ผลิตภัณฑ์ CrowdStrike มีการตรวจพบการแจ้งเตือนซึ่งเกิดจากการใช้งานโปรแกรม Internet Explorer โดยมีเนื้อหาของการแจ้งเตือนเกี่ยวข้องกับการทำ heap spraying ซึ่งเป็นหนึ่งในขั้นตอนของการทำ heap overflow ทีมตอบสนองการโจมตีและภัยคุกคามจึงทำการตรวจสอบเหตุการณ์ที่เกิดขึ้นว่าการแจ้งเตือนดังกล่าวมีแนวโน้มว่าจะเป็นการโจมตีช่องโหว่หรือไม่
Sample Alert

Analysis Goal
ทำการตรวจสอบการแจ้งเตือนเพื่อยืนยันว่าเหตุการณ์ที่เกิดขึ้นเป็นการโจมตีหรือไม่ รวมไปถึงประเมินแนวทางที่จำเป็นเพื่อทำการตรวจสอบ ลดผลกระทบและจัดการความเสี่ยงต่อไป
Analysis Procedures
จากการแจ้งเตือนที่ได้รับ ทีมตอบสนองการโจมตีและภัยคุกคามได้เข้าตรวจสอบรายละเอียดเหตุการณ์ที่เกิดขึ้น โดยรายละเอียดของเหตุการณ์ในส่วนของ Indicator of Attack (IOA) Name มีการระบุว่าการแจ้งเตือนมาจาก HeapSprayAttempted ในโปรเซสย่อยของ iexplore.

โดยปกตินั้นไอ-ซีเคียวจะมีการกระจายข่าวการอัปเดตประจำเดือนของแพตช์จากไมโครซอฟต์ในลักษณะของ "ข่าวสั้น" ซึ่งจะปรากฎทาง Blog และ Facebook แต่จากการประเมินแพตช์ในเดือนตุลาคม 2020 แล้ว เราตัดสินใจที่จะลงรายละเอียดให้ลึกกว่าเดิมด้วยความเชื่อที่ว่ามันอาจจะช่วยให้การแพตช์ได้รับความสนใจและถูกเห็นความสำคัญมากยิ่งขึ้นว่ามันอาจจะช่วยชีวิตเราได้ในอนาคตจริง ๆ

ในโพสต์นี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะขอสรุปแพตช์และช่องโหว่ซึ่งประกาศใหม่ รวมไปถึงลงรายละเอียดช่องโหว่ที่น่าสนใจอย่าง Bad Neighbor และช่องโหว่ RCE ใน SharePoint เพิ่มเติมครับ

Overview
CVE-2020-16898 "Bad Neighbor" Vulnerability
CVE-2020-16952 SharePoint RCE Vulnerability

Overview
ในรอบเดือนตุลาคม 2020 นี้ ไมโครซอฟต์มีการประกาศแพตช์มาซึ่งครอบคลุมช่องโหว่ 87 รายการ แยกตามกลุ่มผลิตภัณฑ์ของไมโครซอฟต์ดังนี้

กลุ่ม Windows กระทบ Windows 8.1, 8.1 RT, 10, Server 2012, 2016, 2019 มีทั้งหมด 53 ช่องโหว่
กลุ่ม Office, Office Service และ Office Web Apps มีทั้งหมด 23 ช่องโหว่
กลุ่ม Azure Functions มีทั้งหมด 2 ช่องโหว่
กลุ่ม Dynamics มีทั้งหมด 4 ช่องโหว่
กลุ่ม Exchange Server, Visual Studio, PowershellGet, .NET Framework และ Flash Player for Edge and IE มีทั้งหมดกลุ่มละ 1 ช่องโหว่

แยกทั้งหมด 87 ช่องโหว่และกลุ่มผลิตภัณฑ์ที่ได้รับแพตช์ด้านบน ทีมตอบสนองการโจมตีและภัยคุกคามขอสลับมาดูในมุมของผลกระทบจากช่องโหว่ (impact/severity) ซึ่งเป็นจะปัจจัยสำคัญในการทำ prioritization โดยช่องโหว่ที่ถูกระบุว่ามีผลกระทบที่สูงตามมาตรฐานของ CVSSv3 ทั้งหมด 5 อันดับแรก ซึ่งมีตามรายการดังนี้

CVE-2020-16898 "Bad Neighbor" เป็นช่องโหว่ remote code execution ใน Windows IPv6 stack (CVSSv3: 9.8)
CVE-2020-16891 เป็นช่องโหว่ remote code execution ใน Windows Hyper-V  (CVSSv3: 8.8)
CVE-2020-16911 เป็นช่องโหว่ remote code execution ใน Windows Graphics Device Interface (GDI) (CVSSv3: 8.8)
CVE-2020-16952 เป็นช่องโหว่ remote code execution ใน Windows SharePoint (CVSSv3: 8.6)
CVE-2020-16947 เป็นช่องโหว่ remote code execution ในซอฟต์แวร์ Microsoft Outlook (CVSSv3: 8.1)

แม้จะยังไม่มีการเผยแพร่ของโค้ดสำหรับโจมตีช่องโหว่ (exploit) ออกมา แต่มีการตรวจพบการใช้ช่องโหว่ 6 รายการจากทั้งหมด 87 รายการจากการโจมตีจริงแล้ว ซึ่งอาจแปลความหมายได้ว่ามีการโจมตีโดยใช้ช่องโหว่เกิดขึ้นก่อน และการตรวจจับการโจมตีนั้นนำไปสู่การค้นพบช่องโหว่ใหม่ ช่องโหว่ที่ถูกใช้ในการโจมตีจริงแล้ว ณ วันที่บทความนี้ถูกเขียน ได้แก่

CVE-2020-16937 เป็นช่องโหว่ information disclosure ใน .NET Framework
CVE-2020-16909 เป็นช่องโหว่ privilege escalation ใน Windows Error Reporting
CVE-2020-16901 เป็นช่องโหว่ information disclosure ใน Windows Kernel
CVE-2020-16938 เป็นช่องโหว่ information disclosure ใน Windows Kernel
CVE-2020-16908 เป็นช่องโหว่ privilege escalation ใน Windows Setup
CVE-2020-16885 เป็นช่องโหว่ privilege escalation ใน Windows Storage VSP Driver

