เรียนเชิญเข้าร่วมรับฟังเนื้อหาความรู้ผ่าน Webinar หัวข้อ “เพิ่มประสิทธิภาพการตอบสนองภัยคุกคามแบบ End to End Security”

เรียนทุกท่าน
บริษัทไอ-ซีเคียวร่วมกับ บริษัทเอ็นฟอร์ซซีเคียว และ บริษัทพาโลอัลโต้เน็ตเวิร์ค
ขอเรียนเชิญท่านผู้มีเกียรติทุกท่านเข้าร่วมรับฟังสัมนาออนไลน์ผ่าน webinar ในหัวข้อ
"เพิ่มประสิทธิภาพการตอบสนองภัยคุกคามแบบ End to End Security"
ในวันอังคารที่ 26 พฤษภาคม 2563 เวลา 13:30 - 14:30 @ Video Conferencing สนใจรับฟังเชิญ ลงทะเบียน

คำแนะนำในการรักษาความปลอดภัยให้ Microsoft 365 จาก US-CERT

US-CERT ออกคำแนะนำในการรักษาความปลอดภัยให้กับการใช้งาน Microsoft 365 โดยแนะนำให้ปฏิบัติดังต่อไปนี้

เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีผู้ดูแลระบบ [1]
ใช้หลัก Least Privilege เพื่อป้องกันไม่ให้ Global Administrator ถูกโจมตีด้วยการสร้างบัญชีอื่นๆ แยกออกมาโดยให้สิทธิ์ที่จำเป็นเท่านั้น [2],[3]
เปิดการใช้งาน Audit Log โดย Audit Log จะเก็บเหตุการณ์ที่เกิดจากผลิตภัณฑ์ต่างๆ ในเครือ Microsoft 365 เช่น Exchange Online, SharePoint Online, OneDrive เป็นต้น [4]
ปิดการใช้งานอีเมลโปรโตคอลที่ล้าสมัยอย่าง POP3, IMAP หรือ SMTP [5]
เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีการใช้งานทั้งหมด
เปิดการใช้งานการแจ้งเตือนเหตุการณ์ผิดปกติ [6]
ส่ง log ของ Microsoft 365 ไปยัง SIEM ของค์กรเพื่อช่วยในการตรวจจับ [7]

ที่มา: https://www.

เรียนเชิญทุกท่าน เข้าร่วมงานสัมมนาในหัวข้อ “องค์กรจะปลอดภัยได้อย่างไร เมื่อพนักงานกลับมาทำงานที่ออฟฟิศ”

โดยเราจะมาร่วมกันหาคำตอบใน วันพฤหัสบดีที่ 28 พฤษภาคม 2563 เวลา 14:00 - 15:00 น.
ซึ่งทุกท่านเพียงกดปุ่ม ลงทะเบียน เพื่อเข้าร่วมงานในครั้งนี้ได้ก่อนใคร พร้อมรับสิทธิ์พิเศษภายในงาน

นักวิจัยค้นพบช่องโหว่ “Symlink Race” ใน 28 ผลิตภัณฑ์ป้องกันไวรัสยอดนิยมในปัจจุบัน

นักวิจัยด้านความปลอดภัยจาก RACK911 Labs กล่าวว่าพวกเขาพบช่องโหว่ "Symlink Race" ใน 28 ผลิตภัณฑ์ป้องกันไวรัสยอดนิยมในปัจจุบัน โดยผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องที่เกิดกับโปรแกรมป้องกันไวรัสทำการลบไฟล์ในระบบซึ่งอาจทำให้ระบบปฏิบัติการเกิดปัญหาหรือทำให้ไม่สามารถใช้งานได้

Vesselin Bontchev นักวิจัยจากห้องปฏิบัติการไวรัสวิทยาของสถาบันวิทยาศาสตร์แห่งบัลแกเรียกล่าวว่าช่องโหว่ Symlink race เป็นช่องโหว่ที่เกิดขั้นจากการเชื่อมโยงไฟล์ที่เป็นอันตรายเข้ากับไฟล์ที่ถูกต้องเพื่อทำการยกระดับสิทธิ์ไฟล์ที่เป็นอันตรายให้สูงขึ้นเพื่อใช้ในการโจมตี Elevation-of-Privilege (EoP)

นักวิจัยด้านความปลอดภัยจาก RACK911 ได้ทำการทดสอบช่องโหว่โดยการสร้างสคริปต์เพื่อทำการพิสูจน์ช่องโหว่ Symlink Race พบว่าในการทดสอบบน Windows, macOS และ Linux พวกเขาใช้ช่องโหว่ Symlink race ที่มีอยู่ในซอฟต์แวร์ป้องกันไวรัสและสามารถลบไฟล์ที่สำคัญในซอฟต์แวร์ป้องกันไวรัสได้โดยที่ซอฟต์แวร์ป้องกันไวรัสไม่ได้แสดงผลการแจ้งเตือนและพวกเขายังทดสอบช่องโหว่โดยทำการลบไฟล์ที่สำคัญในระบบปฏิบัติการ ผลลัพธ์คือระบบปฏิบัติการเกิดความเสียหายอย่างมากถึงขึ้นต้องทำการติดตั้งระบบปฏิบัติการใหม่เพื่อซ่อมแซมระบบปฏิบัติการที่เกิดความเสียหาย

นักวิจัยด้านความปลอดภัยจาก RACK911 กล่าวว่าช่องโหว่นี้อยู่ในผลิตภัณฑ์ซอฟต์แวร์ป้องกันไวรัส 28 รายกาย บนระบบปฏิบัติการ Linux, Mac และ Windows และได้รายงานให้เจ้าของผลิตภัณฑ์ป้องกันไวรัสรับทราบและเจ้าของผลิตภัณฑ์ได้ทำการการแก้ไขแล้ว อย่างไรก็ตามผู้ใช้งานควรทำการอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อความปลอดภัยของระบบและข้อมูลของผู้ใช้งาน

ที่มา: www.

