"Antbleed" แบ็คดอร์บน Antminer ฮาร์ดแวร์สำหรับขุดสกุลเงินเสมือน สั่งปิดเครื่องได้จากระยะไกล
อุปกรณ์สำหรับขุด (mining) สกุลเงินเสมือน Antminer ซึ่งถูกผลิตโดยบริษัท Bitmain ถูกตรวจพบว่ามีการโค้ดชุดนนึงที่ถูกฝังเอาไว้ในตัวอุปกรณ์ซึ่งทำให้เมื่อโค้ดชุดนี้ถูกเอ็กซีคิวต์จะสามารถหยุดการทำงานของอุปกรณ์ได้ทันที

โดยปกตินั้น Antminer จะมีการติดต่อกลับไปยังโดเมนที่ถูกถือโดย Bitmain ทุกๆ ช่วงเวลาหนึ่ง (ทุกๆ หนึ่งถึงสิบเอ็ดนาที) พฤติกรรมนั้นอาจสามารถใช้ในการระบุตัวตนของผู้ใช้งานอุปกรณ์ได้ผ่านทาง serial ของ Antminer, MAC address และไอพีแอดเดรสซึ่งอาจส่งผลต่อประเด็นเรื่องความนิรนาม เมื่ออุปกรณ์มีการติดต่อกลับไปยังเซิร์ฟเวอร์ของ Bitmain ฝั่งของเซิร์ฟเวอร์จะมีการส่งข้อความแยกเป็น true และ false กลับมา โดยหากเป็น true อุปกรณ์จะสามารถทำงานได้ต่อ แต่ถ้าหากเป็น false อุปกรณ์ก็จะหยุดทำงานทันที
ด้วยช่องโหว่ในลักษณะนี้ ผู้โจมตีอื่นสามารถสร้างการโจมตีที่ปลอมตัวเป็นเซิร์ฟเวอร์ของ Bitmain เพื่อโจมตีและปิดการทำงานของอุปกรณ์ได้

เว็บไซต์ของ Antbleed แนะนำให้ผู้ใช้อุปกรณ์เปลี่ยนให้การติดต่อไปยังเซิร์ฟเวอร์ของ Bitmain ให้เป็น localhost ก่อนเพื่อป้องกันการติดต่อกลับไปจนกว่าจะมีแพตช์ของอุปกรณ์ออกมา

ที่มา: theregister

Stringbleed ช่องโหว่บน SNMP agent ข้ามผ่านกระบวนการระบุตัวตนบนโปโตคอล SNMP
นักวิจัยด้านความปลอดภัย Ezequiel Fernandez และ Bertin Bervis ได้เปิดเผยช่องโหว่ใหม่บนหลายอุปกรณ์ภายใต้ชื่อ Stringbleed วันนี้ หลังจากทำการ fuzzing ผ่านโปรโตคอล SNMP และพบพฤติกรรมผิดปกซึ่งนำมาสู่การค้นพบช่องโหว่เป็นที่สุด
บนโปรโตคอล SNMPv1 และ SNMPv2 นั้น กระบวนการพิสูจน์ตัวตนเพื่อเข้าถึงข้อมูล MIB จะอาศัยการตรวจสอบค่าที่เรียกว่า community string ที่จะถูกเก็บอยู่ใน SNMP agent ซึ่งหากถูกต้องก็จะสามารถเข้าถึงข้อมูลได้ ช่องโหว่ Stringbleed นำเสนอผลลัพธ์ที่แตกต่างไปจากตามโปรโตคอลเมื่อนักวิจัยด้านความปลอดภัยทางสองคนพบว่าพวกเขา

