รายงานช่องโหว่ของซีพียูอินเทลตั้งแต่ปี 1997 เป็นต้นมาทำให้แฮกเกอร์สามารถสร้าง rootkit ฝังตัวไว้ในเครื่องของเหยื่อที่ระดับต่ำกว่าระบบปฏิบัติการ โดยนักวิจัย Christopher Domas นำเสนอช่องโหว่นี้ในงาน Black Hat

ระดับความปลอดภัย System Management Mode (SMM) ซึ่งเป็นระดับลึกที่สุดของซีพียู ลึกกว่าชั้น hypervisor ที่มีไว้สำหรับสร้างเครื่องจำลอง

เมื่อมัลแวร์สามารถเข้าไปรันที่ระดับความปลอดภัยนี้ได้ ระบบปฏิบัติการจะไม่รู้ตัวว่ามีซอฟต์แวร์รันอยู่บนซีพียูเดียวกัน ที่ระดับความปลอดภัยนี้แฮกเกอร์สามารถเขียนไบออสและ UEFI ใหม่ ทำให้เครื่องบูตไม่ขึ้นหรืออาจจะทำให้ติดมัลแวร์ทุกครั้งหลังล้างเครื่องใหม่

นักวิจัยระบุว่า อินเทลน่าจะรู้ช่องโหว่นี้ก่อนแล้วเพราะซีพียูรุ่นใหม่ๆ แก้ไขช่องโหว่นี้แล้ว และมีเฟิร์มแวร์ส่งไปให้กับผู้ผลิตเมนบอร์ด แต่ก็ไม่ใช่ทุกรุ่นที่จะแพตช์ได้ อย่างไรก็ดีแฮกเกอร์จะเข้าถึงช่องโหว่นี้ได้จะต้องเจาะระบบปฏิบัติการได้เสียก่อน

ที่มา : PCWorld

บริษัทความปลอดภัย Malwarebytes รายงานว่าในรอบสัปดาห์ที่ผ่านมา (นับตั้งแต่ 28 ก.ค.) มีแฮกเกอร์ใช้เครือข่ายโฆษณาของ Yahoo เผยแพร่มัลแวร์ครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์วงการไอที
Malwarebytes ตรวจสอบพบว่าแฮกเกอร์รายนี้เช่าเซิร์ฟเวอร์ Azure บวกกับเซิร์ฟเวอร์ของตัวเอง แล้วลงโฆษณาผ่านระบบของ Yahoo ให้อยู่ในรูปไฟล์ Flash โดยฝังโค้ดประสงค์ร้ายไว้ในโฆษณา ถ้าหากผู้ใช้ที่โชคร้ายเปิดมาพบโฆษณาชุดนี้ และ Flash Player ในเครื่องไม่ได้อัพเดตเป็นเวอร์ชั่นล่าสุด ก็จะโดนเจาะผ่านช่องโหว่ของ Flash ทันที
ความร้ายแรงของการแพร่มัลแวร์รอบนี้อาศัยช่องโหว่ที่ผู้ใช้จำนวนมากไม่ยอมอัพเดต Flash บวกกับเครือข่ายโฆษณาของ Yahoo ที่เข้าถึงเว็บใหญ่ๆ เป็นจำนวนมาก ทำให้มีคนที่ได้รับผลกระทบในวงกว้าง
โฆษณาที่ว่านี้แสดงเป็นเวลานานประมาณ 1 สัปดาห์ หลังจากที่ Malwarebytes พบเข้าจึงแจ้งไปยัง Yahoo และบริษัทก็สั่งปิดโฆษณาทันที

ที่มา : The New York Times

รายงานช่องโหว่ Ceriti-Gate ที่เป็นช่องโหว่ของซอฟต์แวร์ซัพพอร์ตลูกค้าจากระยะไกล (mobile remote support tools - mRSTs) ที่สามารถเข้าควบคุมเครื่องได้แทบทุกรูปแบบ ทั้งการสั่งติดตั้งแอพพลิเคชั่น, จับภาพหน้าจอ, ควบคุมอินพุต ซึ่งแอพพลิเคชั่นเหล่านี้แบ่งออกเป็น 2 ส่วน คือแอพหลักและปลั๊กอิน โดยแอพหลักจะใช้สิทธิ์ไม่ต่างจากแอพทั่วๆ ไป แต่ส่วนปลั๊กอินจะมีสิทธิระดับลึกกว่า ซึ่งจะได้รับการรับรองจากผู้ผลิตโดยตรงทำให้เข้าถึงฟังก์ชั่นที่ปกตินักพัฒนาทั่วไปเข้าถึงไม่ได้ เมื่อผู้ใช้ติดตั้งแอพหลัก ตัวปลั๊กอินมักตรวจสอบแอพหลักว่ามาจากผู้ผลิตที่ถูกต้องหรือไม่ ทีมวิจัยพบว่าปลั๊กอินหลายตัวมีกระบวนการตรวจสอบผู้ผลิตที่หละหลวม ทำให้แฮกเกอร์สามารถปลอมตัวเพื่อหลอกปลั๊กอินได้โดยง่าย