CVE-2020-16898 "Bad Neighbor" Vulnerability
Vulnerability Details
ทีม McAfee Advanced Threat Research พบช่องโหว่ใน Windows IPv6 stack ซึ่งทำให้ผู้โจมตีสามารถส่งแพ็คเกตแบบพิเศษมายังเป้าหมายที่มีช่องโหว่ จากนั้นรันโค้ดที่เป็นอันตรายในระบบที่มีช่องโหว่ได้ทันที ช่องโหว่นี้มีคุณลักษณะ Wormable ซึ่งหมายถึงสามารถถูกใช้ในการแพร่กระจายของมัลแวร์แบบเวิร์มได้ เช่นเดียวกันช่องโหว่ EternalBlue ที่ถูกใช้โดย WannaCry

ช่องโหว่มีที่มาจากการที่ Windows TCP/IP stack จัดการแพ็คเกตจากโปรโตคอล ICMPv6 Router Advertisement ซึ่งมีการใช้ Option Type 25 (Recursive DNS Server Option) กับค่าในฟิลด์ length เป็นเลขคู่อย่างไม่เหมาะสม ในเบื้องหลังการทำงานซึ่งทำให้เกิดช่องโหว่ Windows มีการทำงานผิดพลาดในส่วนของการจัดการค่าในฟิลด์ length ให้สอดคล้องกับที่ระบุไว้ใน RFC 8106 ซึ่งค่าที่ฟิลด์ length ควรจะต้องเป็นเลขคี่ที่มีค่า 3 เป็นอย่างน้อย

เมื่อมีการส่งค่าในฟิลด์ length เป็นเลขคู่เข้ามา Windows TCP/IP stack จะการจองพื้นที่ในหน่วยความจำเล็กกว่าความเป็นจริงทั้งหมด 8 ไบต์ ซึ่งส่งผลให้เกิดเงื่อนไขของช่องโหว่ประเภท buffer overflow ซึ่งนำไปสู่การโจมตีแบบ denial of service และ remote code execution ได้

ทีม McAfee Advanced Threat Research ให้ความเห็นว่าช่องโหว่ Bad Neighbor จำเป็นจะต้องถูกใช้ร่วมกับช่องโหว่อื่นเพื่อให้สามารถนำไปใช้โจมตีได้จริง สอดคล้องกับทาง SophosLabs ซึ่งลงความเห็นการทำให้ช่องโหว่นำมาใช้เพื่อทำ remote code execution นั้นทำได้ยาก
Attack Surface
ช่องโหว่นี้กระทบ Windows 10 ตั้งแต่รุ่น 1709 จนถึง 2004 และ Windows Server 2019
Detection
ทีม McAfee Advanced Threat Research ให้ความเห็นว่าการตรวจจับการโจมตีช่องโหว่สามารถทำได้ง่ายโดยการตรวจสอบแพ็คเกต ICMPv6 ที่เข้ามาในระบบ โดยให้ตรวจสอบตามเงื่อนไขดังนี้

ตรวจหาแพ็คเกต ICMPv6 ที่มีการกำหนดฟิลด์ Type เป็น 134 ซึ่งหมายถึง Router Advertisement หรือไม่
ตรวจหาว่าการกำหนด ICMPv6 ฟิลด์ Option เป็น 25 ซึ่งหมายถึง Recursive DNS Server (RDNSS) หรือไม่
ตรวจสอบว่าในส่วน RDNSS option นี้มีการกำหนดในฟิลด์ length เป็นเลขคู่หรือไม่

หากแพ็คเกตมีลักษณะครบตามทั้ง 3 เงื่อนไข ให้ทำการบล็อคแพ็คเกตดังกล่าวทันทีเนื่องจากอาจเป็นไปได้ว่าเป็นความพยายามโจมตีช่องโหว่ Bad Neighbor

ทีม McAfee Advanced Threat Research ยังมีการเผยแแพร่ Suricata signature และ Lua script ในช่วยตรวจจับการพยายามโจมตีช่องโหว่เอาไว้ด้วยที่ advanced-threat-research/CVE-2020-16898
Mitigation
การลดผลกระทบหรือลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ Bad Neighbor มีได้หลายวิธีการ ได้แก่

ปิดการใช้งาน IPv6 ในเน็ตเวิร์คอินเตอร์เฟสที่ไม่มีความจำเป็นต้องใช้ (อาจส่งผลกระทบต่อบางฟีเจอร์ของระบบ)
บล็อคหรือดรอปแพ็คเกต IPv6 ที่มีคุณลักษณะที่ไม่จำเป็นต้องการใช้งานที่ network perimeter โดยเฉพาะอย่างยิ่ง ICMPv6 Router Advertisements
ในขณะนี้ Windows Defender และ Windows Firewall ยังไม่สามารถบล็อคการทดลองโจมตีด้วย Proof of Concept ได้

อาจเป็นไปได้ที่ผู้โจมตีมีการใช้วิธีการ tunneling ให้สามารถส่ง ICMPv6 ผ่าน IPv4 มาได้ด้วยเทคโนโลยีอย่าง 6to4 หรือ Teredo อย่างไรก็ตามยังไม่มีการตรวจสอบในประเด็นนี้ว่าสามารถทำได้จริงหรือไม่
CVE-2020-16952 SharePoint RCE Vulnerability
Vulnerability Details
ทีม Source Incite พบช่องโหว่ใน Windows SharePoint ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายในระบบด้วยสิทธิ์ของผู้ดูแลระบบได้ การโจมตีจะต้องมีการพิสูจน์ตัวตนก่อน ซึ่งหมายถึงว่าผู้โจมตีจะต้องมีบัญชีอยู่ในระบบก่อน

ช่องโหว่นี้เกิดขึ้นในคลาส Microsoft.