สามารถใช้ community string ใดๆ ก็ได้เพื่อเข้าถึงข้อมูล MIB หรือพูดได้อีกอย่างว่า พวกเขาพบวิธีในการข้ามผ่านการระบุตัวตนโดย SNMP agent เพื่อเข้าถึงข้อมูลที่เป็นความลับได้
ผลลัพธ์ของการข้ามผ่านการระบุตัวตนทำให้ผู้โจมตีสามารถเขียนข้อมูลลงไปใน MIB ได้ และเข้าถึงข้อมูลอื่นๆ ใน MIB ได้ ผลลัพธ์นี้อาจแตกต่างออกไปในแต่ละอุปกรณ์ซึ่งในเบื้องต้นมีมากกว่า 150 อุปกรณ์ที่อาจได้รับผลกระทบช่องโหว่นี้

การทดสอบช่องโหว่นี้ทำได้ง่ายๆ เพียงแค่ใช้โปรแกรม เช่น snmpget ในการพยายามเข้าถึง MIB พร้อมกับ community string ใดๆ ก็ได้และพยายามดึงข้อมูล หากสามารถเข้าถึงข้อมูลได้ก็อาจสรุปได้ว่าอุปกรณ์มีช่องโหว่
ช่องโหว่ Stringbleed ได้รับรหัส CVE 2017-5135 แล้ว ในเบื้องต้นแนะนำให้ทำการตรวจสอบทุกๆ ทราฟิกที่ผ่านเข้ามาทางโปรโตคอล SNMP และยับยั้งการเข้าถึงหากจำเป็น สำหรับการแก้ไขช่องโหว่ในระยะยาวจำเป็นต้องรอแพตช์จากทางผู้ผลิตอุปกรณ์เท่านั้น

ที่มา: stringbleed

มัลแวร์เรียกค่าไถ่ Mole (ถูกเรียกตามพฤติกรรมการเปลี่ยนนามสกุลหลังเข้ารหัสไฟล์เป็น .Mole) ได้ถูกตรวจพบโดยทีม Unit 42 จาก Palo Alto เมื่อวานที่ผ่านมา

จุดน่าสนใจของ Mole คือวิธีในการแพร่กระจาย Unit 42 ตรวจพบการแพร่กระจายของ Mole ครั้งแรกในลักษณะของอีเมลที่มีลิงค์ไปยังบริการ Microsoft Word แบบปลอมซึ่งจะร้องขอให้ผู้ใช้ติดตั้งปลั๊กอินเพิ่มเติม (มัลแวร์) โดยให้ดาวโหลดจากลิงค์ของ Google Doc
อีกไม่กี่วันต่อมา ผู้ที่อยู่เบื้องหลังการแพร่กระจายได้เปลี่ยนรูปแบบของปลั๊กอินเพิ่มเติมปลอมโดยให้ดาวโหลดเป็นไฟล์ ZIP เพื่อรันจาวาสคริปต์ที่เป็นอันตราย (เป็นลักษณะของมัลแวร์ downloder ชื่อว่า Nemucod) อีกทั้งยังเพิ่มมัลแวร์ Kovter และ Miuref เข้าเป็นส่วนหนึ่งในการแพร่กระจายอีกด้วย

ลักษณะของอีเมลที่ใช้ในการแพร่กระจายจะมีหัวข้อเมล อาทิ ATTENTION REQUIRED, AUTOMATED, IMPORTANT USPS, WARNING โดยมีชื่อผู้ส่งเป็นคำว่า USPS นำหน้า
IOC ของมัลแวร์เรียกค่าไถ่ Mole

ที่มา: researchcenter

Zimperium แจ้งเตือนมัลแวร์บนแอนดรอยด์ FalseGuard คาดว่าติดแล้วกว่า 600,000 ตัว
มัลแวร์ FalseGuard ถูกตรวจพบ(อีกครั้ง) หลังจากที่มันซ่อนตัวอยู่ในแอพกว่า 40 แอพบน Google Play ตั้งแต่เดือนกุมภาพันธ์ทีผ่านมา Zimperium ประเมินว่ามีอุปกรณ์ที่ติดเชื้อแล้วจาก FalseGaurd "เฉพาะรุ่นที่ถูกตรวจพบ" ประมาณ 600,000 รายการ
FalseGuard มีลักษณะคล้ายมัลแวร์บนแอนดรอยด์ทั่วไป โดยมีลักษณะการขอ permission ของเครื่องเป็นจำนวนมาก เมื่อมีการติดตั้งแล้วมันสามารถดาวโหลดโมดูลอื่นๆ เพื่อมาติดตั้งต่อได้