NSA ได้เผยแพร่คำแนะนำและแจ้งเตือนบริษัทต่างๆ ให้ทำการตรวจสอบเซิร์ฟเวอร์จาก Web Shells รวมไปถึงช่องโหว่ที่มักถูกใช้โจมตี

 

สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ Australian Signals Directorate (ASD) ได้ทำการเผยแพร่คำแนะนำด้านความปลอดภัยในสัปดาห์ที่ผ่านมาเพื่อเตือนบริษัทต่างๆ ให้ทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานและเซิร์ฟเวอร์สำหรับภายในเพื่อทำการค้นหา Web shells ที่ถูกแฝงไว้ภายในเซิร์ฟเวอร์

Web shells เป็นหนึ่งในมัลแวร์ที่ได้รับความนิยมมากที่สุดในปัจจุบัน คำว่า "Web Shell" หมายถึงโปรแกรมที่เป็นอันตรายหรือสคริปต์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ มักจะถูกติดตั้งบนเซิร์ฟเวอร์ที่ถูกแฮก ผู้ประสงค์ร้ายมักจะอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางในการควบคุม, สั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายต่อในภายหลัง web shell ถือว่าเป็นมัลแวร์ประเภท backdoor ผู้ประสงค์ร้ายสามารถใช้เพื่อคัดลอก, แก้ไข, อัพโหลดไฟล์ใหม่หรือดาวน์โหลดข้อมูลที่สำคัญออกจากเซิร์ฟเวอร์

แฮกเกอร์จะทำการติดตั้ง web shells โดยหาช่องโหว่ภายในเซิร์ฟเวอร์หรือเว็บแอพพลิเคชันเช่น CMS, ปลั๊กอิน CMS, ธีม CMS, CRMs, อินทราเน็ตหรือแอพพลิเคชันในองค์กรอื่น ๆ เป็นต้น

Web shells สามารถใช้ภาษาโปรแกรมมิ่งเขียนขึ้นมาได้หลายภาษาเช่น Go จนไปถึง PHP ด้วยวิธีนี้การนี้ทำให้ผู้ประสงค์ร้ายสามารถซ่อน Web shells ภายในโค้ดของเว็บไซต์ใดๆ ภายใต้ชื่ออื่นๆ เช่น index.

แฮกเกอร์ใช้ช่องโหว่ ‘Zero-day’ โจมตี Sophos XG Firewall

Sophos ได้ทำการเผยแพร่แพตช์ความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ในผลิตภัณฑ์ XG Firewall ที่ถูกแฮกเกอร์ใช้ประโยช์จากช่องโหว่ขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าพวกเขาได้รับรายงานจากลูกค้ารายหนึ่ง ในวันพุธที่ 22 เมษายนหลังจากลูกค้าพบค่าฟิลด์ที่น่าสงสัยปรากฏในระบบการจัดการ หลังจากทำการตรวจสอบพวกเขาระบุว่าค่าฟิลด์ที่น่าสงสัยนั้นเป็นการโจมตีที่ใช้ช่องโหว่ SQL injection เพื่อขโมยรหัสผ่านบนอุปกรณ์ XG Firewall

Sophos กล่าวว่าแฮกเกอร์ได้ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีอุปกรณ์ XG Firewall ในส่วนการจัดการ Administration หรือ User Portal control panel ที่เปิดให้ทำการจัดการผ่านอินเตอร์เน็ต และยอมรับว่าแฮกเกอร์ใช้ช่องโหว่ SQL injection เพื่อดาวน์โหลดข้อมูลบนอุปกรณ์และคาดว่าข้อมูลที่ถูกขโมยออกไปนั้นอาจมีชื่อบัญชีผู้ใช้และรหัสผ่านที่ถูกเข้าด้วยฟังก์ชั่นแฮชของผู้ดูแลอุปกรณ์ไฟร์วอลล์, บัญชีผู้ใช้ผู้ดูแลระบบพอร์ทัลไฟร์วอลล์และบัญชีผู้ใช้ที่ใช้สำหรับการเข้าถึงอุปกรณ์จากระยะไกล

การอัพเดตความปลอดภัย

Sophos ได้ทำการส่งแพตช์อัพเดตความปลอดภัยฉุกเฉินนี้ไปยังอุปกรณ์ XG Firewalls ของผู้ใช้แล้ว โดยผู้ใช้ที่ตั้งค่า "Allow automatic installation of hotfixes" บนอุปกรณ์จะได้รับการอัพเดตอัตโนมัติ สำหรับผู้ใช้ที่ปิดใช้งานการตั้งค่านี้ผู้ใช้งานสามารถทำตามคำแนะนำดังต่อไปนี้ community.

รวมแหล่งข้อมูลภัยคุกคาม (Threat Intelligence) ในสถานการณ์ COVID-19

อาชญากรคือหนึ่งในอาชีพที่อาจเรียกได้ว่าเป็นนักฉวยโอกาสเพื่อสร้างผลประโยชน์ได้เก่งที่สุดอาชีพหนึ่ง พวกเขาฉวยโอกาสทั้งจากการให้เหตุผลของคน ความเชื่อใจ ความรู้สึกในรูปแบบต่างๆ รวมไปถึงสถานการณ์เพื่อสร้างผลประโยชน์แก่ตนหรือกลุ่มของตน การแพร่ระบาดของ COVID-19 ก็เป็นอีกหนึ่งเหตุการณ์ซึ่งตอกย้ำความสามารถในการฉวยโอกาสของพวกเขาเหล่านี้ และจะเป็นหัวข้อหลักของเนื้อหาที่เราจะพูดถึงกันในวันนี้

