Microsoft ออกเเพตซ์แก้ไขความปลอดภัยประจำเดือนหรือที่เรียกว่า Patch Tuesday โดยในเดือนมิถุนายนนี้ Microsoft ได้ทำการเเก้ไขช่องโหว่เป็นจำนวน 129 ซึ่งมี 11 รายการเป็นช่องโหว่ระดับ “Critical” และ 118 รายการเป็นช่องโหว่ระดับ “High”

Microsoft กล่าวว่าการเเก้ไขเเพตซ์ประจำเดือนมิถุนายนนี้ถือว่ามากที่สุดในประวัติศาสตร์ของ Microsoft ซึ่งข่าวดีก็คือช่องโหว่ที่ทำการเเก้ไขนั้นยังไม่พบการใช้เพื่อบุกรุกและแสวงหาประโยชน์ โดยรายละเอียดของช่องโหว่ที่น่าสนใจมีดังนี้

CVE-2020-1181 การเรียกใช้โค้ดจากระยะไกลใน Microsoft SharePoint
CVE-2020-1225 , CVE-2020-1226 การเรียกใช้โค้ดจากระยะไกลใน Microsoft Excel
CVE-2020-1223 การเรียกใช้โค้ดจากระยะไกลใน Word สำหรับ Android
CVE-2020-1248 การเรียกใช้โค้ดจากระยะไกลใน Windows Graphics Device Interface (GDI)
CVE-2020-1281 การเรียกใช้โค้ดจากระยะไกลใน Windows OLE
CVE-2020-1299 การเรียกใช้โค้ดจากระยะไกลในการประมวลผล Windows .LNK files.

นักวิจัยด้านความปลอดภัย Yunus Çadirci ได้เปิดเผยถึงช่องโหว่ใหม่ภายใต้ชื่อ CallStranger (CVE-2020-12695) ในโปรโตคอล Universal Plug and Play (UPnP) ซึ่งส่งผลกระทบต่ออุปกรณ์ที่ใช้ UPnP หลายพันล้านรายการ

ช่องโหว่ CallStranger เกิดขึ้นในการอิมพลีเมนต์การทำงานของ UPnP ในฟังก์ชัน SUBSCRIBE ซึ่งส่งผลให้ผู้โจมตีสามารถโจมตีในลักษณะเดียวกับช่องโหว่ประเภท SSRF ที่ผู้โจมตีสามารถควบคุมค่าในตัวแปรหรือฟังก์ชันการทำงานได้

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการข้ามการตรวจสอบอุปกรณ์ป้องกันความปลอดภัยเครือข่ายหรือระบบ Data Loss Prevention (DLP) ซึ่งจะทำให้สามารถนำข้อมูลออกไปนอกเครือข่ายองค์กร นอกจากนี้ช่องโหว่ CallStranger ยังสามารถทำให้ผู้โจมตีทำการ Distributed Denial of Service (DDoS) บนอุปกรณ์ที่ใช้ UPnP และสามารถสแกนพอร์ตภายในจากอุปกรณ์ UPnP ที่เชื่อมต่ออินเทอร์เน็ตได้

Çadirci ได้ทำการรายงานช่องโหว่ให้เเก่สถาบัน Open Connectivity Foundation (OCF) ที่ทำการพัฒนาและดูแลโปรโตคอล UPnP และได้ช่องโหว่นี้ได้ทำการเเก้ไขแล้วในวันที่ 17 เมษายน 2020 ที่ผ่านมา ดังนั้นช่องโหว่ CallStranger นี้จะมีผลกระทบกับ UPnP เวอร์ชั่นก่อนหน้าวันที่ 17 เมษายน

นักวิจัยด้านความปลอดภัยทางอินเทอร์เน็ต Çadirci ได้ให้คำเเนะนำในการป้องกันจากช่องโหว่ที่เขาค้นพบดังนี้

