Microsoft ได้เผยแพร่การอัปเดต Patch Tuesday ประจำเดือนกุมภาพันธ์ 2024 โดยประกอบไปด้วยช่องโหว่ 73 รายการ และ Zero-Day 2 รายการที่กำลังถูกใช้ในการโจมตี

โดย Patch Tuesday ครั้งนี้จะแก้ไขช่องโหว่ระดับ Critical 5 รายการ ได้แก่ ช่องโหว่การปฏิเสธการให้บริการ (Denial of service), ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote code execution), ช่องโหว่การเปิดเผยข้อมูล (Information disclosure) และช่องโหว่การยกระดับสิทธิ์ (Privilege escalation)

จำนวนช่องโหว่ในแต่ละหมวดหมู่มีดังต่อไปนี้ :

16 ช่องโหว่การยกระดับสิทธิ์ (Privilege scalation)
3 ช่องโหว่การหลีกเลี่ยงคุณลักษณะด้านความปลอดภัย (Security feature bypass)
30 ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote code execution)
5 ช่องโหว่ในการเปิดเผยข้อมูล (Information disclosure)
9 ช่องโหว่การปฏิเสธการให้บริการ (Denial of service)
10 ช่องโหว่ของการปลอมแปลง (Spoofing)

จำนวนช่องโหว่ทั้งหมด 73 รายการ ยังไม่รวมช่องโหว่ของ Microsoft Edge 6 รายการที่ถูกแก้ไขไปแล้วเมื่อวันที่ 8 กุมภาพันธ์ 2024 และช่องโหว่ Mariner อีก 1 รายการ

การแก้ไขช่องโหว่ Zero-Day

รวมถึง Patch Tuesday ประจำเดือนกุมภาพันธ์ 2024 ยังได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day 2 รายการ ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

CVE-2024-21351 - Windows SmartScreen Security Feature Bypass Vulnerability (คะแนน CVSS 7.6/10 ความรุนแรงระดับ High) เป็นช่องโหว่ที่ทำให้สามารถหลีกเลี่ยงการตรวจสอบความปลอดภัยของ SmartScreen ได้ โดย Hacker จะต้องส่งไฟล์ที่เป็นอันตรายให้กับผู้ใช้งาน และโน้มน้าวให้มีการเปิดใช้งาน ซึ่งช่องโหว่ดังกล่าวถูกค้นพบโดย Eric Lawrence จาก Microsoft

CVE-2024-21412 - Internet Shortcut Files Security Feature Bypass Vulnerability (คะแนน CVSS 8.1/10 ความรุนแรงระดับ High) เป็นช่องโหว่ที่ทำให้สามารถหลีกเลี่ยงคำเตือน Mark of the Web (MoTW) ใน Windows โดย Hacker ผู้โจมตีสามารถส่งไฟล์ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งออกแบบมาเพื่อหลีกเลี่ยงการตรวจสอบความปลอดภัยให้กับผู้ใช้งานที่เป็นเป้าหมายได้ แต่ผู้ใช้จำเป็นต้องคลิกที่ลิงก์ หรือเปิดไฟล์นั้นด้วยตนเอง ช่องโหว่ดังกล่าวถูกค้นพบโดย Zero Day Initiative ของ Trend Micro รวมถึงได้เผยแพร่รายงานการค้นพบกลุ่ม APT DarkCasino (Water Hydra) กำลังนำช่องโหว่ดังกล่าวไปใช้ในแคมเปญที่กำหนดเป้าหมายการโจมตีไปยัง financial trader

ทั้งนี้ทาง Microsoft ไม่ได้ให้รายละเอียดเกี่ยวกับวิธีการใช้ประโยชน์จากช่องโหว่ CVE-2024-21351 และ CVE-2024-21351 ในการโจมตี

การออกอัปเดตของผู้ให้บริการรายอื่น ๆ

นอกจากนี้ผู้ให้บริการรายอื่น ๆ ยังได้เผยแพร่การอัปเดต หรือคำแนะนำในเดือนกุมภาพันธ์ 2024 ได้แก่ :