ในช่วงการแพร่ระบาดของ COVID-19 เมื่อผู้คนถูกบังคับให้ต้องรับข้อมูลข่าวสารให้มากขึ้น รวมถึงมาตรการซึ่งออกมาเพื่อควบคุมการแพร่ระบาดและส่งผลกระทบต่อความมั่นคงปลอดภัย เหล่าอาชญากรไซเบอร์เหล่านี้ได้ฉวยโอกาสเพื่อสร้างการโจมตีโดยใช้ประโยชน์ของสถานการณ์การแพร่กระจาย COVID-19 หรือที่ถูกเรียกว่า COVID-19 themed campaign อย่างแพร่หลาย การตระหนักรู้ถึงการเกิดขึ้นของภัยคุกคามในลักษณะนี้ และการนำความตระหนักรู้มาประยุกต์ให้เกิดความสามารถในการป้องกันภัยคุกคามจึงเป็นส่วนสำคัญที่ช่วยให้ระบบของเรารอดพ้นจากวิกฤติไปพร้อมๆ กับมนุษยชาติ

ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงแหล่งข้อมูลภัยคุกคามที่เกี่ยวข้องกับการใช้ประโยชน์ของ COVID-19 ซึ่งสามารถนำไปปรับใช้ให้เกิดการตรวจจับและป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพครับ

แหล่งข้อมูลโดยส่วนใหญ่ที่จะถูกพูดถึงในบทความนี้เป็นแหล่งข้อมูลซึ่งเรารวบรวมมา การใช้งานแหล่งข้อมูลแต่ละแหล่งถือเป็นการยอมรับข้อตกลงในการใช้งานที่กำหนดไว้กับแต่ละแหล่งข้อมูลแล้ว
แหล่งข้อมูลภัยคุกคามที่เผยแพร่ข้อมูล IOC โดยตรง
แหล่งข้อมูลภัยคุกคามต่อไปนี้คือแหล่งข้อมูลภัยคุกคามซึ่งเผยแพร่ตัวบ่งชี้ภัยคุกคาม (IOC) ซึ่งสามารถถูกดาวโหลดและนำไปใช้ได้โดยตรงโดยไม่จำเป็นต้องผ่านกระบวนการตรวจสอบและคัดแยก หรืออย่างน้อยที่สุดเพียงแค่อาศัยการเขียนโปรแกรมเพื่อดาวโหลดและนำข้อมูลมาใช้งานก็ถือเป็นเสร็จสิ้นครับ

โครงการ littl3field/DodgyDomainsBot เป็นโครงการซึ่งนำผลลัพธ์จากสคริปต์ในการระบุหาโดเมนที่อาจมีส่วนเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19 มาเผยแพร่ โดยได้แยกส่วนของรายการที่ตรวจสอบแล้วและยังไม่ได้ตรวจสอบไว้อยู่ให้เลือกใช้งานได้
โครงการ Blacklist จาก COVID-19 Cyber Threat Coalition เป็นรายการโดเมนต้องสงสัยและเป็นอันตรายที่รวบรวมมาจากกลุ่ม Cyber Threat Coalition ซึ่งถูกตั้งขึ้นมาเฉพาะกิจเพื่อรับมือกับภัยคุกคามในช่วง COVID-19 โดยข้อมูลสามารถเข้าถึงได้ทั้งในรูปแบบของไฟล์เอกสาร หรือผ่าน API จาก AlienVault OTX
โครงการ COVID-19 Threat Bulletin จาก Anomali ซึ่งติดตามภัยคุกคามและการโจมตีต่างๆ ที่เกี่ยวข้องกับ COVID-19 พร้อมด้วยรายการ IOC กว่า 6,000 รายการที่สามารถนำไปใช้ได้ทันที
โครงการ COVID-19 Threat List จาก DomainTools เป็นลักษณะของรายการโดเมนที่เกี่ยวข้องกับภัยคุกคามในช่วง COVID-19 ในรูปแบบ CSV อัปเดตรายวัน
เหนือกว่า IOC ต้อง TTP โครงการ Hunting Notebook สำหรับ Azure Sentinel เพื่อระบุหาพฤติกรรมภัยคุกคามที่เกี่ยวข้องกับ COVID-19
โครงการ Corona Domain Data จาก Swimlane เป็นข้อมูลอัปเดตรายวันในรูปแบบ JSON และ TXT ซึ่งสามารถนำไปวิเคราะห์หรือใช้ต่อในการตรวจจับได้ทันที
โครงการ Coronavirus-Phishing-Yara-Rules จาก Cofense เป็นโครงการซึ่งรวบรวม Yara rule สำหรับการคัดแยกและตรวจจับลักษณะของข้อมูลใดๆ ที่อาจเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19
รายการโดเมนเนมจดทะเบียนใหม่ที่อาจเกี่ยวข้องกับ COVID-19 themed threat โดย Malware Patrol มีทั้งแบบ TXT, JSON, BIND RPZ Zone, Squid และ Snort
โครงการ Coronavirus Host Reputation Feed จาก @j0hn_f ซึ่งนำข้อมูลจาก F-Secure มาวิเคราะห์เพิ่มเติม มีการเพิ่มคะแนนความน่าเชื่อถือและแจกจ่ายในรูปแบบ JSON
Telemetry จาก apklab.