ที่มา : zimperium

ช่องโหว่ในแพ็คเกจ udev เวอร์ชัน 232 บน Linux kernel 4.8.0 ใช้ยกระดับสิทธิ์ได้
นักวิจัยด้านความปลอดภัย Nassim Asrir จากบริษัท Henceforth ได้ประกาศช่องโหว่ยกระดับสิทธิ์เมื่อวันที่ 15 เมษายนที่ผ่านมา โดยช่องโหว่ดังกล่าวเป็นช่องโหว่บนแพ็คเกจ udev เวอร์ชัน 232 ซึ่งถูกติดตั้งมาใน Linux kernel รุ่น 4.8.0 ได้รหัส CVE-2017-7874

udev เป็นซอฟต์แวร์ที่ทำงานอยู่เบื้องหลังโดยมันทำหน้าที่คอยจัดการการส่งข้อมูลจากอุปกรณ์ที่เชื่อมต่อจากเคอร์เนล ช่องโหว่ที่เกิดขึ้นเป็นผลมาจากการที่ udev ไม่ได้ตรวจสอบที่มาของข้อมูลที่ถูกส่งมาทำให้ผู้โจมตีสามารถสร้าง "เหตุการณ์" ปลอมและสั่งให้มีการรันคำสั่งเพื่อยกระดับสิทธิ์ได้

udev ที่พบช่องโหว่เป็นเวอร์ชัน 232 แต่เวอร์ชันที่ต่ำกว่าก็อาจจะได้รับผลกระทบ แนะนำให้ทำการตรวจสอบเวอร์ชันของแพ็คเกจและตรวจสอบแพตช์ด้านความปลอดภัยพร้อมทั้งอัพเดตอย่างสม่ำเสมอ
ที่มา: exploit-db

ช่องโหว่ Ring-Road บนโปรโตรคอลของกูเกิล "QUIC" เผยความยาวของรหัสผ่าน ยังไม่มีการพิสูจน์อย่างแน่ชัด
กลุ่มนักวิจัยจาก Purdue University ได้ออกมานำเสนอช่องโหว่หม่ที่ค้นพบบนโปรโตคอล QUIC ซึ่งเป็นโปรโตคอลที่ถูกพัฒนาโดยกูเกิลและมีการใช้งานอยู่ Chrome และบริการของกูเกิลหลายบริการซึ่งส่งผลให้ผู้โจมตีทราบความยาวของข้อมูลที่เป็นความลับ เช่น รหัสผ่าน ของผู้ใช้งานเมื่อมีการส่งแบบเข้ารหัสได้
อย่างไรก็ตามช่องโหว่นี้ยังคงเป็นที่เคลือบแคลงของหลายๆ คน อันเนื่องมาจากการกล่าวอ้างของผู้ค้นพบที่นำเสนอประเด็นในเรื่องของ "การรั่วไหลของความยาวของรหัสผ่าน" นำไปสู่ "การข้ามผ่านกระบวนการพิสูจน์ตัวตนได้" อีกทั้งยังขาดหลักฐานที่พิสูจน์การมีอยู่ของช่องโหว่อย่างแน่ชัด
นอกเหนือจากนั้นแล้วคำแนะนำจากทีมนักวิจัยของ Purdue University ให้ทำการปิดการใช้งานโปรโตคอล QUIC ก็ไม่ได้ช่วยในการแก้ปัญหาทั้งหมด เนื่องจากบนโปโตรคอล TLS ยังมีช่องโหว่ HTTPS Bicycle Attack ที่ได้ผลลัพธ์ออกมาเป็นความยาว
สุดท้ายแล้วก็คงจะต้องติดตามกันต่อไปว่าแท้จริงแล้วช่องโหว่นี้ถูกค้นพบได้อย่างไร และมีผลที่แท้จริงและเชื่อถือเป็นอย่างไร
ที่มา: ringroadbug