ทำการปิดใช้งานบริการ UPnP ที่ไม่จำเป็นโดยเฉพาะอย่างยิ่งอุปกรณ์หรืออินเตอร์เฟสที่เชื่อมต่อกับอินเทอร์เน็ต
ทำการตรวจสอบอินทราเน็ตและเครือข่ายเซิร์ฟเวอร์เพื่อให้แน่ใจว่าอุปกรณ์ UPnP เช่น Router, IP Camera, Printers, หรืออุปกรณ์สื่ออื่นๆ ไม่สามารถเข้าถึงได้ผ่านอินเทอร์เน็ต

ที่มา:

bleepingcomputer
zdnet
callstranger

นักวิจัยได้เปิดเผยว่า PoC ของช่องโหว่รหัส CVE-2020-0796 (CVSS 10) หรือที่เรารู้จักกันในชื่อ SMBGhost ซึ่งเป็นช่องโหว่การโจมตีจากระยะไกลที่ใช้ประโยชน์จากโปรโตคอล Microsoft Server Message Block (SMB 3.1.1) บน Windows 10 ซึ่งช่องโหว่นี้สามรถทำให้ผู้โจมตีใช้ประโยชน์จากโหว่โหว่ทำการเเพร่กระจายมัลแวร์ไปบนระบบที่มีช่องโหว่

ช่องโหว่ SMBGhost นั้นมีผลกับ Windows 10 เวอร์ชั่น 1909 และ 1903 รวมถึง Server Core ซึ่ง Microsoft ได้ออกเเพตซ์การป้องกันแล้วใน Microsoft Tuesday เเพตซ์ในเดือนมีนาคมที่ผ่านมา

นักวิจัยด้านความปลอดภัยชื่อ Chompie ได้ทำการแชร์ PoC สำหรับช่องโหว่ SMBGhost สู่สาธารณะและกล่าวว่า PoC นี้สามารถทำงานได้ดีบน Windows 10 เวอร์ชั่น 1903 และมีบุคคลจำนวนมากใช้ PoC จากช่องโหว่นี้ได้สำเร็จ นักวิจัยยังกล่าวว่าที่ผ่านมามีนักวิจัยด้านความปลอดภัยจำนวนมากทำการหาช่องทางการใช้ประโยชน์จากช่องโหว่นี้ แต่ผลลัพธ์นั้นถูกจำกัดอยู่ที่การยกระดับสิทธ์ผู้ใช้ (local privilege escalation) และการทำ denial of service เพื่อให้เกิด blue screen

หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA) ได้ออกแจ้งเตือนให้ผู้ใช้งาน Microsoft Windows 10 ระมัดระวังผู้ไม่หวังดีที่ทำการใช้ PoC สำหรับช่องโหว่ CVE-2020-0796 ทำการหาประโยชน์จากผู้ใช้งานและได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการใช้ไฟร์วอลล์เพื่อบล็อกพอร์ต TCP 445 จากอินเทอร์เน็ตและทำการอัพเดตเเพตซ์คำความปลอดภัยให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันการถูกโจมตี

สำหรับผู้ที่สนใจ Poc สามารถดูรายละเอียดเพิ่มเติ่มได้ที่: www.

นักวิจัยด้านความปลอดภัย Jayaram ได้เปิดเผยว่าหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี WhatsApp นั้นได้รับการบันทึกใน Google Search โซึ่งอาจส่งผลให้เกิดปัญหาด้านความเป็นส่วนตัวของผู้ใช้งาน

WhatsApp นั้นมีฟีเจอร์ที่ชื่อว่า “Click to Chat” ซึ่งเป็นฟีเจอร์ที่ช่วยให้ผู้ใช้เริ่มต้นการแชทกับใครบางคนโดยไม่ต้องบันทึกหมายเลขโทรศัพท์ในรายชื่อผู้ติดต่อของโทรศัพท์ ฟีเจอร์นี้จะช่วยให้ผู้ใช้สร้าง URL ด้วยหมายเลขโทรศัพท์และสร้าง QR code ให้กับผู้ใช้งาน เพื่อให้ผู้ใช้งานมีความสะดวกในการเริ่มติดต่อสื่อการกับผู้อื่น

Jayaram กล่าวว่าปัญหานั้นเกิดจากการที่ Google Search ได้มีการรวมเอาผลการค้นหาหมายเลขโทรศัพท์ซึ่งจะเเสดงผลผ่าน URL (https://wa.