สรุปปัญหาความปลอดภัยและความเสี่ยงใน Zoom

ในช่วงสัปดาห์ที่ผ่านมา ชุมนุมผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ในหลากหลายอาชีพได้พุ่งเป้าไปยังปัญหาด้านความปลอดภัยในแอปพลิเคชันสำหรับการประชุมออนไลน์ Zoom ซึ่งกำลังได้รับความนิยมอย่างสูงจากสถานการณ์การแพร่ระบาดของ COVIC-19 ผลลัพธ์จากการวิเคราะห์การทำงานและพฤติกรรมของแอปพลิเคชันในหลากหลายแพลตฟอร์มเปิดเผยถึงความเสี่ยงหลายประการที่อาจเกิดขึ้นกับการใช้งานแอปพลิเคชันภายใต้เงื่อนไขต่างๆ

อย่างไรก็ตาม Security ที่ดีไม่ควรเป็น Security ที่เกิดจากความหวาดระแวงอย่างไม่สมเหตุสมผล ดังนั้นในบทความนี้ ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาสรุปข่าวที่เกิดขึ้น และความคิดเห็นของเราต่อความเสี่ยงเพื่อให้การจัดการความเสี่ยงนั้นเกิดขึ้นอย่างเหมาะสมครับ

หมายเหตุ: เราจะดำเนินการอัปเดตบทความนี้ให้มีความทันสมัยที่สุดเท่าที่จะทำได้เมื่อให้ผู้อ่านได้รับข้อมูลที่เป็นปัจจุบันมากที่สุด

 
สารบัญ (อัปเดตล่าสุด 9 เมษายน 2020)

ปัญหาความเสี่ยงที่อนุญาตให้ผู้ไม่หวังดีค้นหาและสามารถเข้าร่วมการประชุมเพื่อก่อกวนการประชุมในรูปแบบที่ชื่อ “Zoombombing”
ช่องโหว่อนุญาตให้แฮกเกอร์ลักลอบเข้ามาเปิดเว็บแคมของผู้ใช้และไมโครโฟนของ Mac โดยไม่ได้รับอนุญาตด้วยการหลอกให้ผู้ใช้เข้าไปเยี่ยมชมเว็บไซต์ที่เป็นอันตราย
Zoom ถูกฟ้องร้องว่าแอบเก็บข้อมูลผู้ใช้และส่งให้ข้อมูลกลับไปหา Facebook
Zoom ไม่มีการเข้ารหัสแบบ End-to-End Encrypted (E2EE)
ความเสี่ยงผู้ใช้ Zoom อาจพบบุคคลอื่นที่ไม่รู้จักและสามารถดูข้อมูลที่อยู่, อีเมลและรูปถ่ายจากรายชื่อผู้ติดต่อภายใต้โดเมนอีเมลที่ใช้
ช่องโหว่บน Zoom สามารถขโมย Windows Credentials ได้
Zoom เเสดงข้อมูลและรูปโปรไฟล์ที่ถูกปกปิดใน LinkedIn
นักวิจัยเผย Zoom ส่งทราฟฟิกวิดีโอคอลผ่านจีน ฝั่ง Zoom แจงเป็นศูนย์ข้อมูลสำรอง

ปัญหาความเสี่ยงที่อนุญาตให้ผู้ไม่หวังดีค้นหาและสามารถเข้าร่วมการประชุมเพื่อก่อกวนการประชุมในรูปแบบที่ชื่อ “Zoombombing”
ระดับความเสี่ยง
สามารถทำให้ผู้ไม่หวังดีใช้ Meeting ID การประชุมเข้าร่วมการประชุมโดยไม่ได้รับอนุญาติ และก่อกวนการประชุมด้วยวิธีการต่างๆ
สถานะการแก้ไข
ดำเนินการแก้ไขเรียบร้อยวันที่ 7 เมษายน 2020 โดย Zoom เวอร์ชั่น 4.6.10 (20033.0407)
รายละเอียด
ความเสี่ยงนี้เกิดจากผู้ไม่หวังดีได้รับ Meeting ID การประชุม หรือค้นหาจากเเหล่งสาธารณะหรือรูปการประชุมที่มองเห็น Meeting ID ผู้ไม่หวังดีสามารถทดลองเข้าร่วมการประชุมได้โดยใช้ Meeting ID โดยไม่ต้องรับเชิญ ถ้าผู้สร้างห้องประชุมไม่ทำการใส่รหัสห้องประชุม และก่อกวนด้วยวิธีการต่างๆ เช่นส่งเสียงรบกวนหรือเปิดกล้องเพื่อแสดงร่างกายเปลือย, ส่งภาพอนาจาร, ภาพที่น่าเกลียดหรือคำพูดที่ไม่สุภาพเพื่อทำลายการประชุม
Reference:

https://support.

Online Meeting Security Checklist – รวมขั้นตอนการตั้งค่าความปลอดภัยให้กับการประชุมออนไลน์

เนื่องจากการระบาดของโรค Coronavirus หรือ COVID-19 แอปพลิเคชั่นการประชุมทางวิดีโอ Zoom ได้กลายเป็นแอปพลิเคชั่น ที่ได้รับความนิยมในการติดต่อสื่อสารกับเพื่อนและครอบครัว หรือแม้แต่การทำงานร่วมกับเพื่อนร่วมงานในองค์กรต่างๆ ทั่วโลก

ด้วยความนิยมซึ่งเพิ่มมากขึ้น การถูกนำมาใช้เพื่อแสวงหาผลประโยชน์และก่อกวนในรูปแบบต่างจึงเกิดขึ้นและมีจำนวนที่เพิ่มขึ้นตาม ตัวอย่างหนึ่งซึ่งเราได้เคยพูดถึงไปแล้วในข่าวคือการ Zoom-bombing ซึ่งมีจุดประสงค์ในการก่อกวนผู้เข้าร่วมการประชุมในรูปแบบต่างๆ เช่นภาพอนาจาร, ภาพที่น่าเกลียดหรือภาษาและคำพูดที่ไม่สุภาพเพื่อทำลายการประชุม

ในวันนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงเช็คลิสต์ง่ายๆ ในการช่วยให้การประชุมออนไลน์ผ่านแอปพลิเคชัน Zoom หรือแอปพลิเคชันอื่นๆ มีความปลอดภัยมากยิ่งขึ้น

