แจ้งเตือน POC ช่องโหว่ SMBGhost บน Windows 10 ถูกปล่อยสู่สาธารณะแล้ว

นักวิจัยได้เปิดเผยว่า PoC ของช่องโหว่รหัส CVE-2020-0796 (CVSS 10) หรือที่เรารู้จักกันในชื่อ SMBGhost ซึ่งเป็นช่องโหว่การโจมตีจากระยะไกลที่ใช้ประโยชน์จากโปรโตคอล Microsoft Server Message Block (SMB 3.1.1) บน Windows 10 ซึ่งช่องโหว่นี้สามรถทำให้ผู้โจมตีใช้ประโยชน์จากโหว่โหว่ทำการเเพร่กระจายมัลแวร์ไปบนระบบที่มีช่องโหว่

ช่องโหว่ SMBGhost นั้นมีผลกับ Windows 10 เวอร์ชั่น 1909 และ 1903 รวมถึง Server Core ซึ่ง Microsoft ได้ออกเเพตซ์การป้องกันแล้วใน Microsoft Tuesday เเพตซ์ในเดือนมีนาคมที่ผ่านมา

นักวิจัยด้านความปลอดภัยชื่อ Chompie ได้ทำการแชร์ PoC สำหรับช่องโหว่ SMBGhost สู่สาธารณะและกล่าวว่า PoC นี้สามารถทำงานได้ดีบน Windows 10 เวอร์ชั่น 1903 และมีบุคคลจำนวนมากใช้ PoC จากช่องโหว่นี้ได้สำเร็จ นักวิจัยยังกล่าวว่าที่ผ่านมามีนักวิจัยด้านความปลอดภัยจำนวนมากทำการหาช่องทางการใช้ประโยชน์จากช่องโหว่นี้ แต่ผลลัพธ์นั้นถูกจำกัดอยู่ที่การยกระดับสิทธ์ผู้ใช้ (local privilege escalation) และการทำ denial of service เพื่อให้เกิด blue screen

หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA) ได้ออกแจ้งเตือนให้ผู้ใช้งาน Microsoft Windows 10 ระมัดระวังผู้ไม่หวังดีที่ทำการใช้ PoC สำหรับช่องโหว่ CVE-2020-0796 ทำการหาประโยชน์จากผู้ใช้งานและได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการใช้ไฟร์วอลล์เพื่อบล็อกพอร์ต TCP 445 จากอินเทอร์เน็ตและทำการอัพเดตเเพตซ์คำความปลอดภัยให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันการถูกโจมตี

สำหรับผู้ที่สนใจ Poc สามารถดูรายละเอียดเพิ่มเติ่มได้ที่: www.

หมายเลขโทรศัพท์ที่ลงทะเบียนกับ WhatsApp โผล่ในผลการค้นหาจาก Google

นักวิจัยด้านความปลอดภัย Jayaram ได้เปิดเผยว่าหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี WhatsApp นั้นได้รับการบันทึกใน Google Search โซึ่งอาจส่งผลให้เกิดปัญหาด้านความเป็นส่วนตัวของผู้ใช้งาน

WhatsApp นั้นมีฟีเจอร์ที่ชื่อว่า “Click to Chat” ซึ่งเป็นฟีเจอร์ที่ช่วยให้ผู้ใช้เริ่มต้นการแชทกับใครบางคนโดยไม่ต้องบันทึกหมายเลขโทรศัพท์ในรายชื่อผู้ติดต่อของโทรศัพท์ ฟีเจอร์นี้จะช่วยให้ผู้ใช้สร้าง URL ด้วยหมายเลขโทรศัพท์และสร้าง QR code ให้กับผู้ใช้งาน เพื่อให้ผู้ใช้งานมีความสะดวกในการเริ่มติดต่อสื่อการกับผู้อื่น

Jayaram กล่าวว่าปัญหานั้นเกิดจากการที่ Google Search ได้มีการรวมเอาผลการค้นหาหมายเลขโทรศัพท์ซึ่งจะเเสดงผลผ่าน URL (https://wa.