ทีมวิจัยรายงานถึงผู้ผลิต 3 รายที่มีช่องโหว่ในกระบวนการตรวจสอบแอพหลัก ได้แก่ TeamViewer, RSupport และ CommuniTake

TeamViewer อาศัยหมายเลขซีเรียลของใบรับรอง ทำให้แฮกเกอร์สามารถสร้างแอพปลอมที่ใช้ใบรับรองที่สร้างขึ้นเองและมีหมายเลขซีเรียลตรงกัน
RSupport อาศัยค่าแฮชของใบรับรอง แต่ฟังก์ชั่นแฮชกลับอ่อนแอ ขนาดค่าแฮชมีขนาดเพียง 32 บิต
CommuniTake คอนฟิกเซิร์ฟเวอร์ที่ใช้เชื่อมต่อผ่านทาง SMS ทำให้ผู้ผลิตสามารถส่ง SMS มาบอกให้แอพเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ได้ โดยล็อกว่าโดเมนระดับบนสุดต้องเป็นโดเมนของ CommuniTake เอง แต่ตัวอ่าน URL มีบั๊กทำให้แฮกเกอร์สามารถส่ง SMS หลอกเพื่อให้ตัวแอพเชื่อมต่อไปยังเครื่องใดๆ ก็ได้

โทรศัพท์ยี่ห้อหลักๆ หลายรุ่นติดตั้งแอพพลิเคชั่นเหล่านี้มาจากโรงงานทำให้จำนวนอุปกรณ์ที่ได้รับผลกระทบมีสูงถึงหลายล้านเครื่อง

ที่มา : blognone

มีรายงานพบช่องโหว่ของ BIND ซอฟต์แวร์โอเพนซอร์สสำหรับสร้าง DNS Server ทำให้สามารถยิง DoS ให้เซิร์ฟเวอร์แครชได้ ซึ่งช่องโหว่นี้เกิดจากความผิดพลาดของ BIND ในการจัดการคิวรีประเภท TKEY ที่พบได้ไม่บ่อยนักซึ่งเป็นอันตราย

บริษัทความปลอดภัย Sucuri รายงานว่าพบการยิง DoS ถล่มเซิร์ฟเวอร์ BIND แล้ว

ทีม Internet Systems Consortium (ISC) ผู้ดูแลโครงการ BIND ได้ออกแพตช์แก้มาตั้งแต่สัปดาห์ที่แล้ว แนะนำให้ผู้ดูแลเซิร์ฟเวอร์ BIND อัพเดตแพ็กเกตด่วน

ที่มา : blognone

Trend Micro รายงานการทำงานของ RCSAndroid ซอฟต์แวร์ดักฟังแบบเจาะลึกจาก Hacking Team ที่หลุดออกมาพร้อมเอกสารที่แสดงให้เห็นว่ากระบวนการเจาะระบบสำหรับแอนดรอยด์แบ่งออกเป็นสี่ส่วน ได้แก่ การเจาะระบบ, ซอฟต์แวร์ระดับล่างที่เป็น native code, ซอฟต์แวร์ระดับสูงของจาวา, และเซิร์ฟเวอร์ควบคุมสั่งการ

กระบวนการเจาะระบบเข้าไปยังเครื่องของเหยื่อ วิธีแรกคือ การส่ง URL ที่ผู้ไม่หวังดีสร้างขึ้นมา ไปยังเป้าหมายผ่านทาง SMS หรืออีเมล ซึ่ง URL เหล่านี้เมื่อถูกส่งไปยังเครื่องของเหยื่อแล้ว เครื่องจะถูกเจาะเพื่อเข้าไปดาวน์โหลดแอพพลิเคชั่นหลักเข้ามาติดตั้ง

วิธีที่สอง คือ การเจาะระบบด้วยการหลอกให้เหยื่อติดตั้งแอพพลิเคชั่น ANDROIDOS_HTBENEWS.A ซึ่งได้รับการออกแบบมาเพื่อหลีกเลี่ยง Google Play เมื่อเจาะสำเร็จแล้วก็จะดาวน์โหลดมัลแวร์มาติดตั้ง ซึ่งมัลแวร์นั้นถูกสร้างขึ้นมาจาก RCS Console เป็นไฟล์ APK