เมื่อวันที่ 11 กันยายน 2020 ที่ผ่านมา Tom Tervoort จากบริษัท Secura ได้เผยแพร่ Whitepaper Zerologon: Unauthenticated domain controller compromise by subverting Netlogon cryptography (CVE-2020-1472) ซึ่งเปิดเผยรายละเอียดทางเทคนิค รวมถึงความร้ายแรงของช่องโหว่ดังกล่าวโดยละเอียด หลังจากที่ช่องโหว่ดังกล่าวถูกแพตช์ไปแล้วในแพตช์ประจำเดือนสิงหาคม 2020 โดยจาก Whitepaper นี้ ทำให้เห็นรายละเอียดความร้ายแรงของช่องโหว่มากขึ้น รวมไปถึงทำให้นักวิจัยสามารถจัดทำโค้ดสำหรับโจมตีช่องโหว่นี้เผยแพร่สู่สาธารณะได้

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด ขอแจ้งเตือนและให้รายละเอียดโดยคร่าวเกี่ยวกับช่องโหว่ CVE-2020-1472 ตามหัวข้อต่อไปนี้

รายละเอียดช่องโหว่โดยย่อ
การโจมตีช่องโหว่
ระบบที่ได้รับผลกระทบ
การตรวจจับและป้องกันการโจมตี
อ้างอิง

รายละเอียดช่องโหว่โดยย่อ
ช่องโหว่ CVE 2020-1472 (Zerologon) เป็นช่องโหว่การเข้ารหัสใน Microsoft Windows Netlogon Remote Protocol (MS-NRPC หรือ NRPC) ซึ่งทำให้เมื่อผู้โจมตีเข้าถึง network ภายในองค์กรได้ ผู้โจมตีจะสามารถปลอมเป็นเครื่องใดๆ ใน domain รวมถึง Domain Controller ได้ และส่งคำขอเพื่อเปลี่ยนรหัสผ่านของ Domain Controller เป็นค่าว่างได้ ซึ่งนำไปสู่การยึดครองเครื่อง Domain Controller หรือทำ DCSync เพื่อ Dump Password Hash ออกมาได้ โดยช่องโหว่นี้ได้คะแนน CVSSv3 แบบ Base Score อยู่ที่ 10 เต็ม 10 มีความรุนแรงระดับวิกฤติ

ในปัจจุบันมีการปล่อยโค้ด Proof of concept ของช่องโหว่ดังกล่าวออกมาแล้ว โดยการที่เปลี่ยนรหัสผ่านของ Domain Controller จากการโจมตีนี้ทำให้รหัสผ่านค่าว่างที่จะถูกบันทึกใน Active Directory นั้นแตกต่างจากรหัสผ่านที่บันทึกไว้ใน registry ทำให้ Domain Controller ทำงานผิดปกติอย่างคาดเดาไม่ได้

โดยการแพตช์ของไมโครซอฟต์เกี่ยวข้องกับช่องโหว่นี้จะแบ่งเป็นสองแพตช์ คือ

แพตช์ประจำเดือนสิงหาคม 2020 (Initial Deployment Phase)
แพตช์ประจำเดือนกุมภาพันธ์ 2021 (Enforcement Phase)

โดยในแพตช์ประจำเดือนสิงหาคม 2020 เป็นอัปเดตเพื่อบังคับใช้ Secure NRPC สำหรับ Windows server และ Client ใน domain ทั้งหมด รวมถึงเพิ่ม Systems Event ID 5827 ถึง 5831 เพื่อช่วยในการตรวจจับช่องโหว่ดังกล่าว แต่ยังยินยอมให้มีการใช้ Netlogon เดิมที่ยังมีช่องโหว่ได้

แต่ในแพตช์ประจำเดือนกุมภาพันธ์ 2021 จะเป็นการบังคับใช้ Secure NRPC เท่านั้น ส่งผลให้อุปกรณ์ที่ไม่รองรับ Secure NRPC จะไม่สามารถใช้งานได้ โดยสามารถอ่านรายละเอียดได้จาก How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 ซึ่งผู้ที่อัปเดทแพตช์ประจำเดือนสิงหาคม 2020 แล้วต้องการบังคับใช้ Secure NRPC สามารถอ่านวิธีตั้งค่าได้ในบทความเดียวกันนี้

ข้อเสียของการไม่บังคับใช้ Secure NRPC กับอุปกรณ์อื่นๆ แม้อัปเดตแพตช์แพตช์ประจำเดือนสิงหาคม 2020 คือ ผู้โจมตีจะสามารถปลอมเป็นเครื่องใดๆ ใน domain แล้วเปลี่ยนรหัสผ่านของอุปกรณ์นั้นๆ เป็นค่าว่าง ส่งผลให้อุปกรณ์นั้นๆ ไม่สามารถทำงานได้ (deny of service)

นอกจากระบบปฏิบัติการ windows แล้ว ระบบปฏิบัติการ Linux เป็น Domain Controller ที่มีการใช้ Samba รุ่นต่ำกว่า 4.8 หรือ Samba รุ่น 4.8 เป็นต้นไปที่มีการเปลี่ยนการตั้งค่าไม่ใช้ Secure NRPC จะมีความเสี่ยงต่อช่องโหว่นี้เช่นกัน

ทั้งนี้หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐอเมริกาออกประกาศ Emergency Directive 20-04 ให้หน่วยงานของรัฐทำการอัปเดตแพตช์ของช่องโหว่นี้ภายในวันที่ 21 กันยายน 2020 หรือถ้าอัปเดตไม่ได้ ให้นำเครื่องออกจาก network โดยระบุว่าช่องโหว่นี้เป็นความเสี่ยงที่ไม่สามารถยอมรับได้ (unacceptable risk) เพราะ

มีโค้ดสำหรับโจมตีแล้ว
มีการใช้งาน Domain Controller ในหน่วยงานรัฐจำนวนมาก
โอกาสถูกโจมตีสูง
ผลกระทบจากการโจมตีร้ายแรงมาก
พบว่ามีเครื่องที่มีช่องโหว่อยู่มากแม้มีแพตช์ออกมาแล้วนานกว่า 30 วัน

การโจมตีช่องโหว่
ในปัจจุบันมีการปล่อยโค้ด Proof of concept ของช่องโหว่ดังกล่าวออกมาแล้ว ซึ่ง mimikatz เองก็มีการอัปเดทเพื่อรองรับการโจมตี Zerologon อีกด้วย

 