Nworm: TrickBot gang’s new stealthy malware spreading module

“Nworm” มัลแวร์ใหม่จากค่าย TrickBot พุ่งเป้าเเพร่กระจายและขโมยข้อมูล

นักวิจัยจาก Palo Alto ได้เผยถึงรายงานการค้นพบใหม่ในมัลแวร์กลุ่ม Trickbot หลังจากที่นักพัฒนา TrickBot ได้ทำการเปิดตัวโมดูลใหม่ของ TrickBot ซึ่งใช้เทคนิคใหม่เพื่อหลบเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการแพร่กระจายมัลแวร์สู่เครือข่าย โดยตั้งชื่อเรียกโมดูลใหม่ตัวนี้ว่า “nworm”

เมื่อเริ่มต้นทำการแพร่กระจาย มัลแวร์ TrickBot จะประเมินสภาพเเวดล้อมของเครื่องและเครือข่าย หลังจากนั้นจะทำการดาวโหลดโมดูลต่าง ๆ เพื่อทำการแพร่กระจายบนคอมพิวเตอร์ที่ติดเชื้อและในเครือข่าย

หาก TrickBot ตรวจพบว่ากำลังทำงานอยู่บน Windows Active Directory (AD) มัลแวร์จะทำการดาวโหลดโมดูลที่เรียกว่า “mworm” และ “mshare”เพื่อทำการแพร่กระจายมัลแวร์ TrickBot ไปยัง Domain Controller ที่มีช่องโหว่โดยการใช้ช่องโหว่ของ SMB

ข้อเเนะนำในการป้องกัน
เเนะนำผู้ใช้งานควรหลีกเลี่ยงการการดาวโหลดไฟล์จากเว็บไซต์ที่ไม่รู้จัก ให้ทำการอัพเดตโปรเเกรมป้องกันไวรัสอยู่เสมอเพื่อป้องกนการติดมัลแวร์และความเสี่ยงในการถูกขโมยข้อมูล

ที่มา: bleepingcomputer

Joomla team discloses data breach

เพราะตั้งค่าผิด!? "Joomla Resources Directory" ของทีม Joomla ปล่อยข้อมูลรั่วไหล

Joomla บริษัทผู้พัฒนา Open Source Content Management System หรือ CMS ได้ออกมาเปิดเผยถึงการรั่วไหลของข้อมูลผู้ใช้งานเมื่ออาทิตย์ที่ผ่านมา

เหตุการณ์การรั่วไหลของข้อมูลเกิดจากสามชิกของทีม Joomla Resources Directory (JRD) ได้ทำการคอนฟิกการสำรองข้อมูลของเว็บไซต์ JRD (resources.

Fortune 500 company NTT discloses security breach

NTT แจ้งเตือนการบุกรุกเซิร์ฟเวอร์ของบริษัทคาดว่าข้อมูลลูกค้ารั่วไหลไปประมาณ 600 ราย

บริษัท Nippon Telegraph & Telephone หรือ NTT ผู้ใช้บริการเครือข่าย, คลาวด์และดาต้าเซ็นเตอร์ได้ออกมาเปิดเผยถึงการถึงการตรวจพบการโจมตีระบบของบริษัท โดยแฮกเกอร์สามารถเข้าถึงเครือข่ายภายในของบริษัทและขโมยข้อมูลลูกค้าออกไปได้จำนวน 621 ราย

การแฮกเกิดขึ้นเมื่อวันที่ 7 พฤษภาคม แต่ทาง NTT ได้ทำการตรวจพบการบุกรุกวันที่ 11 พฤษภาคมที่ผ่านมา จาการประเมินการบุกรุกพบว่าแฮกเกอร์ได้ทำการแฮกเข้ามาถึง Active Directory ภายในบริษัทเพื่อทำการขโมยข้อมูลและทำการอัปโหลดข้อมูลไปยังเซิร์ฟเวอร์ของเเฮกเกอร์

NTT กล่าวว่าการโจมตีครั้งนี้เชื่อว่ามีต้นกำเนิดมาจากเซิร์ฟเวอร์ NTT ในสิงคโปร์ จากนั้นผู้โจมตีใช้จุดนี้ทำการโจมตีเพื่อเข้าถึงเซิร์ฟเวอร์คลาวด์ที่อยู่ในญี่ปุ่น (เซิร์ฟเวอร์ B) และเข้าสู่เครือข่ายภายในของ NTT Communication (เซิร์ฟเวอร์ A) จากนั้นผู้โจมตีจึงทำการเข้าถึงเซิร์ฟเวอร์ C ซึ่งเป็นเซิร์ฟเวอร์ที่ใช้ในการให้บริการคลาวด์ของ NTT และให้บริการลูกค้า