1. อย่าเปิดเผย Personal Meeting ID หรือ Meeting ID ให้ใครรู้
ผู้ใช้ Zoom ทุกคนจะได้รับ "Personal Meeting ID" (PMI) ที่เชื่อมโยงกับบัญชี ถ้าหากให้ PMI กับบุคคลอื่นๆ หรือ PMI หลุดไปสู่สาธารณะ ผู้ไม่หวังดีจะสามารถทำการตรวจสอบว่ามีการประชุมอยู่หรือไม่ และอาจเข้ามาร่วมประชุมหรือก่อกวนได้หากไม่ได้กำหนดรหัสผ่าน
2. ใส่รหัสผ่านในการประชุมทุกครั้ง
เมื่อทำสร้างการห้องประชุมใหม่ Zoom จะเปิดใช้งานการตั้งค่า "Require meeting password" โดยอัตโนมัติและกำหนดรหัสผ่านแบบสุ่ม 6 หลัก และไม่ควรยกเลิกการตั้งค่านี้เนื่องจากจะทำให้ทุกคนหรือผุ้ก่อกวนสามารถเข้าถึงการประชุมได้โดยไม่ได้รับอนุญาต
3. สร้างห้อง Waiting Room
Zoom สามารถเปิดใช้งานฟีเจอร์ Waiting Room เพื่อป้องกันผู้ใช้เข้าสู่การประชุมโดยไม่ได้รับการยอมรับจากโฮสต์ (ผู้ที่สร้างการประชุม) ก่อนได้รับอนุญาต
4. ไม่ควรอนุญาตให้มีการ Join Before Host
ผู้ที่สร้างการประชุมควรควบคุมและหมั่นตรวจสอบผู้ที่เข้าร่วมการประชุมอยู่เสมอว่าเป็นผู้ที่ได้รับอนุญาตจริงหรือไม่โดยเฉพาะอย่างยิ่งในการประชุมในเรื่องประเด็นที่ออนไหว การตั้งค่า Enable waiting room เป็นค่าเปิดจะส่งผลให้ผู้ที่เข้าถึงคนแรกกลายเป็นโฮสต์และมีสิทธิ์ในการควบคุมเรียกดูข้อมูลของผู้เข้าร่วมการประชุมโดยอัตโนมัติโดยอัตโนมัติ ดังนั้นตัวเลือกของ Enable waiting room จึงไม่เคยถูกเปิดใช้งานโดยไม่จำเป็น
5. ปิดการแชร์หน้าจอของผู้เข้าร่วม

เพื่อป้องกันไม่ให้ผู้ไม่หวังดีก่อกวนและแย่งชิงการประชุม ควรป้องกันไม่ให้ผู้เข้าร่วมประชุมคนอื่นๆ นอกเหนือจากโฮสต์สามารถแชร์หน้าจอได้
6. ล็อคการประชุมเมื่อทุกคนเข้าร่วมเรียบร้อยแล้ว

หากทุกคนเข้าร่วมการประชุมครบแล้วและไม่ได้เชิญใครเข้าร่วมการประชุมเพิ่ม ควรล็อคการประชุมเพื่อไม่ให้มีใครสามารถเข้าร่วมการประชุม หรือเข้ามาก่อกวนได้
7. อย่าโพสต์รูปภาพการประชุม Zoom สู่สาธารณะ
ถ้าหากภาพถ่ายการประชุมผ่าน Zoom ถูกเปิดเผยต่อสาธารณะผู้ไม่หวังดีจะสามารถเห็น Meeting ID การประชุม จากนั้นผู้ไม่หวังดีสามารถทดลองเข้าร่วมการประชุมโดยใช้ Meeting ID การประชุมที่เปิดเผยต่อสาธารณะได้โดยไม่ต้องรับเชิญ

ตัวอย่างเช่น นายกรัฐมนตรีสหราชอาณาจักร บอริส จอห์นสัน ทวีตรูปภาพการประชุมของ "คณะรัฐมนตรี” และในภาพที่พบมีเลข Meeting ID ของการประชุมปรากฏอยู่ สิ่งนี้อาจจะถูกใช้โดยผู้โจมตีเพื่อพยายามเข้าถึงการประชุมโดยไม่ได้รับอนุญาต และสามารถเข้าร่วมได้ผ่าน Meeting ID ที่แสดงได้
8. อย่าโพสต์ลิงค์การประชุมในที่สาธารณะ
เมื่อสร้างห้องประชุมผ่าน Zoom ไม่ควรโพสต์ลิงก์ที่จะไปยังการประชุมสู่สาธารณะ การกระทำเช่นนั้นจะทำให้เครื่องมือค้นหาเช่น Google จัดทำบันทึกและเปิดให้ค้นหาลิงค์ดังกล่าว และทำให้ทุกคนที่สามารถค้นหาลิงก์การประชุมสามารถเข้าถึงการประชุมได้ เนื่องจากการตั้งค่าเริ่มต้นใน Zoom คือการฝังรหัสผ่านในลิงค์คำเชิญ
9. ระวังมัลแวร์ที่แฝงมาในไฟล์ติดตั้ง Zoom
เนื่องจากการระบาดของโรค Coronavirus ที่เพิ่มขึ้นอย่างรวดเร็วได้มีการเเอบแฝงมัลแวร์ โดยกระจายผ่านเว็บไซต์ฟิชชิ่ง, อีเมล์ฟิชชิ่งและการโจมตีอื่น ๆ ที่เกี่ยวข้องกับข่าวการระบาด โดยมัลแวร์ที่ถูกสร้างขึ้นและแฝงไปกับไฟล์การติดตั้งแอพพลิเคชั่น Zoom เพื่อความปลอดภัยโปรดตรวจสอบการดาวน์โหลดไคลเอนต์ แอพพลิเคชั่น Zoom ทุกครั้งที่ทำการดาวน์โหลด และดาวน์โหลดโดยตรงจากเว็บไซต์ https://zoom.