ข้อมูลล่าสุดของ RCSAndroid ระบุว่า ช่องโหว่ดังกล่าวสามารถส่งผลกระทบถึง Android 4.4.4 โดยทาง Hacking Team กำลังพัฒนาเวอร์ชั่นใหม่เพื่อรองรับ Android 5.0 ขึ้นไป

ที่มา : TRENDMICRO

นักวิจัยของ Zimperium ประกาศข่าวเรื่องการค้นพบช่องโหว่ชื่อว่า “Stagefright” ซึ่งเป็นช่องโหว่ในระบบปฏิบัติการ Android ที่ผู้ไม่หวังดีสามารถเจาะเข้าตัวเครื่องได้ผ่านทาง Message ด้วยการส่ง MMS ซ่อนมัลแวร์มาหลอกผู้ใช้
มัลแวร์ชนิดนี้ จะถูกส่งมาในรูปแบบของ MMS ซึ่งถ้าหากผู้ใช้ตั้งค่าการเปิดอ่านข้อความ ผ่านทางแอพฯ Message ที่มากับตัวเครื่อง จะยังไม่ทำอันตรายใดๆ กับตัวเครื่องถ้าหากยังไม่เปิดอ่าน แต่ถ้าหากผู้ใช้เลือกเปิดอ่านข้อความผ่านทางแอพฯ Hangouts มัลแวร์นี้จะเข้าเจาะระบบในเครื่องทันที แม้ว่าจะไม่ได้อ่านข้อความ MMS นั้นก็ตาม
Google เองรู้ตัวเกี่ยวกับช่องโหว่อันนี้แล้ว แต่การที่จะอุดช่องโหว่นี้ได้ ก็ต้องรอให้ผู้ผลิตสมาร์ทโฟน Android เป็นผู้ปล่อยอัพเดตเฟิร์มแวร์กันเอง โดยจนถึงขณะนี้ Zimperium ยืนยันว่ามีเพียงแค่ Nexus 6 และ Blackphone เท่านั้นที่มีการปิดช่องโหว่นี้เรียบร้อยแล้ว และได้แต่หวังว่าค่ายมือถือ Android แต่ละรายจะรีบปล่อยเฟิร์มแวร์ให้อัพเดตปิดช่องโหว่นี้โดยเร็วที่สุด

ที่มา : engadget

ผู้เชี่ยวชาญจาก Kaspersky ตรวจพบโทรจัน ransomware ชื่อ TeslaCrypt เวอร์ชั่น 2.0 เน้นการโจมตีคอมพิวเตอร์ของเกมเมอร์ ซึ่งมีเป้าหมายที่ไฟล์เกมต่างๆ เช่น ประวัติของผู้เล่น, บันทึกการเล่นเกม เป็นต้น แต่จะไม่เข้ารหัสไฟล์ที่มีขนาดเกิน 268 MB เมื่อเข้ารหัสไฟล์ข้อมูล ผู้โจมตีจะเรียกค่าไถ่เป็นเงิน 500$ เพื่อถอดรหัสไฟล์ หากล่าช้าจะขึ้นค่าไถ่เป็น 2 เท่า โดยจะแสดงเป็นข้อความที่หน้า HTML ในเว็บเบราเซอร์ ซึ่งลอกเลียนมาจาก ransomware ที่ชื่อ CryptoWall 3.0 การระบาดนี้รุกลามทั่วสหรัฐอเมริกา, เยอรมนี, สเปน, อิตาลี, ฝรั่งเศส และสหราชอาณาจักร
การทำงานของมันคือ เมื่อ TeslaCrypt แพร่เชื้อไปยังเหยื่อรายใหม่ จะสร้างบัญชี Bitcoin ขึ้นเพื่อรอรับเงินค่าไถ่และรหัสเพื่อถอนเงิน
ผู้เชี่ยวชาญตรวจพบว่า โปรแกรมจากมัลแวร์ตระกูล TeslaCrypt แพร่กระจายผ่าน exploit kit ที่ชื่อ Angler, Sweet Orange และ Nuclear ด้วยกลไกการแพร่กระจายนี้ เหยื่อจะเข้าเว็บไซต์ที่ติดเชื้อ โค้ดของมัลแวร์จะใช้ช่องโหว่ที่เว็บเบราเซอร์และปลั๊กอิน เพื่อติดตั้งมัลแวร์ที่เครื่องคอมพิวเตอร์