Adobe ได้เปิดตัวอัปเดตด้านความปลอดภัยสำหรับ Commerce, Substance 3D Painter, Acrobat และ Reader และอื่น ๆ
Cisco ได้เปิดตัวการอัปเดตความปลอดภัย สำหรับผลิตภัณฑ์หลายรายการ
ExpressVPN ออกอัปเดตเวอร์ชันใหม่ เพื่อลบฟีเจอร์ split-tunneling หลังจากรั่วไหลของ DNS queries
Fortinet เปิดตัวการอัปเดตความปลอดภัยสำหรับช่องโหว่ RCE ใน FortiOS SSL VPN ที่กำลังถูกใช้ในการโจมตี และช่องโหว่ RCE สองรายการใน FortiSIEM
Google ออกอัปเดตความปลอดภัยของ Android ในเดือนกุมภาพันธ์ 2024
Ivanti เปิดตัวการอัปเดตความปลอดภัย สำหรับช่องโหว่ Connect Secure authentication bypass ตัวใหม่
JetBrains เปิดตัวการอัปเดตความปลอดภัยสำหรับช่องโหว่ authentication bypass ใน TeamCity On-Premises ที่มีความรุนแรงระดับ critical
Linux distros เปิดตัวการอัปเดตความปลอดภัยสำหรับช่องโหว่การเรียกใช้โค้ด Shim bootloader ใหม่
Mastodon เปิดตัวการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ที่ทำให้Hacker สามารถเข้ายึดบัญชีจากระยะไกลได้
SAP ได้เผยแพร่การอัปเดต Patch Day ประจำเดือนกุมภาพันธ์ 2024

ที่มา :
https://www.

CISA ออกมาแจ้งเตือนการพบช่องโหว่ Roundcube email server ที่ได้รับการแก้ไขไปแล้วในเดือนกันยายน 2023 กำลังถูก Hacker นำมาใช้ในการโจมตีแบบ cross-site scripting (XSS) อยู่ในปัจจุบัน

CVE-2023-43770 (คะแนน CVSS 6.1/10 ความรุนแรงระดับปานกลาง) เป็นช่องโหว่ cross-site scripting (XSS) ซึ่งช่วยให้ Hacker สามารถเข้าถึงข้อมูลที่ถูกจำกัดผ่านทาง plain/text ลิงก์ที่ออกแบบมาเพื่อการโจมตีโดยเฉพาะ รวมถึงมีความซับซ้อนในการโจมตีต่ำ ซึ่งยังต้องอาศัยการโต้ตอบจากผู้ใช้งาน โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Roundcube email server เวอร์ชันใหม่กว่า 1.4.14, 1.5.x เวอร์ชันก่อน 1.5.4 และ 1.6.x เวอร์ชันก่อน 1.6.3

แม้ว่า CISA จะยังไม่ได้ออกมาให้รายละเอียดเพิ่มเติม แต่ก็ได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities Catalog (KEV) หรือช่องโหว่ที่กำลังถูกใช้ในการโจมตี รวมถึง CISA ยังสั่งให้หน่วยงาน US Federal Civilian Executive Branch (FCEB) เร่งทำการอัปเดต Roundcube email server จากช่องโหว่ดังกล่าวภายในวันที่ 4 มีนาคม 2024

แม้ว่า KEV จะมีวัตถุประสงค์หลักคือให้หน่วยงานรัฐบาลกลางจัดการช่องโหว่ที่จำเป็นต้องได้รับการแก้ไขโดยเร็วที่สุด แต่หน่วยงานเอกชนก็ควรที่จะทำการแก้ไขช่องโหว่ด้วยเช่นเดียวกัน

ปัจจุบัน Shodan พบว่ามี Roundcube email server มากกว่า 132,000 server ที่เข้าถึงได้ทางอินเทอร์เน็ต แต่ยังไม่มีข้อมูลรายการที่มีความเสี่ยงต่อช่องโหว่ CVE-2023-43770