มัลแวร์ TeamSpy ใช้ TeamViewer ในการเข้าควบคุมและสั่งการเครื่องของเหยื่อ Avast ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์ TeamSpy ซึ่งเคยมีการแพร่กระจายครั้งแรกในช่วงปี 2013 โดยมีการแอบติดตั้งโปรแกรม TeamViewer ที่มีการปรับแต่งเอาไว้เพื่อให้เข้าถึงเครื่องที่มีการติดเชื้อภายหลังได้
TeamSpy มีการแพร่กระจายผ่านทางไฟล์เอกสารที่ัฝังมาโครสคริปต์ที่เป็อันตรายเอาไว้ ในกรณีที่มาโครสคริปต์นั้นถูกรัน มันจะทำการดาวโหลดไฟล์ที่มีนามสกุล PNG แต่แท้จริงแล้วเป็นไฟล์โปรแกรมมาติดตั้งบนเครื่องของเหยื่อ
หลังจากมัลแวร์มีการติดตั้งไฟล์ดังกล่าวแล้ว ไฟล์ที่ถูกติดตั้งทั้งหมดจะเป็นไฟล์ของโปรแกรม TeamViewer โดยมีเพียงสองไฟล์ที่ไม่ได้มีการรับรองด้วยลายเซ็นดิจิตอลจาก TeamViewer คือ msimg32.dll และ tvr.

Drupal ออก version 8.2.8 และ 8.3.1 อุดช่องโหว่รุนแรง
Drupal ถือเป็น CMS(Content Management System) ที่ได้รับความนิยมอันดับต้นๆจากทั้งหมด แต่ล่าสุดมีการปล่อย update ออกมาเพื่ออุดช่องโหว่ร้ายแรงทำให้สามารถ bypass การ login ได้ครับ แนะนำ update ด่วน
โดย Drupal ที่ได้รับผบกระทบประมาณ 150,000 เว็บไซด์ โดยเว็บไซด์ที่มีช่องโหว่จะต้องมีคุณสมบัติดังนี้

- Enable RESTFul Web service (rest module)
- อนุญาตให้ใช้ PATCH request
- Attacker สามารถหา user หรือ register user บนเว็บไซด์ที่เป็นเป้าหมายได้

version ที่ได้รับผลกระทบคือ Drupal 8.x < 8.2.8 และ 8.3.1 ครับ ตอนนี้ทาง Drupal ได้ออก version ใหม่เพื่ออุดช่องโหว่เรียบร้อยแล้วครับ
ระบบที่ได้รับผลกระทบ: Drupal 8.x < 8.2.8 และ 8.3.1
ผลกระทบ: Access Bypass (Critical Severity)
วิธีการแก้ไข: Update เป็น Drupal version 8.2.8 หรือ 8.3.1

 