นักวิจัยมองว่ามีโอกาสสูงที่ APT และผู้โจมตีที่ใช้ ransomware จะใช้ช่องโหว่นี้เป็นขั้นตอนต่อมาหลังจากการเข้าถึง network ภายในองค์กร
ระบบที่ได้รับผลกระทบ

Windows server ทั้งหมดที่ยังได้รับการ support ได้แก่

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

ระบบปฏิบัติการ Linux เป็น Domain Controller ที่มีการใช้ Samba รุ่นต่ำกว่า 4.8
ระบบปฏิบัติการ Linux เป็น Domain Controller ที่มีการใช้ Samba รุ่น 4.8 เป็นต้นไปที่มีการเปลี่ยนการตั้งค่าไม่ใช้ Secure NRPC

หมายเหตุ

Windows server ที่หมดระยะ support อาจได้รับผลกระทบจากช่องโหว่ แต่เนื่องจากหมดระยะ support แล้วจึงไม่มีการวิเคราะห์จากไมโครซอฟต์ว่ามีช่องโหว่หรือไม่ รวมถึงไม่มีแพตช์จากไมโครซอฟต์ 
ระบบปฏิบัติการ Linux ที่มีการใช้ Samba เป็น File servers ไม่ใช่ Domain Controller อาจไม่ได้รับผลกระทบโดยตรงจากช่องโหว่ แต่ควรตรวจสอบว่าใช้ Secure NRPC หรือไม่ เพื่อให้สามารถสื่อสารกับ Windows server ที่จะมีการแพตช์ประจำเดือนกุมภาพันธ์ 2021 (Enforcement Phase) ในอนาคตได้

การตรวจจับและป้องกันการโจมตี
Windows
ปัจจุบันไมโครซอฟต์ไม่มีการแนะนำวิธีป้องกันและลดความเสี่ยงนอกจากการแพตช์ แต่เนื่องจากช่องโหว่นี้มีเงื่่อนไขว่าผู้โจมตีต้องเข้าถึง network ภายในองค์กรได้ก่อน ทำให้ป้องกันได้ทางอ้อมโดยการไม่ให้ผู้โจมตีสามารถเข้าถึง network ภายในองค์กรได้ รวมถึงสามารถตรวจจับการโจมตีได้จากการที่แบ่งโซน network และมีผลิตภัณฑ์ตรวจจับระหว่างโซนภายในกับ Domain Controller โดยผู้ผลิตหลายแห่งได้จัดทำการตรวจจับแล้ว เช่น

Trend Micro Deep Security: Rule 1010519 - Microsoft Windows Netlogon Elevation of Privilege Vulnerability (CVE-2020-1472)
Trend Micro TippingPoint: Filter 38166: MS-NRPC: Microsoft Windows Netlogon Zerologon Authentication Bypass Attempt
Palo Alto Networks Next-Generation Firewalls Threat ID 59336 detecting on the vulnerable Windows API (NetrServerAuthenticate3) with spoofed credentials
FortiGuard ID 49499 MS.Windows.

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด ขอนำเสนอข้อมูลเกี่ยวกับ Ransomware ในปัจจุบันรวมถึงวิธีการรับมือ โดยแบ่งตามหัวข้อต่อไปนี้

Ransomware คืออะไร?
รู้จัก human-operated ransomware
สถิติมัลแวร์เรียกค่าไถ่ในไตรมาสที่ 2 ของปี 2020
เทคนิคการโจมตีของมัลแวร์เรียกค่าไถ่
การรับมือมัลแวร์เรียกค่าไถ่

 

 
Ransomware คืออะไร?
Ransomware หรือมัลแวร์เรียกค่าไถ่เป็นมัลแวร์ที่เมื่อแพร่กระจายไปยังเครื่องเหยื่อปลายทางจะทำการเข้ารหัสไฟล์ หากผู้ใช้งานต้องการจะเข้าถึงไฟล์ที่ถูกเข้ารหัส จำเป็นต้องจ่ายค่าไถ่ให้กับผู้โจมตี ซึ่งการจ่ายค่าไถ่ดังกล่าวไม่การันตีการได้รับไฟล์คืน เหยื่ออาจพบการข่มขู่ให้จ่ายค่าไถ่มากขึ้นหรือมัลแวร์ดังกล่าวอาจมีกระบวนการเข้ารหัสหรือถอดรหัสที่ผิดพลาดจนทำให้ไม่สามารถทำให้ไฟล์กลับสู่สภาพเดิมได้

ประวัติของมัลแวร์เรียกค่าไถ่สามารถย้อนกลับไปได้ถึงช่วงปี 1989 โดยปัจจุบันมัลแวร์เรียกค่าไถ่และผู้โจมตีที่อยู่เบื้องหลังการโจมตีมีการพัฒนาไปอย่างมาก เป้าหมายของมัลแวร์เรียกค่าไถ่ไม่เฉพาะเจาะจงแค่เครื่องคอมพิวเตอร์อีกต่อไป มีการพบมัลแวร์เรียกค่าไถ่มุ่งโจมตีโทรศัพท์มือถือ android และมีมัลแวร์เรียกค่าไถ่ที่มุ่งโจมตี NAS อีกด้วย
รู้จัก human-operated ransomware
เมื่อเดือนมีนาคม 2020 ที่ผ่านมา Microsoft ออกบทความ Human-operated ransomware attacks: A preventable disaster ซึ่งพูดถึงการนิยาม Ransomware เป็นสองแบบคือ Auto-spreading ransomware อย่าง Wannacry ที่มีความสามารถโจมตีช่องโหว่ใน SMBv1 โดยอัตโนมัติ และ human-operated ransomware ที่มีมนุษย์อยู่เบื้องหลัง เป็นการโจมตีที่มีการวางแผน มีการพุ่งเป้าโจมตีอย่างชัดเจนไปยังองค์กรต่างๆ โดยมุ่งหวังให้เกิดรายได้สูงสุด