นอกจากนี้ยังมีช่องโหว่ Roundcube อีกรายการ ซึ่งเป็นช่องโหว่ cross-site scripting (XSS) CVE-2023-5631 ที่กำลังถูกกลุ่ม Hacker ชาวรัสเซีย Winter Vivern (TA473) ใช้ในการโจมตีเป้าหมายมาตั้งแต่วันที่ 11 ตุลาคม 2023

กลุ่ม TA473 ใช้ข้อความ HTML email ที่มี SVG document ที่เป็นอันตราย ซึ่งออกแบบมาเพื่อแทรกโค้ด JavaScript จากระยะไกล ทั้งนี้พบการโจมตีดังกล่าวในเดือนตุลาคม 2023 โดยการขโมยอีเมลจาก Roundcube email server ซึ่งเป็นหน่วยงานภาครัฐ และสถาบันวิจัยในยุโรป รวมถึงกลุ่ม TA473 ใช้ประโยชน์จากช่องโหว่ CVE-2020-35730 (Roundcube XSS) ในการโจมตีระหว่างเดือนสิงหาคมถึงกันยายน 2023 และ CVE-2022-27926 (XSS) ในต้นปี 2023 เพื่อกำหนดเป้าหมายการโจมตีไปยังประเทศในกลุ่ม NATO และขโมยอีเมลที่เป็นของรัฐบาล เจ้าหน้าที่ และบุคลากรทางทหารของ NATO

นอกจากนี้ช่องโหว่ที่กล่าวมาข้างต้นยังถูกกลุ่ม APT28 ซึ่งเป็น Hacker ชาวรัสเซียซึ่งเป็นส่วนหนึ่งของ General Staff Main Intelligence Directorate (GRU) ของรัสเซีย ใช้เพื่อโจมตี Roundcube email server ที่เป็นของรัฐบาลยูเครนอีกด้วย

ที่มา : bleepingcomputer

นักวิจัยจาก Bitdefender พบมัลแวร์ตัวใหม่บน macOS ที่ถูกเขียนด้วยภาษา Rust ทำให้สามารถทำงานบนสถาปัตยกรรม Intel (x86_64) และ ARM (Apple Silicon) ในชื่อ “RustDoor” กำลังแพร่ระบาด โดยปลอมเป็นตัวอัปเดตของ Visual Studio เพื่อเข้าถึงระบบที่ถูกโจมตี โดยพบว่ามีการใช้โครงสร้างพื้นฐานที่เชื่อมโยงกับกลุ่ม ALPHV/BlackCat ransomware ซึ่งพบว่าได้เริ่มแคมเปญการส่ง backdoor มาตั้งแต่เดือนพฤศจิกายน 2023 จนถึงปัจจุบัน (more…)

มัลแวร์ Raspberry Robin เวอร์ชันล่าสุดนั้นสามารถซ่อนตัวได้ดีกว่าเดิม และอันตรายมากขึ้นด้วยการโจมตีแบบ one-day exploits กับระบบที่ไม่ได้มีการป้องกันอย่างดีพอ

One-day exploits หมายถึง exploits code ที่ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่เพิ่งถูกค้นพบ และผู้พัฒนาซอฟต์แวร์เพิ่งออกแพตช์แก้ไขไปได้ไม่นาน โดยที่การแก้ไขนั้นยังไม่ได้ถูกเผยแพร่ไปยังผู้ใช้งานทุกคน หรือยังไม่ได้ถูกติดตั้งบนระบบที่มีช่องโหว่ทั้งหมด

โดยนับตั้งแต่ที่ผู้พัฒนาเปิดเผยช่องโหว่ พร้อมกับการเผยแพร่แพตช์เพื่อแก้ไขช่องโหว่ ผู้ไม่หวังดีก็จะรีบสร้างโค้ดสำหรับการโจมตี เพื่อใช้โจมตีก่อนที่การอัปเดตแพตช์จะถูกเผยแพร่ไปยังระบบต่าง ๆ ที่มีช่องโหว่ (more…)