“Nworm” มัลแวร์ใหม่จากค่าย TrickBot พุ่งเป้าเเพร่กระจายและขโมยข้อมูล

นักวิจัยจาก Palo Alto ได้เผยถึงรายงานการค้นพบใหม่ในมัลแวร์กลุ่ม Trickbot หลังจากที่นักพัฒนา TrickBot ได้ทำการเปิดตัวโมดูลใหม่ของ TrickBot ซึ่งใช้เทคนิคใหม่เพื่อหลบเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการแพร่กระจายมัลแวร์สู่เครือข่าย โดยตั้งชื่อเรียกโมดูลใหม่ตัวนี้ว่า “nworm”

เมื่อเริ่มต้นทำการแพร่กระจาย มัลแวร์ TrickBot จะประเมินสภาพเเวดล้อมของเครื่องและเครือข่าย หลังจากนั้นจะทำการดาวโหลดโมดูลต่าง ๆ เพื่อทำการแพร่กระจายบนคอมพิวเตอร์ที่ติดเชื้อและในเครือข่าย

หาก TrickBot ตรวจพบว่ากำลังทำงานอยู่บน Windows Active Directory (AD) มัลแวร์จะทำการดาวโหลดโมดูลที่เรียกว่า “mworm” และ “mshare”เพื่อทำการแพร่กระจายมัลแวร์ TrickBot ไปยัง Domain Controller ที่มีช่องโหว่โดยการใช้ช่องโหว่ของ SMB

ข้อเเนะนำในการป้องกัน
เเนะนำผู้ใช้งานควรหลีกเลี่ยงการการดาวโหลดไฟล์จากเว็บไซต์ที่ไม่รู้จัก ให้ทำการอัพเดตโปรเเกรมป้องกันไวรัสอยู่เสมอเพื่อป้องกนการติดมัลแวร์และความเสี่ยงในการถูกขโมยข้อมูล

ที่มา: bleepingcomputer

เพราะตั้งค่าผิด!? "Joomla Resources Directory" ของทีม Joomla ปล่อยข้อมูลรั่วไหล

Joomla บริษัทผู้พัฒนา Open Source Content Management System หรือ CMS ได้ออกมาเปิดเผยถึงการรั่วไหลของข้อมูลผู้ใช้งานเมื่ออาทิตย์ที่ผ่านมา

เหตุการณ์การรั่วไหลของข้อมูลเกิดจากสามชิกของทีม Joomla Resources Directory (JRD) ได้ทำการคอนฟิกการสำรองข้อมูลของเว็บไซต์ JRD (resources.

NTT แจ้งเตือนการบุกรุกเซิร์ฟเวอร์ของบริษัทคาดว่าข้อมูลลูกค้ารั่วไหลไปประมาณ 600 ราย

บริษัท Nippon Telegraph & Telephone หรือ NTT ผู้ใช้บริการเครือข่าย, คลาวด์และดาต้าเซ็นเตอร์ได้ออกมาเปิดเผยถึงการถึงการตรวจพบการโจมตีระบบของบริษัท โดยแฮกเกอร์สามารถเข้าถึงเครือข่ายภายในของบริษัทและขโมยข้อมูลลูกค้าออกไปได้จำนวน 621 ราย

การแฮกเกิดขึ้นเมื่อวันที่ 7 พฤษภาคม แต่ทาง NTT ได้ทำการตรวจพบการบุกรุกวันที่ 11 พฤษภาคมที่ผ่านมา จาการประเมินการบุกรุกพบว่าแฮกเกอร์ได้ทำการแฮกเข้ามาถึง Active Directory ภายในบริษัทเพื่อทำการขโมยข้อมูลและทำการอัปโหลดข้อมูลไปยังเซิร์ฟเวอร์ของเเฮกเกอร์