ทุกสิ่งที่คุณต้องรู้เกี่ยวกับช่องโหว่ CoronaBlue/SMBGhost (CVE-2020-0796)

อัปเดตล่าสุด: 16 March 2020, Afternoon
การเปลี่ยนแปลง: เพิ่มรายละเอียดกับการวิเคราะห์แบบ Post-mortem analysis

สืบเนื่องจากการเปิดเผยรายละเอียดของช่องโหว่โดย Cisco Talos เมื่อวันอังคารที่ผ่านมา ในวันที่ 10 มีนาคม 2020 Microsoft ได้เผยแพร่ ADV200005 คำแนะนำสำหรับช่องโหว่ RCE (Remote Code Execution) ใน Microsoft Server Message Block 3.1.1 (SMBv3) ซึ่งให้รายละเอียดและข้อมูลที่มากขึ้นเกี่ยวกับช่องโหว่ (CVE-2020-0796) ที่มีลักษณะ “Wormable” ในโปรโตคอล SMB โดยผู้โจมตีสามารถใช้ช่องโหว่เพื่อโจมตีจากระยะไกลและสามารถเเพร่กระจายเช่นเดียวกับกรณีของ CVE-2017-0143/0144 ที่ WannaCry Ransomware ใช้

ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัด จะมาติดตามรายละเอียดของช่องโหว่นี้ พร้อมทั้งอธิบายที่มาการตรวจจับและการป้องกันการโจมตีช่องโหว่นี้ โดยในบล็อกนี้นั้นเราจะทำการติดตามและอัปเดตข้อมูลรายวันเพื่อให้ผู้ใช้บริการได้รับข้อมูลที่ทันสมัยที่สุด

รายละเอียดช่องโหว่โดยย่อ
การโจมตีช่องโหว่
ระบบที่ได้รับผลกระทบ
การตรวจจับและป้องกันการโจมตี
การวิเคราะห์ระบบที่คาดว่าถูกโจมตีโดยช่องโหว่
อ้างอิง

รายละเอียดช่องโหว่โดยย่อ
CVE-2020-0796 หรือที่ถูกเรียกในอีกชื่อหนึ่งว่า Corona Blue และ SMB Ghost ช่องโหว่เป็นการโจมตีจากระยะไกลใช้ประโยชน์จากข้อผิดพลาดโดยการส่งแพ็คเก็ตที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ SMBv3 ที่เป็นเป้าหมายซึ่งเหยื่อจะต้องเชื่อมต่อด้วย โดยจากข้อมูลเบื้องต้นนั้น ช่องโหว่นี้เกิดจากปัญหา Buffer overflow ในส่วนที่มีการบีบอัดข้อมูล นอกจากนี้ช่องโหว่จะทำให้การโจมตีแบบ “Wormable” หรือมัลแวร์ชนิดต่างๆ สามารถแผ่กระจายไปบนคอมพิวเตอร์ไคลเอนต์ของเหยื่อได้ง่ายและยากต่อการป้องกัน

อ้างอิงจาก CERT/CC ช่องโหว่นี้ถูกประเมินด้วยคะแนน CVSSv2 แบบ Base score 10 คะแนนเต็ม โดยมีคะแนน Temporal score ซึ่งเกี่ยวข้องกับความเป็นไปได้ในการโจมตีและการลดผลกระทบ 8.1 คะแนน เช่นเดียวกับ Environmental score

ในวันที่ 13 มีนาคม 2020 หลังจากที่ไมโครซอฟต์ได้มีการปล่อยแพตช์ของช่องโหว่นี้ออกมา นักวิจัยด้านความปลอดภัยจาก Synacktiv ก็ได้เปิดเผยบล็อกการวิเคราะห์ช่องโหว่ตามไปทันที ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการวิเคราะห์แพตช์ที่เกิดขึ้นในไฟล์ srv2.sys และยืนยันตามประเด็นที่ Synacktiv เสนอได้แก่

ฟังก์ชันที่มีค่า Similarity ต่ำหรือทุก Change ไปเยอะมากในไฟล์ srv2.sys คือฟังก์ชัน SmbDecompressData
ในฟังก์ชันดังกล่าว จุดที่เปลี่ยนไปมากที่สุดคือการเพิ่มกระบวนการตรวจสอบก่อนการเรียกใช้ฟังก์ชัน SrvNetAllocateBuffer ซึ่งจะถูกเรียกขึ้นมาไว้ในการจองพื้นที่หน่วยความจำเพื่อรองรับการ decompress ข้อมูล
ในรูปทางด้านซ้ายซึ่งเป็นซอร์สโค้ดของไฟล์ srv2.sys ที่ยังไม่ถูกแพตช์ ฟังก์ชัน SrvNetAllocateBuffer จะทำการนำค่า OriginalCompressedSegmentSize และ OffsetOrLength มาใช้เพื่อประเมินหน่วยของความจำที่จะจอง
เนื่องจากสองค่านี้เป็นค่าที่ผู้ใช้งานสามารถควบคุมได้ ผู้ใช้งานสามารถควบคุมทั้งสองค่าให้เกิด Integer overflow เมื่อมีการหาส่วนต่าง และทำให้ SrvNetAllocateBuffer ต้องจอง buffer ขนาดใหญ่เกินจริงจนกลายเป็น BSOD "PAGE_FAULT_IN_NON_PAGED_AREA" ได้
ช่องโหว่ Integer overflow สามารถนำไปใช้ในการพัฒนาต่อเป็น Remote code execution ได้ ทั้งนี้ผู้โจมตีจะต้องทำการพัฒนาโค้ดเพื่อ bypass ฟีเจอร์ Exploit mitigation อีกมากมายในทำให้ได้มาซึ่ง RCE ด้วย