ในการมุ่งหวังให้เกิดรายได้สูงสุดของ human-operated ransomware นั้น ผู้โจมตีจะมีการวางแผนโจมตีองค์กรโดยมากกว่าการโจมตีเหยื่อรายบุคคลเพราะองค์กรมีความสามารถในการจ่ายเงินสูงกว่า สามารถเรียกค่าไถ่ได้มากกว่าเหยื่อรายบุคคล มีการใช้เทคนิคต่างๆ เพื่อช่วยในการโจมตี ไม่ว่าจะเป็นการซื้อ credential จากตลาดมืด, การใช้ spearphishing email, การใช้โปรแกรมที่มีอยู่บนเครื่องอยู่แล้วเพื่อไม่ให้ผิดสังเกต (Living Off The Land) หรือเทคนิคอื่นๆ ตามความสามารถของผู้โจมตีเหล่านั้น

ทั้งนี้ผู้โจมตีที่เลือกใช้ Ransomware ไม่จำเป็นต้องมีความสามารถในการพัฒนามัลแวร์หรือมีความสามารถในการโจมตี เพราะในปัจจุบันมีสิ่งที่เรียกว่า Ransomware-as-a-service (RaaS) ซึ่งประกอบไปด้วยตัว ransomware, ระบบจัดการการจ่ายค่าไถ่, วิธีการโจมตีเพื่อวางมัลแวร์เรียกค่าไถ่ และสิ่งจำเป็นอื่นๆ ที่เกี่ยวข้อง โดยผู้ใช้ RaaS อาจจ่ายค่าบริการเป็นการแบ่งรายได้จากการเรียกค่าไถ่ให้กับผู้ให้บริการ

ตั้งแต่ปี 2019 เป็นต้นมา human-operated ransomware เริ่มต้นโดย Maze มีการพัฒนาเทคนิคเพื่อการันตีให้องค์กรจ่ายเงินด้วยการขโมยข้อมูลก่อนทำการปล่อยมัลแวร์เข้ารหัสไฟล์ เพื่อข่มขู่ให้องค์กรยอมจ่ายเงิน มิฉะนั้น Maze จะทำการปล่อยข้อมูลสู่สาธารณะ ซึ่งค่าปรับจากกฏหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลหรือผลกระทบอื่นๆ จากข้อมูลรั่วไหลอาจสูงกว่าค่าไถ่

กลยุทธของ Maze ถือว่าเป็นประสบผลสำเร็จเป็นอย่างมาก เพราะมีองค์กรที่สามารถกู้คืนระบบจากเข้ารหัสไฟล์ได้ แต่ยอมจ่ายเงินค่าไถ่เพื่อให้ผู้โจมตีลบไฟล์ที่ขโมยออกไป ทำให้กลุ่มผู้โจมตีอื่นๆ หันมาขโมยข้อมูลก่อนเข้ารหัสไฟล์เช่นกัน

 

 

โดยเหยื่อล่าสุดที่มีข่าวว่ายอมจ่ายเงินแม้กู้คืนระบบได้คือ มหาวิทยาลัยแห่งยูทาห์ (University of Utah) แถลงว่าถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ สามารถกู้คืนระบบได้ แต่จ่ายค่าไถ่โดยใช้วงเงินจากบริษัทประกันเพื่อป้องกันไม่ให้ผู้โจมตีทำการปล่อยข้อมูลนักศึกษาและบุคลากรเมื่อวันที่ 21 สิงหาคม 2020 ที่ผ่านมา ซึ่งผู้เชี่ยวชาญวิเคราะห์ว่าน่าจะเป็นผลงานของ NetWalker ransomware
สถิติมัลแวร์เรียกค่าไถ่ในไตรมาสที่ 2 ของปี 2020
Coveware ซึ่งเป็นบริษัทที่เชี่ยวชาญในการรับมือกับมัลแวร์เรียกค่าไถ่ออกรายงานวิเคราะห์ประจำไตรมาสที่ 2 ของปี 2020 Ransomware Attacks Fracture Between Enterprise and Ransomware-as-a-Service in Q2 as Demands Increase ซึ่งมีจุดน่าสนใจหลายอย่าง ได้แก่

ค่าเฉลี่ยของค่าไถ่ในไตรมาสที่ 2 ของปี 2020 อยู่ที่ 178,254 ดอลลาร์สหรัฐ (ประมาณ 5 ล้าน 5 แสนบาท)
ช่องทางการโจมตีของมัลแวร์เรียกค่าไถ่มาจาก RDP สูงสุด ตามด้วย Email Phishing และช่องโหว่ที่ไม่ได้รับการแพตช์ สอดคล้องกับการ Work From Home ที่เพิ่มขึ้น ทำให้มีองค์กรที่เปิดการใช้งาน RDP มากขึ้น

มัลแวร์เรียกค่าไถ่ที่ทำเงินได้มากที่สุด 3 อันดับคือ Sodinokibi, Maze และ Phobos

โดยในรายงานดังกล่าว Coveware ยังระบุว่าเป้าหมายของมัลแวร์เรียกค่าไถ่พุ่งไปที่องค์กรประเภท Professional Service มากที่สุด ตามด้วย Public Sector และมีประเภท Health Care เป็นอันดับที่ 3

 

 

ซึ่งถึงแม้ว่าจะมีมัลแวร์เรียกค่าไถ่หลายๆ กลุ่มจะประกาศหยุดโจมตีกลุ่ม Health Care ในช่วง COVID-19 แต่ไม่ใช่ทั้งหมด เนื่องจากกลุ่ม Health Care มักจะได้รับผลกระทบจากการหยุดให้บริการอย่างมาก จึงมีความเป็นไปได้ที่จะจ่ายค่าไถ่สูง
เทคนิคการโจมตีของ ransomware
การโจมตีของมัลแวร์เรียกค่าไถ่รวมถึงผู้โจมตีที่อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่นั้นมีความหลากหลายและแตกต่างกันไปตามแต่ละชนิดของมัลแวร์เรียกค่าไถ่ ทำให้ยากต่อการหา “วิธีการเดียวที่ได้ผล” ในการใช้ผลิตภัณฑ์ เครื่องมือ หรือวิธีการใดวิธีการหนึ่งเพียงอย่างเดียวในการรับมือมัลแวร์เรียกค่าไถ่ทั้งหมด จำเป็นต้องใช้วิธีป้องกันร่วมกันหลายอย่าง (Defense in depth) ในการป้องกันดังกล่าว

 

 