หลังจากเหตุการณ์ NTT พบว่าเเฮกเกอร์ได้ทำการขโมยข้อมูลของลูกค้าออกไปจำนวน 621 รายและ NTT ได้ทำการเเก้ไขและปิดช่องทางของแฮกเกอร์ทันที ปัจจุบันทาง NTT กำลังอยู่ในระหว่างการตรวจสอบผลกระทบต่อการโจมตีและทำการอัพเกรดโครงสร้างพื้นฐานเพื่อป้องกันการโจมตีในอนาคต ซึ่ง NTT จะแจ้งให้ลูกค้าทราบถึงผลกระทบและความเสียหายอย่างเป็นทางการอีกครั้ง

ที่มา

 zdnet
  infosecurity-magazine

 

เรียนเชิญเข้าร่วมรับฟังเนื้อหาความรู้ผ่าน Webinar หัวข้อ “เพิ่มประสิทธิภาพการตอบสนองภัยคุกคามแบบ End to End Security”

เรียนทุกท่าน
บริษัทไอ-ซีเคียวร่วมกับ บริษัทเอ็นฟอร์ซซีเคียว และ บริษัทพาโลอัลโต้เน็ตเวิร์ค
ขอเรียนเชิญท่านผู้มีเกียรติทุกท่านเข้าร่วมรับฟังสัมนาออนไลน์ผ่าน webinar ในหัวข้อ
"เพิ่มประสิทธิภาพการตอบสนองภัยคุกคามแบบ End to End Security"
ในวันอังคารที่ 26 พฤษภาคม 2563 เวลา 13:30 - 14:30 @ Video Conferencing สนใจรับฟังเชิญ ลงทะเบียน

คำแนะนำในการรักษาความปลอดภัยให้ Microsoft 365 จาก US-CERT

US-CERT ออกคำแนะนำในการรักษาความปลอดภัยให้กับการใช้งาน Microsoft 365 โดยแนะนำให้ปฏิบัติดังต่อไปนี้

เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีผู้ดูแลระบบ [1]
ใช้หลัก Least Privilege เพื่อป้องกันไม่ให้ Global Administrator ถูกโจมตีด้วยการสร้างบัญชีอื่นๆ แยกออกมาโดยให้สิทธิ์ที่จำเป็นเท่านั้น [2],[3]
เปิดการใช้งาน Audit Log โดย Audit Log จะเก็บเหตุการณ์ที่เกิดจากผลิตภัณฑ์ต่างๆ ในเครือ Microsoft 365 เช่น Exchange Online, SharePoint Online, OneDrive เป็นต้น [4]
ปิดการใช้งานอีเมลโปรโตคอลที่ล้าสมัยอย่าง POP3, IMAP หรือ SMTP [5]
เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีการใช้งานทั้งหมด
เปิดการใช้งานการแจ้งเตือนเหตุการณ์ผิดปกติ [6]
ส่ง log ของ Microsoft 365 ไปยัง SIEM ของค์กรเพื่อช่วยในการตรวจจับ [7]

ที่มา: https://www.

เรียนเชิญทุกท่าน เข้าร่วมงานสัมมนาในหัวข้อ “องค์กรจะปลอดภัยได้อย่างไร เมื่อพนักงานกลับมาทำงานที่ออฟฟิศ”

โดยเราจะมาร่วมกันหาคำตอบใน วันพฤหัสบดีที่ 28 พฤษภาคม 2563 เวลา 14:00 - 15:00 น.
ซึ่งทุกท่านเพียงกดปุ่ม ลงทะเบียน เพื่อเข้าร่วมงานในครั้งนี้ได้ก่อนใคร พร้อมรับสิทธิ์พิเศษภายในงาน

นักวิจัยค้นพบช่องโหว่ “Symlink Race” ใน 28 ผลิตภัณฑ์ป้องกันไวรัสยอดนิยมในปัจจุบัน

นักวิจัยด้านความปลอดภัยจาก RACK911 Labs กล่าวว่าพวกเขาพบช่องโหว่ "Symlink Race" ใน 28 ผลิตภัณฑ์ป้องกันไวรัสยอดนิยมในปัจจุบัน โดยผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องที่เกิดกับโปรแกรมป้องกันไวรัสทำการลบไฟล์ในระบบซึ่งอาจทำให้ระบบปฏิบัติการเกิดปัญหาหรือทำให้ไม่สามารถใช้งานได้