NTT กล่าวว่าการโจมตีครั้งนี้เชื่อว่ามีต้นกำเนิดมาจากเซิร์ฟเวอร์ NTT ในสิงคโปร์ จากนั้นผู้โจมตีใช้จุดนี้ทำการโจมตีเพื่อเข้าถึงเซิร์ฟเวอร์คลาวด์ที่อยู่ในญี่ปุ่น (เซิร์ฟเวอร์ B) และเข้าสู่เครือข่ายภายในของ NTT Communication (เซิร์ฟเวอร์ A) จากนั้นผู้โจมตีจึงทำการเข้าถึงเซิร์ฟเวอร์ C ซึ่งเป็นเซิร์ฟเวอร์ที่ใช้ในการให้บริการคลาวด์ของ NTT และให้บริการลูกค้า

หลังจากเหตุการณ์ NTT พบว่าเเฮกเกอร์ได้ทำการขโมยข้อมูลของลูกค้าออกไปจำนวน 621 รายและ NTT ได้ทำการเเก้ไขและปิดช่องทางของแฮกเกอร์ทันที ปัจจุบันทาง NTT กำลังอยู่ในระหว่างการตรวจสอบผลกระทบต่อการโจมตีและทำการอัพเกรดโครงสร้างพื้นฐานเพื่อป้องกันการโจมตีในอนาคต ซึ่ง NTT จะแจ้งให้ลูกค้าทราบถึงผลกระทบและความเสียหายอย่างเป็นทางการอีกครั้ง

ที่มา

 zdnet
  infosecurity-magazine

เรียนทุกท่าน
บริษัทไอ-ซีเคียวร่วมกับ บริษัทเอ็นฟอร์ซซีเคียว และ บริษัทพาโลอัลโต้เน็ตเวิร์ค
ขอเรียนเชิญท่านผู้มีเกียรติทุกท่านเข้าร่วมรับฟังสัมนาออนไลน์ผ่าน webinar ในหัวข้อ
"เพิ่มประสิทธิภาพการตอบสนองภัยคุกคามแบบ End to End Security"
ในวันอังคารที่ 26 พฤษภาคม 2563 เวลา 13:30 - 14:30 @ Video Conferencing สนใจรับฟังเชิญ ลงทะเบียน

US-CERT ออกคำแนะนำในการรักษาความปลอดภัยให้กับการใช้งาน Microsoft 365 โดยแนะนำให้ปฏิบัติดังต่อไปนี้

เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีผู้ดูแลระบบ [1]
ใช้หลัก Least Privilege เพื่อป้องกันไม่ให้ Global Administrator ถูกโจมตีด้วยการสร้างบัญชีอื่นๆ แยกออกมาโดยให้สิทธิ์ที่จำเป็นเท่านั้น [2],[3]
เปิดการใช้งาน Audit Log โดย Audit Log จะเก็บเหตุการณ์ที่เกิดจากผลิตภัณฑ์ต่างๆ ในเครือ Microsoft 365 เช่น Exchange Online, SharePoint Online, OneDrive เป็นต้น [4]
ปิดการใช้งานอีเมลโปรโตคอลที่ล้าสมัยอย่าง POP3, IMAP หรือ SMTP [5]
เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีการใช้งานทั้งหมด
เปิดการใช้งานการแจ้งเตือนเหตุการณ์ผิดปกติ [6]
ส่ง log ของ Microsoft 365 ไปยัง SIEM ของค์กรเพื่อช่วยในการตรวจจับ [7]

ที่มา: https://www.

โดยเราจะมาร่วมกันหาคำตอบใน วันพฤหัสบดีที่ 28 พฤษภาคม 2563 เวลา 14:00 - 15:00 น.
ซึ่งทุกท่านเพียงกดปุ่ม ลงทะเบียน เพื่อเข้าร่วมงานในครั้งนี้ได้ก่อนใคร พร้อมรับสิทธิ์พิเศษภายในงาน