ที่มา: drupal

พบช่องโหว่ 0day ใน Microsoft Office ทำให้เมื่อผู้ใช้ที่เปิดไฟล์ document ที่ฝังโค้ดอันตรายไว้อาจถูกยึดเครื่องได้ แม้เครื่องผู้ใช้จะเป็น Windows 10 ที่ patch ล่าสุดและไม่ได้ enable macro ใน Microsoft Office แล้วก็ตามที
ช่องโหว่ดังกล่าวถูกพบและเปิดเผยโดย McAfee เมื่อวันศุกร์(07/04/2017) ที่ผ่านมา และมีการ confirm ว่าใช้งานได้จริงโดยทางทีม Research ของ FireEye โดยช่องโหว่ดังกล่าวจะเป็นการโจมตีที่ไม่จำเป็นต้องหลอกให้ user เปิดไฟล์พร้อมกับใช้งาน Macro แต่อย่างใด เพียงแค่เปิดไฟล์ใน Microsoft Office ที่มีช่องโหว่ก็สามารถยึดเครื่องได้ทันที โดยช่องโหว่นี้เกี่ยวกับ Windows Object Linking and Embedding (OLE) ซึ่งเป็น feature สำคัญของ Microsoft Office อีกด้วย
สิ่งที่ Hacker ทำคือ Hacker สร้างไฟล์ RTF (Rich Text Format) ขึ้นมา โดยภายในไฟล์นั้นจะฝัง OLE2Link ไว้ เมื่อเปิดไฟล์ด้วยเวิร์ด ส่วนของ OLE จะทำงานทำให้เอกสารมีการติดต่อไปยัง C&C (Command & Control Server) เพื่อ download .hta ไฟล์ลงมา จากนั้นจึงรันไฟล์ .hta นั้นๆ อีกที
ซึ่งทาง McAfee ได้มีการนำเรื่องนี้ให้ Microsoft จัดการปิดช่องโหว่ดังกล่าว ซึ่งก็คงต้องรอต่อไปว่า Microsoft จะออก patch เมื่อไหร่ครับ ตอนนี้สิ่งที่ทำได้คือการป้องกันโดยการเปิดไฟล์ในลักษณะ Protected View ไปก่อน

ที่มา : HELPNETSECURITY

Cisco Talos แจ้งเตือนผู้ใช้งานในเกาหลีใต้หลังตรวจพบการโจมตีด้วย RAT ภายใต้ชื่อ ROKRAT
Cisco Talos ออกประกาศแจ้งเตือนผู้ใช้งานในเกาหลีใต้อีกครั้งหลังจากพบอัตราการเพิ่มขึ้นของ RAT หลังจากเคยมีการตรวจพบมาก่อนแล้วในเดือนกุมภาพันธ์ที่ผ่านมาซึ่งเคยมีการใช้เว็บไซต์ของหน่วยงานรัฐบาลในการแพร่กระจายมัลแวร์
การโจมตีครั้งล่าสุดที่ Cisco Talos มีการเผยแพร่เมื่อวันจันทร์นั้นได้มีการอธิบายว่าผู้โจมตียังคงอาศัยวิธีในการแพร่กระจายผ่านทางลักษณะของอีเมลที่มีไฟล์แนบเป็นไฟล์เอกสารของ Hangul Word Processor (HWP) ซึ่งมีการฝังเป็นโปรแกรม RAT ชื่อว่า ROKRAT และมีการใช้ช่องโหว่ของ PostScript (CVE-2013-0808) ในการปกปิดโปรแกรม RAT และสั่งการให้โปรแกรม RAT ทำงานอีกด้วย ROKRAT เมื่อมีการแพร่กระจายไปสู่ระบบของผู้ใช้งานจะมีการใช้ Twitter, Yandex และ Mediafire เป็นเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมรวมไปถึงรอรับไฟล์ที่ผู้โจมตีจะขโมยออกมาซึ่งส่งผลให้เป็นเรื่องยากที่จะมีการบล็อคบริการเหล่านี้ ROKRAT ยังมีความสามารถในการถ่ายภาพหน้าจอเพื่อเก็บข้อมูล ดักการพิมพ์ผ่านคีย์บอร์ดและการป้องกันตัวเองเมื่อถูกตรวจสอบโดยการใช้ sandbox หรือเมื่อถูกดีบั๊กเพื่อทำการวิเคราะห์อีกด้วย

ข้อมูลเพิ่มเติมสำหรับการป้องกัน รวมไปถึงค่าแฮชของมัลแวร์และพฤติกรรมอื่นๆ สามารถตรวจสอบได้จากลิงค์ที่มาของ Cisco Talos

ที่มา : theregister,Cisco Talos