Vesselin Bontchev นักวิจัยจากห้องปฏิบัติการไวรัสวิทยาของสถาบันวิทยาศาสตร์แห่งบัลแกเรียกล่าวว่าช่องโหว่ Symlink race เป็นช่องโหว่ที่เกิดขั้นจากการเชื่อมโยงไฟล์ที่เป็นอันตรายเข้ากับไฟล์ที่ถูกต้องเพื่อทำการยกระดับสิทธิ์ไฟล์ที่เป็นอันตรายให้สูงขึ้นเพื่อใช้ในการโจมตี Elevation-of-Privilege (EoP)

นักวิจัยด้านความปลอดภัยจาก RACK911 ได้ทำการทดสอบช่องโหว่โดยการสร้างสคริปต์เพื่อทำการพิสูจน์ช่องโหว่ Symlink Race พบว่าในการทดสอบบน Windows, macOS และ Linux พวกเขาใช้ช่องโหว่ Symlink race ที่มีอยู่ในซอฟต์แวร์ป้องกันไวรัสและสามารถลบไฟล์ที่สำคัญในซอฟต์แวร์ป้องกันไวรัสได้โดยที่ซอฟต์แวร์ป้องกันไวรัสไม่ได้แสดงผลการแจ้งเตือนและพวกเขายังทดสอบช่องโหว่โดยทำการลบไฟล์ที่สำคัญในระบบปฏิบัติการ ผลลัพธ์คือระบบปฏิบัติการเกิดความเสียหายอย่างมากถึงขึ้นต้องทำการติดตั้งระบบปฏิบัติการใหม่เพื่อซ่อมแซมระบบปฏิบัติการที่เกิดความเสียหาย

นักวิจัยด้านความปลอดภัยจาก RACK911 กล่าวว่าช่องโหว่นี้อยู่ในผลิตภัณฑ์ซอฟต์แวร์ป้องกันไวรัส 28 รายกาย บนระบบปฏิบัติการ Linux, Mac และ Windows และได้รายงานให้เจ้าของผลิตภัณฑ์ป้องกันไวรัสรับทราบและเจ้าของผลิตภัณฑ์ได้ทำการการแก้ไขแล้ว อย่างไรก็ตามผู้ใช้งานควรทำการอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อความปลอดภัยของระบบและข้อมูลของผู้ใช้งาน

ที่มา: www.

NSA ได้เผยแพร่คำแนะนำและแจ้งเตือนบริษัทต่างๆ ให้ทำการตรวจสอบเซิร์ฟเวอร์จาก Web Shells รวมไปถึงช่องโหว่ที่มักถูกใช้โจมตี

 

สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ Australian Signals Directorate (ASD) ได้ทำการเผยแพร่คำแนะนำด้านความปลอดภัยในสัปดาห์ที่ผ่านมาเพื่อเตือนบริษัทต่างๆ ให้ทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานและเซิร์ฟเวอร์สำหรับภายในเพื่อทำการค้นหา Web shells ที่ถูกแฝงไว้ภายในเซิร์ฟเวอร์

Web shells เป็นหนึ่งในมัลแวร์ที่ได้รับความนิยมมากที่สุดในปัจจุบัน คำว่า "Web Shell" หมายถึงโปรแกรมที่เป็นอันตรายหรือสคริปต์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ มักจะถูกติดตั้งบนเซิร์ฟเวอร์ที่ถูกแฮก ผู้ประสงค์ร้ายมักจะอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางในการควบคุม, สั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายต่อในภายหลัง web shell ถือว่าเป็นมัลแวร์ประเภท backdoor ผู้ประสงค์ร้ายสามารถใช้เพื่อคัดลอก, แก้ไข, อัพโหลดไฟล์ใหม่หรือดาวน์โหลดข้อมูลที่สำคัญออกจากเซิร์ฟเวอร์

แฮกเกอร์จะทำการติดตั้ง web shells โดยหาช่องโหว่ภายในเซิร์ฟเวอร์หรือเว็บแอพพลิเคชันเช่น CMS, ปลั๊กอิน CMS, ธีม CMS, CRMs, อินทราเน็ตหรือแอพพลิเคชันในองค์กรอื่น ๆ เป็นต้น

Web shells สามารถใช้ภาษาโปรแกรมมิ่งเขียนขึ้นมาได้หลายภาษาเช่น Go จนไปถึง PHP ด้วยวิธีนี้การนี้ทำให้ผู้ประสงค์ร้ายสามารถซ่อน Web shells ภายในโค้ดของเว็บไซต์ใดๆ ภายใต้ชื่ออื่นๆ เช่น index.