Ivanti แจ้งเตือนช่องโหว่ authentication bypass ใหม่ ที่ส่งผลกระทบต่อ Connect Secure, Policy Secure และ ZTA gateway โดยแนะนำให้ผู้ดูแลระบบทำการอัปเดตเพื่อป้องกันช่องโหว่ทันที

CVE-2024-22024 (คะแนน CVSS 8.3/10 ความรุนแรงระดับ High) เป็นช่องโหว่ XXE (XML eXternal Entities) ใน SAML component ของ gateway ที่ทำให้สามารถเข้าถึงทรัพยากรที่ถูกจำกัดบนอุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล และมีความซับซ้อนในการโจมตีต่ำ รวมถึงไม่ต้องการการโต้ตอบ หรือการยืนยันตัวตนจากผู้ใช้ โดย Ivanti ระบุว่าขณะนี้ยังไม่พบหลักฐานการโจมตีโดยใช้ช่องโหว่ดังกล่าว (more…)

CISA ออกมาแจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่การเรียกใช้คำสั่งจากระยะไกล (RCE) ความรุนแรงระดับ Critical ที่ได้รับการแก้ไขไปแล้วในวันที่ 8 กุมภาพันธ์ 2024 จากทาง Fortinet

CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยใช้ HTTP request ที่ออกแบบมาเพื่อการโจมตีโดยเฉพาะ

Fortinet แนะนำว่าหากผู้ดูแลระบบยังไม่สามารถทำการการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ได้ในทันที สามารถป้องกันการโจมตีจากช่องโหว่ดังกล่าวชั่วคราวได้โดยการปิดใช้งาน SSL VPN บนอุปกรณ์ไปก่อน โดยขณะนี้ทาง Fortinet ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลของช่องโหว่ดังกล่าว

การประกาศของ CISA เกิดขึ้นหนึ่งวันหลังจากที่ Fortinet เผยแพร่การอัปเดตช่องโหว่ดังกล่าว โดยระบุว่ามีความเป็นไปได้ที่ช่องโหว่ CVE-2024-21762 จะถูกนำไปใช้ในการโจมตีแล้ว รวมถึงได้เพิ่มช่องโหว่ดังกล่าวไปยังรายการ Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่พบว่าถูกใช้ในการโจมตีอยู่ในปัจจุบัน

รวมถึง CISA ได้แจ้งเตือนให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทำการอัปเดตอุปกรณ์ FortiOS ภายในเจ็ดวัน ให้เสร็จสิ้นภายในวันที่ 16 กุมภาพันธ์ 2024 โดยคำสั่งการปฏิบัติงานที่มีผลผูกพัน (BOD 22-01) ที่ออกมาในเดือนพฤศจิกายน 2021

การประกาศช่องโหว่อื่น ๆ ของ Fortinet

นอกจากนี้ทาง Fortinet ยังได้แก้ไขช่องโหว่ RCE ที่สำคัญอีก 2 รายการ (CVE-2024-23108 และ CVE-2024-23109) ในโซลูชัน FortiSIEM ในสัปดาห์เดียวกัน ซึ่งในตอนแรกทาง Fortinet ได้ปฏิเสธช่องโหว่ดังกล่า วและอ้างว่าเป็นช่องโหว่ที่ซ้ำกันกับ CVE-2023-34992 ซึ่งได้รับการแก้ไขไปแล้วในเดือนตุลาคม 2023 แต่ทาง Zach Hanley ผู้เชี่ยวชาญด้านช่องโหว่ Horizon3 ซึ่งเป็นผู้ที่ค้นพบ และรายงานช่องโหว่ดังกล่าวได้รายงานว่าช่องโหว่ CVE 2 รายการที่เพิ่งค้นพบนั้นแตกต่างจากช่องโหว่เดิมของ CVE-2023-34992 เนื่องจาก Hacker ที่ไม่จำเป็นผ่านการยืนยันตัวตนจากภายนอก สามารถใช้ช่องโหว่เหล่านี้เพื่อเรียกใช้คำสั่งบนอุปกรณ์ที่มีช่องโหว่ได้