บริษัทรักษาความปลอดภัยทางไซเบอร์ Kryptos Logic ได้กล่าวว่ามีโฮสต์ประมาณ 48,000 รายทั่วอินเทอร์เน็ตที่มี Port เปิดการเชื่อมต่อผ่านอินเทอร์เน็ตผ่านโปรโตคอล SMB และมีความเสี่ยงต่อการถูกโจมตีโดยใช้จุดบกพร่องนี้ และได้ทำการเเชร์คลิปการการทดสอบโจมตีนี้ด้วย
การโจมตีช่องโหว่
ในขณะนี้ยังไม่พบการใช้ช่องโหว่นี้การโจมตี หรือการปรากฎของโค้ดสำหรับโจมตีและโค้ด POC ใดๆ ทั้งนี้เราตรวจพบสคริปต์สำหรับการใช้ระบุหาช่องโหว่แล้ว โดยในเบื้องต้นนั้นสคริปต์เหล่านี้ดำเนินการตรวจสอบเพียงแค่รุ่นของเซิร์ฟเวอร์ตามรายละเอียดในเบื้องต้นของช่องโหว่เท่านั้น
ระบบที่ได้รับผลกระทบ
รุ่นของระบบที่ได้รับผลกระทบจากช่องโหว่มีตามรายการดังต่อไปนี้

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

อ้างอิงจากการทดสอบโดย Secure D ซึ่งได้ทำการทดสอบโดยใช้สคริปต์ในการระบุหาช่องโหว่กับอิมเมจที่มีอยู่ในระบบคลาวด์ต่างๆ เราแนะนำให้ดูผลการทดสอบได้ที่เพจของ Secure D เพิ่มเติม อย่างไรก็ตามสคริปต์ดังกล่าวทำการตรวจสอบด้วยปัจจัยที่ค่อนข้างกว้าง และไม่ระบุเฉพาะเจาะจงเนื่องจากยังขาดรายละเอียดของช่องโหว่ การแสดงผลลัพธ์อาจจะยังไม่สามารถเชื่อถือได้ในขณะนี้
การตรวจจับและป้องกันการโจมตี
เนื่องจากจนถึงตอนนี้เรายังไม่มีข้อมูลรายละเอียดช่องโหว่ในเชิงลึกใดๆ การตรวจจับและป้องกันการโจมตีจึงทำได้โดยมองปัจจัยกว้างๆ อาทิ เวอร์ชันของโปรโตคอลที่ถูกรายงานว่าได้รับผลกระทบ และฟีเจอร์ของโปรโตคอลที่อาจเกี่ยวข้องกับช่องโหว่ ดังนั้นการตรวจจับและป้องกันในขณะนี้อาจมีโอกาสสร้างการแจ้งเตือนที่ผิด (False positive) ได้มากกว่า

ในเบื้องต้นทีมตอบสนองการโจมตีและภัยคุกคามขอแนะนำให้พิจารณาวิธีการในการตรวจจับและป้องกันตามขั้นตอนดังนี้

อัปเดตวันที่ 13 มีนาคม 2563: ไมโครซอฟต์ได้ดำเนินการปล่อยแพตช์รหัส KB 4551762 เพื่อปิดช่องโหว่นี้แล้ว โดยแพตช์จะเพิ่มกระบวนการตรวจสอบค่าในส่วนของโปรแกรมที่มีช่องโหว่ นี่คือวิธีที่ดีที่สุดในการป้องกันการถูกโจมตีโดยช่องโหว่นี้และเราแนะนำเป็นอย่างยิ่งให้ดำเนินการแพตช์โดยทันที (ดาวโหลดแพตช์ได้จากที่นี่)
ในมุมของการ Hardening มีการปล่อยไฟล์ ADMX ซึ่งจะเพิ่มตัวเลือกใน Group Policy ให้สามารถปิดฟีเจอร์ SMB Compression ได้ (ดูเพิ่มเติม)
คำแนะนำของ Microsoft คือให้ทำการติดตั้งการปรับปรุงช่องโหว่นี้ทันทีที่ออก Patch ป้องกัน เบื้องต้นเราสามารถปิดใช้งานกระบวนการบีบอัดซึ่งคาดว่าจะเกี่ยวข้องกับช่องโหว่เพื่อ Block ผู้โจมตีที่ไม่ได้รับอนุญาตจากการโจมตีช่องโหว่จากเซิร์ฟเวอร์ SMBv3 ด้วยคำสั่ง PowerShell ด้านล่าง

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

เนื่องจาก SMB เป็นโปรโตคอลที่ส่วนใหญ่จะใช้กันในองค์กร ทาง Microsoft จึงแนะนำให้ Block Traffic ขาเข้าและขาออกสำหรับเครือข่ายภายนอกบน Port TCP 445 บน Firewall ในองค์กรเพื่อป้องกันเครือข่ายและจะช่วยปกป้องระบบที่อยู่หลัง Firewall จากความพยายามโจมตีช่องโหว่นี้ เป็นวิธีการป้องกันที่ดีที่สุดเพื่อช่วยหลีกเลี่ยงการโจมตีทางอินเทอร์เน็ต อย่างไรก็ตามระบบยังอาจเสี่ยงต่อการถูกโจมตีจากภายในองค์กรอยู่ (ดูเพิ่มเติมวิธีการ Block Port TCP 445 ออกจากเครื่องเซิร์ฟเวอร์องค์กร)