สถานการณ์การโจมตีจาก ransomware อาจเป็นได้ทั้ง

ผู้โจมตีส่ง Phishing ให้เหยื่อเป็นอีเมลที่มีไฟล์เอกสารแนบมา เหยื่อหลงเชื่อแล้วทำการเปิดเอกสาร มีการ enable content เพื่อดูใจความ ทำให้ macro ที่ถูกซ่อนไว้ทำงานเรียกใช้ powershell เพื่่อดาวน์โหลดมัลแวร์ขั้นต่อไปมา จนกระทั่งเรียกใช้มัลแวร์ค่าไถ่เข้ารหัสระบบ

โจมตีสแกนหาเครื่องเซิร์ฟเวอร์ที่มีการเปิด RDP ไว้ ผู้โจมตีทำการ brute force เพื่อเข้าถึง RDP ซึ่งผู้โจมตีสามารถโจมตีสำเร็จ ได้บัญชีผู้ใช้ระดับผู้ดูแลระบบที่มีสิทธิ์สูง ทำให้ผู้โจมตีใช้บัญชีเหล่านั้นในการเข้าถึงเครื่องได้ เนื่องจากมีสิทธิ์สูง ผู้โจมตีสามารถปิดโปรแกรมป้องกันต่างๆ ทำการขโมยข้อมูล credential ทำการขโมยข้อมูลสำคัญบนเครื่อง ติดตั้ง backdoor เพื่อให้สามารถคงอยู่ในระบบต่อโดยง่าย จากนั้นทำการขยับไปยังเครื่องอื่นๆ ที่อยู่ในองค์กรเดียวกัน ลบ backup ทิ้ง เลือกเครื่องเป้าหมายในการวางมัลแวร์ จากนั้นทำการเรียกใช้มัลแวร์เรียกค่าไถ่เข้าสู่ระบบทั้งหมด เป็นต้น

การรับมือมัลแวร์เรียกค่าไถ่
อ้างอิงจากกรอบขั้นตอนการรับมือภัยคุกคาม NIST Special Publication 800-61 Revision 2 Computer Security Incident Handling Guide (NIST SP 800-61 Rev.

F5 Networks ซึ่งเป็นหนึ่งในผู้ให้บริการเครือข่ายระดับองค์กรที่ใหญ่ที่สุดในโลกได้เผยแพร่คำแนะนำด้านความปลอดภัยเพื่อเตือนลูกค้าให้ทำการอัพเดตเเพตซ์แก้ไขข้อบกพร่องด้านความปลอดภัยที่เป็นอันตรายซึ่งมีแนวโน้มว่าจะถูกนำไปใช้ประโยชน์ เพื่อโจมตีองค์กรต่างๆ โดยช่องโหว่ดังกล่าวถูกติดตามด้วยรหัส CVE-2020-5902 ช่องโหว่ที่เกิดขึ้นนั้นส่งผลกระทบต่อผลิตภัณฑ์ BIG-IP ซึ่งอยู่ในอุปกรณ์เน็ตเวิร์คเช่น Web Traffic Shaping Systems, Load balance, Firewall, Access Gateway ตลอดจนไปถึง SSL Middleware เป็นต้น

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด จะมาติดตามรายละเอียดของช่องโหว่นี้ พร้อมทั้งอธิบายที่มาการตรวจจับและการป้องกันการโจมตีช่องโหว่นี้ โดยในบล็อกนี้นั้นเราจะทำการติดตามและอัปเดตข้อมูลรายวันเพื่อให้ผู้ใช้บริการได้รับข้อมูลที่ทันสมัยที่สุด

รายละเอียดช่องโหว่โดยย่อ

รายละเอียดของช่องโหว่เชิงเทคนิค

การโจมตีช่องโหว่

ระบบที่ได้รับผลกระทบ

การตรวจจับและป้องกันการโจมตี

Root Cause ของช่องโหว่

การบรรเทาผลกระทบ

อ้างอิง

รายละเอียดช่องโหว่โดยย่อ
ช่องโหว่ CVE-2020-5902 เป็นช่องโหว่ Remote Code Execution (RCE) ที่เกิดขึ้นจากข้อผิดพลาดใน BIG-IP Management Interface หรือที่เรียกว่า TMUI (Traffic Management User Interface) โดยช่องโหว่นี้ถูกประเมินด้วยคะแนน CVSSv3 แบบ Base Score อยู่ที่ 10/10 ซึ่งถือว่าเป็นช่องโหว่ที่มีความรุนเเรงและอัตรายอย่างมาก

ผู้ประสงค์ร้ายสามารถใช้ประโยน์จากช่องโหว่นี้ผ่านทางอินเตอร์เน็ตเพื่อเข้าถึง TMUI Component ซึ่งทำงานบน Tomcat เซิร์ฟเวอร์บนระบบปฏิบัติการ Linux ของ BIG-IP ซึ่งช่องโหว่นี้ทำให้ผู้บุกรุกสามารถรันคำสั่งบนระบบได้ โดยการรันคำสั่งสามารถสร้างหรือลบไฟล์, Disable Service และยังสามารถรันคำสั่งโค้ด Java บนอุปกรณ์ที่ใช้ BIG-IP ได้

ช่องโหว่นี้ถูกค้นพบและรายงานโดย Mikhail Klyuchnikov นักวิจัยด้านความปลอดภัยจาก Positive Technologies นักวิจัยได้ทำการค้นหาอุปกรณ์ BIG-IP ที่สามารถเข้าได้ผ่านอินเตอร์เน็ต โดยการใช้ Shodan Search พบว่ายังมีอุปกรณ์ BIG-IP ประมาณ 8,400 ที่สามารถเข้าได้ผ่านอินเตอร์เน็ตซึ่ง 40% อยู่ในประเทศสหรัฐอเมริกา

รูปที่ 1 จำนวนอุปกรณ์ BIG-IP ที่สามารถเข้าได้ผ่านอินเตอร์เน็ต

รายละเอียดของช่องโหว่เชิงเทคนิค
ช่องโหว่ CVE-2020-5902 เป็นช่องโหว่ Directory Traversal ใน /tmui/locallb/workspace/tmshCmd.

