• Internet Explorer
• Adobe Flash Player ที่ถูกติดตั้งอยู่ใน Edge และ Internet Explorer
• Hyper-V
• Office
• Remote Desktop Protocol
• Sharepoint
• Windows Graphic Display Interface
• Windows Kernel Mode Drivers
• Etc.
Incident Insight: สรุปการโจมตี Equifax
สรุปบทความ เรื่อง Incident Insight สรุปการโจมตี Equifax รายละเอียดดังนี้ PAGE FACEBOOK : i-SECURE
BlueBorne Bluetooth Flaw Affects Millions of Smartphones, IoT and PCs
บริษัทด้านความปลอดภัยบน IoT(Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ค้นพบช่องโหว่ของ Bluetooth ที่ถูกตั้งชื่อว่า "BlueBorne" ซึ่งหากถูกโจมตีจะทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ครอบคลุมระบบปฎิบัติการ Android, iOS, Linux และ Windows ที่เปิดใช้งาน Bluetooth เอาไว้ เพียงแค่อยู่ในรัศมีที่ไม่เกิน 32 ฟุต จากเครื่องเป้าหมาย และสามารถโจมตีได้โดยที่ตัวอุปกรณ์ไม่จำเป็นต้องจับคู่ (Pair) กับอุปกรณ์ที่ใช้โจมตี รวมถึงไม่จำเป็นต้องเปิดโหมดค้นหาอุปกรณ์ (Discovery mode) แต่อย่างใด
ช่องโหว่ BlueBorne คล้ายกับการโจมตีด้วย Broadcom Wi-Fi ที่ถูกค้นพบเมื่อต้นปีนี้ในเดือนเมษายนและกรกฎาคม การโจมตีทำให้ผู้โจมตีสามารถโจมตีระยะไกลได้กับอุปกรณ์ iPhones และอุปกรณ์ Android เกือบทั้งหมด
ระบบที่ได้รับผลกระทบ
• ระบบปฏิบัติการ iOS เวอร์ชัน 9.3.5 หรือต่ำกว่า
• ระบบปฏิบัติการ Android ที่ยังไม่ได้ติดตั้งแพตช์ประจำเดือนกันยายน 2560
• ระบบปฏิบัติการ Windows ที่ยังไม่ได้ติดตั้งแพตช์ประจำเดือนกันยายน 2560
• ระบบปฏิบัติการ Linux ที่ยังไม่ได้ติดตั้งแพตช์หลังจากวันที่ 12 กันยายน 2560
• ระบบปฏิบัติการ macOS เวอร์ชัน 10.11 หรือต่ำกว่า
ทั้งนี้ผู้ใช้งาน Android สามารถดาวน์โหลดแอพพลิเคชั่นเพื่อใช้ตรวจสอบช่องโหว่ BlueBorne ซึ่งถูกพัฒนาโดยทีมจาก Armis ซึ่งเป็นผู้พบช่องโหว่ดังกล่าว ได้จาก Link ด้านล่าง
https://play.