การวิเคราะห์ระบบที่คาดว่าถูกโจมตีโดยช่องโหว่
หลังจากที่ไมโครซอฟต์ได้มีการปล่อยแพตช์สำหรับช่องโหว่นี้ออกมา พร้อมกับรายงานการวิเคราะห์ช่องโหว่จากผู้เชี่ยวชาญด้านความปลอดภัย ในวันที่ 14 มีนาคม 2020 นักวิจัยด้านความปลอดภัย eerykitty ได้มีการเปิดเผยโค้ดสำหรับโจมตีช่องโหว่ดังกล่าวซึ่งส่งผลให้ระบบเกิดการ Crash และเหตุการณ์ Blue Screen of Death (BSOD) ในมุมมองของทีมตอบสนองการโจมตีและภัยคุกคาม แม้ว่าผลกระทบจากช่องโหว่ในเวลานี้จะทำให้ระบบสูญเสียได้เพียงความพร้อมในการใช้งาน (Availability) แต่การสูญเสียเพียงความพร้อมในการใช้งานหรือให้บริการก็ส่งผลให้คุณลักษณะที่ทำให้เกิดความมั่นคงปลอดภัยของระบบนั้นไม่สมบูรณ์ได้

ในประเด็นนี้ทีมตอบสนองการโจมตีและภัยคุกคามจะมาสรุปสิ่งที่เราค้นพบในรูปแบบของ Post-mortem analysis ซึ่งสามารถใช้ในการประเมินความปลอดภัยระบบในลักษณะของ Compromised assessment และการช่วยระบุหาต้นตอความผิดปกติหากสงสัยว่าระบบอาจถูกโจมตีด้วยช่องโหว่ CVE-2020-0796 ได้

เราทำการจำลองระบบที่ใช้ในการทดสอบโดยทำการติดตั้งระบบ Windows 10 Enterprise รุ่น 1903 ที่ยังไม่ถูกแพตช์ โดยระบบไม่มีการตั้งค่าหรือติดตั้งโปรแกรมใดๆ เพิ่มเติม การระบุหาตัวบ่งชี้ภัยคุกคาม (Indicator of compromise) จะดำเนินการบนข้อมูลที่ระบบสร้างหรือบันทึกเป็นค่าเริ่มต้นเท่านั้น เพื่อให้ข้อมูลที่สามารถใช้ยืนยันการโจมตีได้ครอบคลุมกับระบบที่มีอยู่ทั่วไปในโลกมากที่สุด

โครงการ eerykitty/CVE-2020-0796-PoC มีการนำแก้ไขการทำงานของไลบรารี smbprotocol เพื่อให้รองรับการทำงานกับฟีเจอร์ compression ใน SMB รุ่น 3.1.1 โดยเพื่อทำการ overflow พื้นที่ในหน่วยความจำ ผู้พัฒนาได้มีการกำหนดค่า OffsetOrLength ในเฮดเดอร์ให้มีค่าเป็น 0xffffffff ไว้ในโค้ดของ smbprotocol อยู่แล้ว

เมื่อระบบที่มีช่องโหว่รับแพ็คเกตจากสคริปต์ที่ใช้โจมตี ระบบจะเกิดการ Crash และจะแสดงอาการ Blue screen of death ด้วย Stop code คือ PAGE_FAULT_IN_NON_PAGED_AREA โดย Stop code มักเกิดจากปัญหาการอ้างอิงข้อมูลในหน่วยความจำที่ไม่ถูกต้องจนทำให้ระบบไม่สามารถทำงานได้

การยืนยันว่ามีการใช้สคริปต์ดังกล่าวหรือสคริปต์ที่มีลักษณะใกล้เคียงกันในการทำ DoS กับระบบที่มีช่องโหว่สามารถตรวจสอบได้ตามประเด็นดังต่อไปนี้

ตรวจสอบ Event log ของระบบโดยให้ระบุหา EID41 Kernel-Power ใน System log ซึ่งระบุการรีสตาร์ทของระบบแบบผิดปกติและ EID1001 BugCheck ใน System log ที่ช่วงเวลาใกล้เคียงซึ่งจะระบุว่าระบบเกิดปัญหาจาก "บั๊ก" ของโปรแกรมบางอย่างจนต้องมีการรีสตาร์ท ในกรณีทั่วไประบบจะมีการบันทึกข้อมูลในหน่วยความจำไว้ในลักษณะ Memory dump ซึ่งสามารถใช้ในการระบุหาที่มาของข้อผิดพลาดได้อีกด้วย
ทำการตรวจสอบไฟล์ MEMORY.DMP ด้วย Dumpchk หรือ Windbg โดยในกรณีที่ระบบถูกโจมตีด้วย CVE-2020-0796 นั้น ลักษณะของ Call stack จะปรากฎตามรูปด้านบนซึ่งมีสาเหตุมาจากการพยายามใช้พื้นที่ของหน่วยความจำที่ถูกจองขึ้นมาผิดพลาด

เนื่องจากข้อจำกัดที่จำเป็นต้องใช้ private symbol ในการวิเคราะห์ ข้อมูลที่เกี่ยวข้องกับฟังก์ชัน srvnet!SmbCompressionDecompress เช่น พารามิเตอร์หรือตัวแปรของฟังก์ชันจึงไม่สามารถระบุได้ยอย่างชัดเจน

ระบุหาข้อมูลเครือข่ายที่เกี่ยวข้องกับพอร์ต 445 และมีเป้าหมายมายังระบบที่เกิดความผิดปกติในช่วงเวลาใกล้เคียงกัน เราพบว่าหลังจากที่มีการสั่งโจมตี ระบบจะใช้เวลา 1-2 วินาทีก่อนจะมีการ Crash เกิดขึ้น
ยืนยันว่าระบบที่เกิดความผิดปกตินั้นขาดซึ่งการติดตั้งแพตช์และมีการเปิดใช้งานฟีเจอร์ที่เกี่ยวข้องกับการเกิดขึ้นของช่องโหว่จริง

หากมีการค้นพบตัวบ่งชี้การโจมตีอื่นๆ ทีมตอบสนองการโจมตีและภัยคุกคามจะทำการอัปเดตข้อมูลในบทความต่อไป
อ้างอิง

https://securityaffairs.