หากถามความเห็นของทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) ของบริษัท ไอ-ซีเคียว จำกัด ว่าการรับมือและตอบสนองภัยคุกคามในลักษณะไหนที่เราอยากทำให้ได้ หรือทีมในการรับมือและตอบสนองภัยคุกคามทีมใดที่เราอยากเป็นและเอามาเป็นแบบอย่าง ทีมจาก FireEye Mandiant มักเป็นตัวเลือกอันดับต้นๆ ที่เรานึกถึงเสมอ

นอกเหนือจาก Threat Research Blog ที่เราเป็นแฟนตัวยงแล้ว ในทุกๆ ปี FireEye Mandiant จะมีการเผยแพร่รายงาน M-Trends ซึ่งอธิบายภาพรวมของการรับมือและตอบสนองภัยคุกคามที่ด่านหน้า รายงาน M-Trends มีประโยชน์อย่างมากในมุมของการให้ข้อมูลทางสถิติที่มีผลโดยตรงต่องานด้าน Incident response รวมไปถึงการบทวิเคราะห์และการทำนายเพื่อการเตรียมพร้อมรับมือ

ดังนั้นในโพสต์นี้ ทีม Intelligent Response จะมาสรุปประเด็นที่น่าสนใจจากรายงาน M-Trends 2020 ว่าเราผ่านอะไรมาแล้วบ้าง เราจะเจออะไรต่อและเราต้องเตรียมพร้อมเพื่อเจอกกับสิ่งเหล่านั้นอย่างไรครับ

รายงาน M-Trends 2020 ฉบับเต็มสามารถดาวโหลดได้ที่นี่
การลดลงของ Dwell Time และการตรวจจับภัยคุกคามที่รวดเร็วขึ้น
ส่วนสำคัญของ M-Trends ในทุกๆ ปีคือข้อมูลทางด้านสถิติซึ่งสะท้อนให้เห็นประสิทธิภาพในการรับมือและตอบสนองภัยคุกคาม โดยในปีนี้นั้นค่า Dwell time ซึ่งหมายถึงระยะเวลาที่ภัยคุกคามอยู่ในระบบจนกว่าจะถูกตรวจจับได้มีการลดลงในทิศทางที่ดี

ในปี 2018 นั้น เราใช้เวลาถึง 50.5 วันในการตรวจจับการมีอยู่ของภัยคุกคามในสภาพแวดล้อมหรือระบบ ในขณะเดียวกันในปี 2019 เราตรวจจับการมีอยู่ของภัยคุกคามเร็วขึ้นจนเหลือเพียง 30 วันเท่านั้น ในอีกมุมหนึ่งก็อาจสามารถพูดได้ว่าการตรวจจับของเราดีขึ้นจนทำให้เวลาที่ภัยคุกคามจะอยู่ในระบบได้ลดน้อยลง

นอกเหนือจากการลดลงในมุมของการตรวจจับภัยคุกคามภายในแล้ว ยังมีประเด็นที่น่าสนใจในเรื่องของ Dwell time ดังนี้

ค่าเฉลี่ยในการตรวจจับกิจกรรมการของสหรัฐอเมริกาอยู่ที่ 14 วัน โดยกิจกรรมการตรวจพบที่มากที่สุดคือการโจมตีด้วย Ransomware ถูกคิดเป็น 43% ของเวลาเฉลี่ย
ค่าเฉลี่ยในการตรวจจับกิจกรรมการของกลุ่ม APAC อยู่ที่ 54 วันจาก 204 วันจากปีก่อนหน้านี้ โดยกิจกรรมการตรวจพบที่มากที่สุดคือ การโจมตีด้วย Ransomware ถูกคิดเป็น 18% ของเวลาเฉลี่ย

กลุ่ม Entertainment/Media ขึ้นจากอันดับ 5 สู่อันดับ 1 ของกลุ่ม Sector ที่ถูกโจมตีมากที่สุด
10 อันดับของกลุ่มธุรกิจที่มักตกเป็นเป้าหมายในการโจมตีมีตามรายการดังนี้

กลุ่ม Entertainment/Media
กลุ่ม Financial
หน่วยงานรัฐฯ
กลุ่มธุรกิจทั่วไปและกลุ่มซึ่งให้บริการจำพวก Professional service
กลุ่มธุรกิจเกี่ยวกับวิศวกรรมและการก่อสร้าง
กลุ่มบริษัททางด้านเทคโนโลยีและกลุ่มองค์กรด้านการติดต่อสื่อสาร
ไม่มีอันดับ
กลุ่ม Healthcare
กลุ่มพลังงาน
กลุ่มองค์กรไม่แสวงหาผลกำไร กลุ่มเกี่ยวกับการคมนาคมและขนส่ง

ช่องทางการโจมตียอดนิยมคือ Remote Desktop และ Phishing
ช่องทางการโจมตีซึ่งเป็นที่นิยมในปี 2019 ยังคงเป็นช่องทางที่ทำให้ผู้โจมตีสามารถควบคุมเป้าหมายได้จากระยะไกลอย่างฟีเจอร์ Remote Desktop เป็นส่วนใหญ่ ในขณะเดียวกันการโจมตีอย่าง Phishing ก็ยังคงได้รับความนิยมและมักถูกใช้โดยกลุ่ม APT อันเนื่องมาจากความยากในการป้องกันและตรวจสอบ
กลุ่ม APT 41 จากจีนคือกลุ่มภัยคุกคามหลักสำหรับประเทศกลุ่ม APAC

กลุ่มผู้โจมตีที่พุ่งเป้ามามาที่ไทยหรือในกลุ่ม APAC คือ APT41 ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนโดยทางกลุ่มได้กำหนดเป้าหมายเป็นองค์กรภายใน 14 ประเทศ เช่น ฮ่องกง, ฝรั่งเศส, อินเดีย, อิตาลี, ญี่ปุ่น,พม่า, เนเธอร์แลนด์, สิงคโปร์, เกาหลีใต้, แอฟริกาใต้, , สวิตเซอร์แลนด์, ไทย, ตุรกี, สหราชอาณาจักรและสหรัฐอเมริกากลุ่ม APT41 พุ่งเป้าไปที่การเงินและธนาคาร แต่เป้าหมายหลักคืออุตสาหกรรมวิดีโอเกม