ทั้งนี้แนะนำให้ผู้ดูแลระบบทำการอัปเดตอุปกรณ์ Fortinet ทั้งหมดโดยเร็วที่สุดในทันที เนื่องจากช่องโหว่ของ Fortinet ซึ่งส่วนใหญ่เป็น zero-day มักตกเป็นเป้าหมายการโจมตีของเหล่า Hacker เพื่อเข้าถึงเครือข่ายองค์กรเพื่อโจมตีด้วยแรนซัมแวร์ และขโมยข้อมูลออกไป

ที่มา : bleepingcomputer

การแพร่กระจายของ XPhase Clipper ตัวใหม่ผ่านเว็บไซต์ Cryptocurrency ปลอม และวิดีโอบน YouTube

Cyble วิเคราะห์ Clipper ตัวใหม่ชื่อ 'XPhase' ซึ่งมีเป้าหมายไปที่ผู้ใช้ Cryptocurrency และจะแพร่กระจายผ่านเว็บไซต์ปลอม และวิดีโอบน Youtube

(more…)

กลุ่ม Hacker ในชื่อ 'ResumeLooters' ได้ขโมยข้อมูลส่วนบุคคลของผู้สมัครงานมากกว่าสองล้านรายการ หลังการโจมตีเว็บไซต์หางาน และเว็บไซต์ค้าปลีก 65 แห่ง โดยใช้การโจมตีแบบ SQL injection และ Cross-site Scripting (XSS)

โดยกลุ่ม ResumeLooters มุ่งเน้นการโจมตีไปที่ภูมิภาค APAC เป็นหลัก โดยกำหนดเป้าหมายไปยัง ออสเตรเลีย ไต้หวัน จีน ไทย อินเดีย และเวียดนาม เพื่อขโมยชื่อผู้หางาน ที่อยู่อีเมล หมายเลขโทรศัพท์ ประวัติการทำงาน การศึกษา และข้อมูลอื่น ๆ ที่เกี่ยวข้อง

ตามข้อมูลของ Group-IB ซึ่งได้ติดตามกลุ่ม Hacker ดังกล่าวตั้งแต่เดือนพฤศจิกายน 2023 พบว่า ResumeLooters พยายามขายข้อมูลที่ถูกขโมยผ่านช่องทาง Telegram (more…)

Infection Vector

เอกสาร Excel ที่เป็นอันตราย

ในขั้นตอนแรกของการโจมตี คือการใช้เอกสาร Excel ที่มีสคริปต์ VBA ที่รันคำสั่ง PowerShell เพื่อดาวน์โหลด 'Windows Update.

ผู้ไม่หวังดีกำลังใช้โฆษณารับสมัครงานบน Facebook ปลอม เพื่อหลอกล่อเป้าหมายให้ติดตั้งมัลแวร์ขโมยข้อมูลบน Windows ตัวใหม่ที่ชื่อ 'Ov3r_Stealer'

Trustwave SpiderLabs ระบุในรายงานที่แชร์กับ The Hacker News ว่า "มัลแวร์ถูกออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคล และกระเป๋าเงินดิจิทัล และส่งข้อมูลไปที่ Telegram ของผู้ไม่หวังดี"

'Ov3r_Stealer' สามารถดึงข้อมูลที่สำคัญ เช่น IP address location, ข้อมูลฮาร์ดแวร์, รหัสผ่าน, คุกกี้, ข้อมูลบัตรเครดิต, การกรอกข้อมูลอัตโนมัติ, ส่วนขยายของเบราว์เซอร์, กระเป๋าเงินดิจิทัล, เอกสาร Microsoft Office และรายการของโปรแกรมป้องกันไวรัสที่ติดตั้งบนเครื่อง (more…)