ที่มา : securelist

Charlie Miller และ Chris Valasek นักวิจัยด้านความปลอดภัยเตรียมเปิดเผยช่องโหว่ของรถยนต์ Chrysler ที่ติดตั้งระบบ Uconnect ระบบคอมพิวเตอร์เพื่อให้บริการด้านความบันเทิง, ระบบนำทาง, ระบบแนะนำการขับอย่างประหยัดน้ำมัน
นักวิจัยทั้งสองคนสามารถเจาะเข้าไปแก้ไขเฟิร์มแวร์ของ Uconnect ให้ส่งคำสั่งเข้าไปยังระบบควบคุมรถผ่าน CAN bus ได้สำเร็จ ทำให้สามารถเข้าควบคุมความเร็วรถ และเป็นไปได้ว่าจะควบคุมพวงมาลัย ซึ่งความน่ากลัวของช่องโหว่นี้คือระบบ Uconnect นั้นเชื่อมต่ออินเทอร์เน็ตผ่านเครือข่ายโทรศัพท์มือถือ ทำให้แฮกเกอร์ควบคุมรถจากระยะไกลหลายกิโลเมตร
ทาง Chrysler รับทราบปัญหานี้และออกแพตช์แก้ไขออกมาแล้วตั้งแต่วันที่ 16 ที่ผ่านมา หลังจากนักวิจัยทั้งสองรายงานช่องโหว่ไปยังบริษัทเกือบเก้าเดือน ปัญหาคือแพตช์นี้จะต้องอัพเดตผ่าน USB หรือเข้าศูนย์เท่านั้น ซึ่งนักวิจัยทั้งสองจะเปิดเผยช่องโหว่ในงาน Black Hat 2015 วันที่ 5-6 สิงหาคมนี้

ที่มา : wired

นักวิจัยด้านความปลอดภัยของ ESET ผู้ผลิต Antivirus ชื่อดังอย่าง NOD32 ออกเตือนผู้เล่นเกมส์ หลังพบมัลแวร์ที่แฝงในเกมส์บน Play Store อย่างเกมส์ “Cowboy Adventure” และ “Jump Chess” บนมือถือ Android ซึ่งทั้ง 2 เกมนี้ จะแสดงหน้าต่าง Login ปลอมของ facebook ให้ผู้เล่นเกมได้กรอก username และ password ถ้าหลงกรอกไปแล้วจะส่งข้อมูลไปยัง Server ของผู้ไม่หวังดี ซึ่งแค่ 2 เกมส์นี้มียอดดาวน์โหลดติดตั้ง รวม 1 ล้านครั้งแล้ว
ล่าสุดแอป เกมส์ “Cowboy Adventure” และ “Jump Chess” ถูกถอดออกจาก Play Store เรียบร้อยแล้ว

ที่มา: thehackernews

TeslaCrypt มัลแวร์เรียกค่าไถ่ที่ระบาดหนักอีกตัวหนึ่ง เริ่มมีรุ่นใหม่ออกมาเป็นรุ่น 2.0 ซึ่งทาง Kaspersky รายงานว่ามีความเปลี่ยนแปลงที่เห็นได้ชัดหลายอย่าง

ประเด็นแรกที่เปลี่ยนคือหน้าจอแจ้งผู้ใช้ว่าตกเป็นเหยื่อของการเรียกค่าไถ่ จากเดิมเป็น GUI ของวินโดวส์ธรรมดา รุ่นใหม่นี้จะเป็นไฟล์ HTML แล้วเรียกเบราว์เซอร์ขึ้นมาแจ้งผู้ใช้ ที่น่าแปลกใจคือหน้าเว็บนี้เอามาจาก มัลแวร์อีกตัวคือ CryptoWall 3.0 ทั้งหมด ยกเว้น URL จ่ายเงินที่เป็นของ TeslaCrypt เอง นอกจากหน้าเว็บแล้ว กระบวนการเข้ารหัสภายในยังเปลี่ยนแปลงไป โดยใช้กระบวนการ secp256k1 และ ECDH แต่เครื่องของเหยื่อจะมีกุญแจหลัก master_btc_priv สำหรับถอดรหัสทุกไฟล์ และผู้ควบคุมมัลแวร์ใส่กุญแจสาธารณะ malware_pub ไว้ในตัวมัลแวร์ หากมีกุญแจลับ malware_priv ก็จะถอดรหัสของเหยื่อทุกคนได้ นอกจากนี้ master_btc_priv ยังเป็นกุญแจสำหรับถอนเงินออกจากบัญชี Bitcoin ที่เหยื่อจ่ายอีกด้วย ซึ่งจุดสำคัญคือ ในรุ่น 2.0 นี้ไม่มีไฟล์ key.