ในการตรวจจับ Advance Persistent Threat (APT) นั้นผู้ดูเเลควรมีระบบตรวจจับ อาทิเช่น Next-Gen Firewall, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Web Application Firewall (WAF), Endpoint Protection เพื่อที่จะสามารถแยกแยะพฤติกรรมการใช้งานปกติออกจากพฤติกรรมที่เป็นการโจมตีและแยกแยะไฟล์ที่เป็นอันตรายกับไฟล์ที่ไม่เป็นอันตรายได้ เพื่อที่จะช่วยให้ผู้ดูแลระบบอย่างมีประสิทธิภาพ

มันจะดีกว่าไหมถ้าเราสามารถเพิ่มขีดความสามารถของระบบรักษาความปลอยภัยของคุณด้วย Advanced Security Operation Center ที่สามารถเข้ามาช่วยบริหารจัดการได้ตั้งแต่ Protect, Detect และ Response สามารถเข้ารับฟังงานสัมมนาครั้งนี้วันพฤหัสบดี ที่ 16 กรกฎาคม 2563 เวลา 14:00 - 15:00 สถานที่ Video Conference โดยเพียงกด ลงทะเบียนพร้อมรับสิทธิพิเศษก่อนใครภายในงาน

Intel ได้เปิดตัวแพตซ์การเเก้ไขช่องโหว่และการอัพเดตแพลตฟอร์มประจำเดือนมิถุนายน ซึ่งเดือนมิถุนายนนี้ทาง Intel ได้ทำการเเก้ไขช่องโหว่ 25 รายการและมีช่องโหว่ที่มีความรุนเเรงระดับ “Critical” จำนวน 2 รายการ โดยช่องโหว่ 2 รายการนี้ส่งผลกระทบต่อ Active Management Technology (AMT) ของ Intel และมีคะเเนน CVSS อยู่ที่ 9.8

ช่องโหว่ที่ความรุนเเรงระดับ “Critical” นั้นถูกติดตามด้วยรหัส CVE-2020-0594 (CVSS 9.8), CVE-2020-0595 (CVSS 9.8) โดยช่องโหว่ทั้ง 2 อยู่ใน Intel Active Management Technology (AMT) ซึ่งช่องโหว่นี้เกิดจากค่าคอนฟิกใน Internet Protocol version 6 (IPv6) ทำให้ผู้โจมตีที่ไม่ได้ทำการยืนยันสิทธิ์สามารถยกระดับสิทธิ์เพื่อเข้าเครือข่ายได้

นอกจากช่องโหว่แล้ว Intel ยังได้กล่าวถึงเทคนิคการโจมตีรูปแบบใหม่ 2 เทคนิคคือ “SGAxe” และ “CrossTalk” สำหรับเทคนิคการโจมตี “SGAxe” นั้นเป็นวิวัฒนาการของการโจมตี CacheOut ซึ่งจะทำให้ผู้โจมตีสามารถกู้คืนเนื้อหาบน CPU L1 Cache ได้แม้ว่าจะมีการใช้งานฟีเจอร์ SGX ส่วนเทคนิคการโจมตี “CrossTalk” ถูกค้นพบโดยนักวิจัย VU จากมหาวิทยาลัยอัมสเตอร์ดัมโดยเทคนิคนี้จะช่วยให้ผู้โจมตีสามารถรันโค้ดบน CPU core เพื่อทำอ่านข้อมูลใน CPU โดยใช้ประโยชน์จาก Staging Buffer

Intel ได้แนะนำให้ผู้ใช้ Intel® CSME, Intel® SPS, Intel® TXE, Intel® AMT, Intel® ISM และ Intel® DAL ทำการอัพเดตอัพเดตเฟิร์มแวร์ให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่

ที่มา:

bleepingcomputer 
thehackernews
intel

 

 

MalwareHunterTeam ได้เปิดเผยถึงแรนซัมแวร์ชนิดใหม่ที่ชื่อ Zorab โดยแรนซัมแวร์ชนิดนี้มีจุดประสงค์เพื่อปลอมเป็นเครื่องมือถอดรหัสแรนซัมแวร์ที่ชื่อ STOP Djvu decryptor

STOP Djvu decryptor นั้นเป็นเครื่องมือถอดรหัสแรนซัมแวร์ตระกูล STOP Djvu ที่ถูกพัฒนาโดยบริษัท Emsisoft และ Michael Gillespie เพื่อใช้ในการถอดรหัสแรนซัมแวร์ STOP Djvu

เมื่อผู้ใช้ทำการใช้เครื่องมือถอดรหัสแรนซัมแวร์ STOP Djvu ปลอมแล้ว ตัวแรนซัมแวร์ที่แฝงอยู่ในเครื่องมือถอดรหัสจะทำการรัน Crab.

Adobe ได้ออกเเพตซ์เเก้ไขประจำเดือนโดยในเดือนมิถุนายนนี้ โดยมีเเพตซ์แก้ไขช่องโหว่ที่มีความรุนเเรงระดับ “Critical” 4 รายการใน Adobe Flash Player และ Adobe Framemaker

ช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ใน Adobe Flash Player นั้นมี 1 รายการถูกติดตามในรหัส CVE-2020-9633 โดยเป็นช่องโหว่จะสามารถทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ได้รับอนุญาตในฐานะผู้ใช้งานในระบบ โดยช่องโหว่นี้มีผลกระทบกับผู้ใช้งาน Adobe Flash Player เวอร์ชั่นก่อน 32.0.0.387 สำหรับ Windows, macOS, Linux และ Chrome OS

ช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ใน Adobe Framemaker มี 3 รายการโดยช่องโหว่ทั้ง 3 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล ถูกติดตามด้วยรหัส CVE-2020-9636, CVE-2020-9634, CVE-2020-9635 มีผลกระทบกับ Adobe Framemaker เวอร์ชั่นก่อน 2019.0.6

ผู้ใช้งาน Adobe Flash Player และ Adobe Framemaker ควรทำการอัพเดตเเพตซ์และทำการติดตั้ง Adobe Flash Player และ Adobe Framemaker เป็นเวอร์ชั่นปัจจุนบันเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่

ที่มา:

threatpost
securityaffairs